Poznaj najważniejsze wyniki badań i wydarzenia dotyczące miesiąca Maj. Raport cyberbezpieczeństwa zebrany w jednym miejscu.

Koperta z logiem Bitdefender

Exploit Follina

Exploit RCE, powszechnie znaney jako „Follina”, pozwala osobie atakującej możliwość uruchomienia kodu z uprawnieniami systemowymi, często poprzez nadużycie legalnych, niegroźnych aplikacji systemu Windows. Te narzędzia systemowe istnieją we wszystkich wersjach systemu Windows.

Badacze zauważyli ograniczone wykorzystanie exploita „Follina” w Azji Południowej w marcu 2022 r., z początkowym przypisaniem go podmiotowi zagrażającemu chińskiemu nexusowi; luka jest jednak znana od 2021 r., po tym, jak kilku badaczy ujawniło informacje firmie Microsoft.

Według większości raportów próbki związane z atakami w Arabii Saudyjskiej, Rosji i Białorusi były również widoczne w narzędziach typu open source, takich jak VirusTotal. Ze względu na niską złożoność rzeczywistego ataku oraz łatwo dostępne exploity i dowody koncepcji, Bitdefender MDR ocenia, że ​​będzie bardziej rozpowszechniona adopcja tego exploita przez podmioty przestępcze i państwowe, przy czym najbardziej prawdopodobny wektor nastąpi poprzez socjotechnikę ataki, takie jak phishing.

Od pierwszego tygodnia czerwca 2022 nie są dostępne żadne oficjalne łatki; zaleca się wyłączenie narzędzia MSDT do czasu usunięcia luki. Przeciwnicy prawdopodobnie wykorzystają potencjalną lukę w zabezpieczeniach większości organizacji, więc Bitdefender MDR spodziewa się wzrostu liczby prób ataków wykorzystujących to lub kombinację powiązanych exploitów.

Raport o ransomware

Ataki typu spear phishing są często wykorzystywane jako początkowy wektor ataku, a infekcja ransomware jest często ostatnim etapem łańcucha zabijania. Na potrzeby tego raportu przeanalizowaliśmy wykrycia złośliwego oprogramowania zebrane w maju 2022 r. przez nasze statyczne silniki antymalware. Uwaga: liczymy tylko całkowitą liczbę przypadków, a nie znaczenie finansowe wpływu infekcji.

Patrząc na te dane, pamiętaj, że są to wykrycia ransomware, a nie infekcje.

10 najpopularniejszych rodzin oprogramowania ransomware

Przeanalizowaliśmy wykrycia złośliwego oprogramowania od 1 do 31 maja. Łącznie zidentyfikowaliśmy 207 rodzin oprogramowania ransomware. Liczba wykrytych rodzin oprogramowania ransomware może się różnić każdego miesiąca, w zależności od bieżących kampanii ransomware w różnych krajach.

Wykres-1-10-rodzin-ransomware

10 najpopularniejszych krajów

W sumie w tym miesiącu w naszym zestawie danych wykryliśmy oprogramowanie ransomware ze 151 krajów. Ransomware nadal stanowi zagrożenie, które dotyka prawie całego świata. Poniżej znajduje się lista 10 krajów najbardziej dotkniętych przez oprogramowanie ransomware. Wiele ataków ransomware nadal ma charakter oportunistyczny, a wielkość populacji jest skorelowana z liczbą wykryć.

Wykres-2-10-krajow

10 najpopularniejszych branż

W przypadku naszego zbioru danych byliśmy w stanie przypisać 10% wykryć do określonych branż. Usługi telekomunikacyjne są szczególnie wysokie, ponieważ ich klienci są objęci wykrywaniem.

Wykres-3-10-firm

Trojany na Androida

Poniżej znajduje się 10 najpopularniejszych trojanów atakujących Androida, które widzieliśmy w naszej telemetrii w maju 2022 roku.

Wykres-4-10-trojanow-android

Downloader.DN — przepakowane aplikacje pobrane z Google App Store i dołączone do agresywnego oprogramowania reklamowego. Niektóre programy typu adware pobierają inne warianty złośliwego oprogramowania.

Triada.LC – złośliwe oprogramowanie, które zbiera poufne informacje o urządzeniu (identyfikatory urządzeń, identyfikatory subskrybentów, adresy MAC) i wysyła je na złośliwy serwer C&C. Serwer C&C odpowiada, odsyłając łącze do ładunku, który złośliwe oprogramowanie pobiera i wykonuje.

Banker.XJ, YM – Aplikacje, które upuszczają i instalują zaszyfrowane moduły. Ten trojan przyznaje uprawnienia administratora urządzenia i uzyskuje dostęp do zarządzania połączeniami telefonicznymi i wiadomościami tekstowymi. Po wdrożeniu utrzymuje połączenie z serwerem C&C w celu odbierania poleceń i przesyłania poufnych informacji.

SpyAgent.DW – Aplikacje, które wydobywają poufne dane, takie jak wiadomości SMS, dzienniki połączeń, kontakty lub lokalizacja GPS.

HiddenApp.AID – Agresywne oprogramowanie reklamowe podszywające się pod aplikacje AdBlock. Podczas pierwszego uruchomienia prosi o pozwolenie na wyświetlanie na innych aplikacjach. Dzięki temu uprawnieniu aplikacja może ukryć się przed programem uruchamiającym.

Banker.ZF — aplikacje, które podszywają się pod aplikacje bankowe i mogą imitować rozmowę z obsługą klienta. Gdy złośliwe oprogramowanie uruchamia się po raz pierwszy, prosi o uprawnienia dostępu do kontaktów, mikrofonu, geolokalizacji i kamery. Po przyznaniu uprawnień złośliwe oprogramowanie może odbierać polecenia z serwera C&C, aby wydobyć poufne dane z telefonu.

SMSSend.AXW, AYE — złośliwe oprogramowanie, które przy pierwszym uruchomieniu próbuje zarejestrować się jako domyślna aplikacja do obsługi SMS-ów, prosząc użytkownika o zgodę. Jeśli się powiedzie, zbiera przychodzące i wychodzące wiadomości użytkownika i przekazuje je do serwera dowodzenia i kontroli (C&C).

Marcher.AS — aplikacje, które podszywają się pod aplikacje ze Sklepu Play. Złośliwe oprogramowanie próbuje prosić o uprawnienia dostępu do przechwytywania naciśnięć klawiszy i wykorzystuje funkcję nagrywania ekranu VNC do rejestrowania aktywności użytkownika na telefonie.

Zgłoszenie dotyczące phishingu z Homografem

Ataki na homografy służą do nadużywania międzynarodowych nazw domen (IDN). Zagrożenia tworzą międzynarodowe nazwy domen, które podszywają się pod docelową nazwę domeny. Kiedy mówimy o „celu” ataków phishingowych opartych na homografach IDN, mamy na myśli domenę, pod którą przestępcy próbują się podszyć.

Poniżej znajduje się lista 10 najczęściej sfałszowanych domen wykorzystywanych w kampaniach phishingowych.

Wykres-5-10-domen

Maksymalne Bezpieczeństwo

Bitdefender – najlepszy Antywirus

Marken – kontakt