Пандемія все ще високий сезон для злочинців, оскільки вони використовують необізнаність людей для здійснення своїх атак. Згідно з останнім аналізом загроз від G DATA CyberDefense, кількість зросла на 85 відсотків у другій половині року. Минулого року кіберзлочинці щохвилини випускали 76 нових версій шкідливих програм. Вразливі місця безпеки, такі як Shitrix та Sunburst, також добре служили зловмисникам в їх діяльністі.
Загроза від кібератак продовжувала значно зростати протягом останнього року. Поточний аналіз загроз від G DATA CyberDefense показує, що кількість спроб запобігання атакам зросла більш ніж на 85 відсотків протягом шести місяців, якщо порівняти першу половину 2020 року з другою. Хоча кількість запобіганих атак майже подвоїлася з другого по третій квартал, у четвертому кварталі кількість атак трохи зменшилась.
Ми вважаємо, що численні компанії стали жертвами нападу минулого року через поспішний перехід на роботу додому, – але цього ще не помітили. Кіберзлочинці продовжують нещадно використовувати будь-які слабкі місця в ІТ-безпеці. Критичні прогалини в безпеці, відсутність оновлень або недбалі співробітники, як правило, є причиною успішної атаки. І нинішня незахищеність людей значно прискорює цей розвиток
Тім Берггофф, Спеціаліст з безпеки в G DATA CyberDefense
Огляд першої десятки шкідливих програм
Позиція | Ім’я | Варіанти | Тип |
1 (6) | Emotet | 888,793 | Поширення зловмисного програмного забезпечення |
2 (-) | QBot | 98,800 | Трояни віддаленого доступу |
3 (-) | Urelas | 64,136 | Завантажувач |
4 (2) | njRAT | 63,969 | Трояни віддаленого доступу |
5 (10) | NanoCore | 52,736 | Трояни віддаленого доступу |
6 (-) | Trickbot | 50,043 | Поширення зловмисного програмного забезпечення |
7 (-) | AgentTesla | 47,739 | Викрадач інформації |
8 (-) | RemcosRAT | 43,902 | Трояни віддаленого доступу |
9 (-) | Dridex | 43,563 | Поширення зловмисного програмного забезпечення |
10 (7) | Shifu | 36,892 | Банківські трояни |
Розвиток кіберзлочинності є дуже динамічним. Це підтверджується тим фактом, що шість із десяти найбільш часто виявлених шкідливих програм раніше не потрапляли до цього списку. Поза Emotet – QBot та Urelas. В даний час Qbot використовує шаблон атаки, який раніше був відомий лише від Emotet. Зловмисники надсилають фальшиву відповідь на справжній запит електронною поштою. Для одержувача цей підроблений електронний лист дуже важко відрізнити від справжнього, тому жертви відкривають вкладення електронного листа або клацають на посилання. Спочатку банківський троян, він має додаткові черв’ячні елементи та викрадає облікові дані користувачів. Таким чином, Qbot – ще одна багатоцільова зброя для кіберзлочинців. На третьому місці в топ-10 шкідливих програм знаходиться завантажувач Urelas,
Король помер – хай живе … ну хто?
Наприкінці січня відбувся міжнародно скоординована атака проти операторів Emotet. Велика частина інфраструктури, що стоїть за Emotet, була виведена з ладу – частина цього було зроблено за технічної підтримки G DATA. Це, ймовірно, залишить прогалину на підпільному ринку, принаймні в середньостроковій перспективі, яку зараз намагаються заповнити інші групи кіберзлочинців.
Прогалини з серйозними наслідками
Але не лише добре замасковане шкідливе програмне забезпечення відкриває двері для приватних комп’ютерів або корпоративних мереж для зловмисників. Як і щороку, численні діри в безпеці в додатках та операційних системах також полегшують зловмисникам проникнення в ІТ-системи. Тут у якості прикладів згадуються два найбільших – Shitrix та Sunburst. Shitrix була одним з найнебезпечніших вразливих місць за останні кілька років. Це дозволило віддалено виконувати довільні програми в Citrix ADC, і тому класифікується як надзвичайно важливе. Тільки в Німеччині більше 5000 компаній зазнали ризику, включаючи операторів критично важкої інфраструктури, таких як лікарні, постачальники енергії та державні органи.
Наприкінці року державні установи та приватні компанії виявили, що їх мережі були скомпрометовані. Походження цього компромісу лежало в програмному забезпеченні для управління мережами від виробника мережевого устаткування Solarwinds. Протягом кількох місяців злочинці продовжували збирати нові окремі компоненти в шпигунське програмне забезпечення, яке було тісно інтегровано в процес розробки системи управління мережею – і все це ніколи не було помічено. Заражені оновлення програмного забезпечення не викликали жодних сумнівів і були встановлені в багатьох компаніях по всьому світу. Напади в основному були зосереджені в США, але в Німеччині були також вразливі системи.