Просмотров: 172

Специалисты по кибербезопасности CheckPoint сообщили об увеличении количества угроз и атак с начала вспышки короновируса. В качестве основной угрозы отметили попытки фишинга — 55%, далее вредоносные веб-сайты, которые якобы содержат информацию и советы о короновирусе — 32%, увеличение количества вредоносных программ — 28% и вымогателей — 19%.

текст5

Также за появлением новых вредоносных программ, самоизоляция и дистанционная работа спровоцировали рост активности старых, таких как Pykspa, Zeus Sphinx, Faketoken.

Перечень событий связанных с известными кибергрупировками и вымогательскими ПО с марта по май:
  • Ryuk (Вредоносное ПО)

Была атакована компания EMCOR Group. что предоставляет услуги механического и электрического строительства, промышленной и энергетической инфраструктуры и обьектов широкому кругу коммерческих, промышленных, коммунальных и институциональных потребителей.

Утверждают, что пострадали не все ИТ-системы, пострадавшие были быстро отключены, для сдерживания распространения. Компания сообщила, что уже восстановила работу своих сервисов, но не уточнила, выплатила ли она выкуп злоумышленникам.

Также сообщалось, что в ходе атаки преступникам не удалось похитить данные сотрудников или клиентов компании.

 

  • FIN7 (Кибергруппировка)

Возможно единственные кто решил не использовать пандемию в своих целях. Кибергруппировка осуществляет рассылку фирмам флэшек с бэкдором GRIFFON. К нему прилагается благодарственное письмо, подарочная карта и, иногда, мягкие игрушки.

После подключения к тестовой рабочей станции "флэшка" инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более обьемный PowerShell-скрипт и устанавливала вредоносный JScript-бот.

 

  • Zeus Sphinx (Вредоносное ПО)

Организовали фишинговые кампании, в ходе которых распространяют вредоносные файлы под названием "COVID 19 relief". Диапазон средств весьма широк: электронные сообщения, в которых якобы хранятся секреты новых методов лечения короновируса, телефонные звонки от имени операторов коммунальных служб и банков, пострадавших от пандемии, а также распространяют поддельные продукты для профилактики коронавируса на торговых online-площадках.

Zeus Sphinx может с целью самосохранения динамически записывать себя в многочисленные файлы, папки и создавать ключи реестра. Также пытается избежать обнаружения с помощью самозаверенного сертификата.

Изменяет процессы explorer.exe и браузер, включая те, которые используются в Google Chrome и Mozzilla FireFox, для извлечения финансовой информации, когда пользователь заходит на целевую страницу.

Весте с тем у Zeus Sphinx отсутствует процесс перепрошивки браузеров. поэтому, если браузер получит обновление, функция web-иньекции перестанет работать.

 

  • Coronavirus (Вредоносное ПО)

Для загрузки на компьютер жертвы использует сразу несколько популярных методов: вложение с электронным письмом, доставка файла с сервера или маскировка под легитимное приложение.

После запуска копирует во временную папку ряд вспомогательных файлов. Далее вредоносная программа пытается отключить контроль учетных записей пользователей и Диспетчер процессов Windows. Также меняет обои рабочего стола жертвы и запрещает с помощью настроек менять их.

 

  • Emotet (Вредоносное ПО)

В основном распространяется посредством спам-рассылок, которые эксплуатируют в заголовках наиболее актуальные на сегодня темы.

Вредоносная программа незаметно распространяется по сети, похищает учетные данные администраторов и аутентифицируется на новых системах, которые впоследствии использует для взлома других устройств.

Около 8 дней потребуется чтобы вся сеть вышла из строя из-за перегрева, зависаний и перезагрузок компьютеров.

 

  • Ragnar Locker (Вредоносное ПО)

Защифровал компьютерные системы португальского транснационального энергетического гиганта Energias de Portugal и потребовал выкуп в 1580 биткойнов (около $11 млн. на данный момент).

В результате атаки удалось похитить более 10 ТБ конфиденциальных файлов компании. Вымогатели угрожали компании опубликовать украденные данные и уведомить об этом всех ее клиентов и партнеров, если выкуп не будет выплачен.

Преступники уже опубликовали некоторую часть похищенных данных в качестве предупреждения, включая файл edpradmin2.kdb, являющийся базой данных менеджера паролей KeePass, а также учетные данные пользователей, URL-адреса и заметки сотрудников.

 

  • Faketoken (Вредоносное ПО)

Похищает деньги у пользователей Android-устройств, маскируясь под приложение популярной торговой площадки.

Faketoken образца 2020 года неплохо усовершенствовался и умеет перехватывать SMS на устройстве, передавать сообщения на сервер преступников ,а также отображать фишинговые окна поверх легитимных приложений (для сбора данных банковских карт). Также вирус препятствует своему стиранию с устройства с использованием антивирусных программ, так что удалить его можно только в безопасном режиме.

В настоящее время в ботнет Faketoken входит более 10 000 зараженных устройст. Для распространения ежедневно регистрируются новые фишинговые домены.

 

  • Pykspa (Вредоносное ПО)

Атакует пользователей через Skype. 

Основная задача — выкрасть персональные данные жертв. В качестве механизма для распространения использует рассылку сообщений о якобы имеющейся необходимости обновления в Skype. Попав в систему пользователя, вредоносная программа может собрать список контактов для дальнейшей рассылки.

 

  •  Winnti из КНР (Кибергруппировка)

Пытались проникнуть во внутреннюю сеть южнокорейской игровой компании Gravity, известной в качестве разработчика MMORPG Ragnarok Online.

О попытках взлома сообщали специалисты из компании QuoIntelligence.

 

  • Corona Antivirus (Вредоносное ПО)

Поддельный антивирус, якобы помогающий бороться с киберугрозами во время пандемии.

Используется в качестве прикрытия для бэкдора BlacNET. Попав в систему жертвы, открывает удаленный доступ к зараженному устройству. Одновременно добавляет новый компьютер в бот-сеть.

 

  • CoronaLocker (Вредоносное ПО)

Распространяется по видом программы для взлома Wi-Fi.

Пытается заблокировать компьютер жертвы и параллельно использует синтез речи для постоянного повторения слова "coronavirus".

 

  • APT32 из Вьетнама (Кибергруппировка)

Атакует китайские правительственные организации с помощью фишинговых писем с целью сбора информации о коронавирусе. По словам исследователей, за этими операциями стоят правительства, отчаянно желающие получить закрытые сведения о короновирусе.

 

  • Shade (Вредоносное ПО)

Создатели которого отличились от всех предыдущих, заявив  о том что свою деятельность они прекратили еще в прошлом году ,а сейчас решили выложить в открытый доступ все имеющиеся у них ключи для расшифровки файлов.

Подлинность ключей была подтверждена специалистами "Лаборатории Касперского".

 

Не уверены что имеете должный уровень защиты?

Напишите нам на почту, позвоните или свяжитесь через удобную вам соц. сеть. Мы поможем вам защитить вашу инфраструктуру и настроить резервное копирование данных.

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

Оставить комментарий

0