В декабре «Удаленное выполнение кода Apache Log4j» стала наиболее используемой уязвимостью, затрагивающей 48,3% организаций по всему миру. Впервые о ней сообщили 9 декабря 2021 года в Apache Log4j — самой популярной библиотеке ведения журналов Java. Ее используют во многих интернет-сервисах и приложениях — всего ее скачали с GitHub более 400 000 раз. Уязвимость затронула почти половину компаний во всем мире за очень короткий промежуток времени.

Злоумышленники могут использовать уязвимые приложения для запуска криптоджекеров и других вредоносных программ на скомпрометированных серверах. До сих пор большинство атак были сосредоточены на майнинге криптовалюты за счет ресурсов жертв, но продвинутые злоумышленники начали действовать агрессивно и использовать уязвимость в других своих целях.

«Новость о Log4j была одной из самых ярких в декабре. Это одна из самых серьезных уязвимостей, с которыми мы когда-либо сталкивались. Из-за сложности ее исправления и простоты использования она, вероятно, останется с нами на долгие годы, если подавляющее большинство организаций ничего не предпримет в ближайшее время, — рассказывает Майя Горовиц, руководитель группы Threat Intelligence Research, Check Point Software Technologies, Ltd. — В этом месяце мы также видели, как ботнет Emotet переместился с седьмого места в рейтинге самого распространенного вредоносного ПО на второе. Как мы и подозревали, ему не потребовалось на это много времени. Emotet устойчив к обнаружению и быстро распространяется через фишинговые электронные письма с вредоносными вложениями или ссылками. Сейчас организациям как никогда важно иметь надежное решение для защиты электронной почты. И нужно удостовериться, что все пользователи знают, как идентифицировать подозрительное сообщение или вложение».

Команда CPR (Check Point Research) также сообщила, что организации сферы образования и исследований чаще других подвергались атакам по всему миру. За ними следуют правительственные и военные органы, организации телекоммуникационного сектора.

Самое активное вредоносное ПО в декабре 2021 в России:
1. Revil — впервые обнаружен в 2019 году: это вымогатель, позиционирующийся как SaaS, работающий по «партнерской» модели. REvil шифрует данные в каталоге пользователя и удаляет их резервные копии, чтобы затруднить восстановление данных. Для его распространения используются самые разные тактики — спам, эксплойты серверов, взлом серверных программ управляемых сервисов (MSP), переадресация вредоносных кампаний на набор эксплойтов RIG. Затронул 14,45% организаций.
2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monerо. Затронул 6,34% организаций.
3. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера. Затронула 6% организаций.

Самое активное вредоносное ПО в декабре 2021 в мире:
1. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, способное распространяться в рамках многоцелевых кампаний.
2. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
3. Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов обхода защит и относительно низкой цены. Formbook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с инструкциями управляющего сервера.
Самые атакуемые отрасли в мире:
1. Образование/Исследования
2. Государственные и военные организации
3. ISP/MSP
Самые распространенные уязвимости в декабре 2021 в мире:
1. Apache Log4j Remote Code Execution (CVE-2021-44228) — в Apache Log4j существует уязвимость, которая делает возможным удаленное выполнение кода. Успешное использование этой уязвимости может позволить удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
2. Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
3. Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
Самые активные мобильные угрозы в декабре 2021:
В этом месяце AlienBot занимает первое место среди наиболее распространенных мобильных вредоносных программ, за ним следуют xHelper и FluBot.
1. AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в официальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
2. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
3. FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, происходит автоматическая установка FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — крупнейшим сетевым сообществом по борьбе с киберпреступностью, которое предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более трех миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за декабрь можно найти в блоге Check Point Software Technologies.