Avast Press

Главные угрозы в третьем квартале 2021 года: программы-вымогатели и трояны удаленного доступа

Written by Avast PR | ноября 24, 2021

Москва, 24 ноября 2021 года ⎯ Компания Avast (LSE: AVST), мировой лидер в области цифровой безопасности и решений защиты, опубликовала отчет об угрозах за третий квартал 2021 года. По данным исследователей лаборатории угроз Avast, риск столкнуться с атаками программ-вымогателей и троянов удаленного доступа (RAT) вырос как для бизнеса, так и для обычных пользователей.  RAT могут использоваться для отраслевого шпионажа, кражи учетных данных, преследования и даже распределенных атак типа «отказ в обслуживании» (DDoS). Исследователи угроз отмечают постоянное появление новых инноваций в кибепреступности, появление новых механизмов в области наборов эксплойтов и мобильного банковского трояна Flubot.

Риск для бизнеса: программы-вымогатели и RAT

В начале третьего квартала 2021 года произошла масштабная атака на компанию Kaseya. Провайдер ИТ-услуг и его клиенты стали жертвами программы-вымогателя Sodinokibi (также известна как Revil). Команда исследователей лаборатории угроз Avast обнаружила и предотвратила более 2,4 тысяч попыток атак. Вследствие вмешательства правоохранительных органов, операторы ПО-вымогателя выпустили ключ дешифрования, что привело к выходу из строя системы Sodinokibi. Однако 9 сентября специалисты Avast снова обнаружили и заблокировали новую попытку атаки.  В третьем квартале команда лаборатории угроз Avast отметила, что коэффициент риска атак программ-вымогателей увеличился на 5% по сравнению со вторым кварталом и на 22% по сравнению с первым кварталом 2021 года.

Трояны удаленного доступа (RAT) также представляли собой опасную угрозу для бизнеса и обычных пользователей, которая в третьем квартале имела большее распространение, чем в предыдущие. Исследователи Avast обнаружили три новых версии троянов удаленного доступа: FatalRAT с возможностями защиты от виртуальных машин, VBA RAT, который использует уязвимость Internet Explorer CVE-2021-26411, и новую версию Reverse RAT 2.0, в которую добавлены фотосъемка с веб-камеры, кража файлов и защиту от обнаружения антивирусами. 

«Трояны удаленного доступа – одна из основных угроз для бизнеса, поскольку они могут использоваться для производственного шпионажа, ⎯ сказал Якуб Крустек, руководитель департамента по исследованию вредоносных программ Avast. ⎯ Однако RAT также можно использовать против людей, например, для кражи их учетных данных, для добавления их компьютеров в ботнет, для управления DDoS-атаками и, к сожалению, для киберпреследования, которое может нанести огромный вред конфиденциальности и комфорту человека».

Рост распространения руткитов, усовершенствованных наборов   эксплойтов и мобильных банковских троянов

Специалисты лаборатории угроз Avast также зафиксировали значительное увеличение активности руткитов в конце третьего квартала. Руткит – вредоносное программное обеспечение, предназначенное для предоставления злоумышленникам несанкционированного доступа с определенными системными привилегиями. Руткиты обычно предоставляют услуги другим вредоносным программам в пользовательском режиме.

Снова стали использоваться усовершенствованные наборы эксплойтов, которые теперь ориентируются на уязвимости Google Chrome. Самым активным набором стал PurpleFox. От него Avast в день защищал в среднем более 6000 пользователей. Rig и Magnitude  активно исползовались на протяжении всего квартала. Набор эксплойтов Underminer появился после длительного периода бездействия и начал время от времени обслуживать HiddenBee и Amadey. В стадии интенсивной разработки находятся комплекты эксплойтов PurpleFox и Magnitude, которые регулярно получают новые функции и возможности эксплуатации.

Также эксперты Avast отслеживали новые способы атак на мобильные устройства с помощью FluBot, банковского трояна для Android, операторы которого изменили свой подход к социальной инженерии. 

Flubot сначала распространялся, выдавая себя за службы доставки, чтобы побудить жертв загрузить якобы приложение для отслеживания посылки, которую они пропустили или скоро должны получить. В третьем квартале исследователи Avast обнаружили новые сценарии распространения этого вредоносного ПО. Один из примеров — это приложение для записи голосовой почты. Другой — фальшивые сообщения об утечке личных фотографий. В самом опасном варианте атаки жертву заманивали на поддельную страницу, на которой было написано, что устройство пользователя уже заражено трояном FluBot. В этот момент заражение, скорее всего, не произошло. Затем жертву обманом заставляли установить программу, чтобы избавиться от Flubot. Тем самым, жертва не избавлялась от заражения, а наоборот устанавливала вредоносное ПО.

Flubot продолжил распространяться в тех странах, откуда во втором квартале атаковал пользователей из Европы, а именно в Испании, Италии, Германии, Австралии и Новой Зеландии.

Полный отчет можно найти здесь.