Эксперты компании Check Point подготовили ежемесячный отчет о наиболее активных угрозах, Global Threat Index, за сентябрь 2020 года. По данным исследователей, обновленная версия
инфостилера Valak впервые вошла в топ самых распространенных вредоносных
программ месяца, заняв в нем девятое место.
Впервые Valak был обнаружен в конце 2019 года, и на данный момент он
представляет собой весьма сложную угрозу. Так, если ранее Valak
классифицировали как обычный загрузчик малвари, то в последние месяцы
появились новые вариации со значительными функциональными изменениями.
Они позволили Valak стать полноценным инфостилером, который способен
атаковать как отдельных пользователей, так и организации. Исследователи
предупреждают, что новая версия Valak способна похищать информацию из
почтовых систем Microsoft Exchange, например, учетные данные
пользователей и сертификаты домена.
По данным компании, в сентябре 2020 года Valak активно распространялся через спам-кампании, содержащие вредоносные файлы .doc.
«Новые кампании Valak – еще один пример того, что
злоумышленники стремятся максимизировать свои вложения в уже известные,
проверенные формы вредоносного ПО, –– рассказывает Василий
Дягилев, глава представительства Check Point Software Technologies в
России и СНГ. –– Вместе с обновленными версиями Qbot, появившимися в
августе, Valak нацелен на масштабные кражи данных как организаций, так и
отдельных людей. Мы рекомендуем компаниям заранее продумать внедрение
защиты от таких вредоносных программ. Необходимо предотвратить попадание
такого контента к конечным пользователям, и попросить своих сотрудников
быть предельно осторожными, открывая электронные письма, даже если
кажется, что они пришли от надежного источника».
В целом в сентябре 2020 года топ наиболее активных вредоносов в России выглядел следующим образом:
- Emotet— продвинутый самораспространяющийся
модульный троян. Когда-то был рядовым банкером, но в последнее время
используется для распространения вредоносных программ и кампаний. Новая
функциональность позволяет рассылать фишинговые письма, содержащие
вредоносные вложения или ссылки.
- Trickbot— один из доминирующих банковских троянов,
который постоянно дополняется новыми возможностями, функциями и
векторами распространения. Trickbot – гибкое и настраиваемое вредоносное
ПО, которое может распространяться в рамках многоцелевых кампаний.
- RigEK –– содержит эксплоиты для Internet Explorer,
Flash, Java и Silverlight. Заражение начинается с перенаправления на
целевую страницу, содержащую Java-скрипт, который ищет уязвимости и
применяет эксплоиты.
Как обычно, мировой топ несколько отличается от российского. Так,
Emotet третий месяц подряд занимает первое место, затрагивая 14%
организаций по всему миру. За ним следуют банкеры Trickbot (4%) и Dridex
(3%). Также отмечается, что троян Qbot, впервые вошедший в этот список в
августе текущего года, вновь широко эксплуатировался в сентябре,
поднявшись с десятого места на шестое.