Trickbot ponownie wraca na pierwsze miejsce najczęściej wykorzystywanego malware’u na świecie. W Polsce we wrześniu pojedyncza organizacja atakowana była średnio 631 razy w tygodniu, a najczęściej wykrywanym zagrożeniem był Formbook – wynika z danych Check Point Research. W jaki sposób zagrażają nam czołowe rodziny złośliwego oprogramowania?

 

Badacze bezpieczeństwa cybernetycznego z Check Point Research donoszą, że trojan bankowy Trickbot powrócił na szczyt światowej listy najczęściej wykorzystywanego złośliwego oprogramowania. Szkodliwe oprogramowanie w przypadku przedostania się do naszych komputerów, potrafi kraść dane finansowe, dane uwierzytelniające konta oraz informacje umożliwiające identyfikację użytkownika. 

 

Co więcej, Trickbot jest zdolny do dalszego rozprzestrzeniania się po sieci oraz pobierania oprogramowania ransomware, które ma za cel zaszyfrowanie naszych danych dla okupu. Trojan ten zyskał na popularności w momencie usunięcia botnetu Emotet w styczniu 2021 roku. Zdaniem ekspertów oprogramowanie odpowiedzialne za zainfekowanie około 4,1% organizacji jest stale aktualizowane o nowe funkcje i wektory dystrybucji, dzięki czemu może być wykorzystywane kampaniach atakujących różne cele.

 

Wśród czołowych „cyber-szkodników” badacze Check Point Research wyróżnili również Formbooka oraz XMRig. Pierwszy z nich był we wrześniu głównym narzędziem skierowanym przeciwko polskim przedsiębiorstwom, które atakowane były średnio 631 razy w tygodniu. Formbook infekował  blisko 4,6% firm i organizacji w Polsce o ponad 3% w skali globalnej.

 

Najczęściej wykrywane szkodliwe oprogramowanie we wrześniu 2021 roku

(szacunkowy wpływ na odsetek organizacji) 

Świat

Polska
 

1. ↑ Trickbot (4,1%) - modułowy trojan botnetowy i bankowy, dostarczany głównie za pośrednictwem kampanii spamowych lub innych rodzin złośliwego oprogramowania. Trickbot wysyła informacje o zainfekowanym systemie, a także może pobierać i uruchamiać dowolne moduły dodatkowe: od modułu VNC do zdalnego sterowania po moduł SMB do rozprzestrzeniania się w zaatakowanej sieci. Gdy maszyna zostanie zainfekowana, możliwa jest nie tylko kradzież danych uwierzytelniających oraz bankowych, ale także ruchy boczne oraz rekonesans całej sieci organizacji, przed przeprowadzeniem ukierunkowanego ataku ransomware.

1. ↑ Formbook (4,6%) - InfoStealer, po raz pierwszy wykryty w 2016 roku, którego celem jest system operacyjny Windows. Jest sprzedawany jako MaaS na podziemnych forach hakerskich ze względu na silne techniki uników i stosunkowo niską cenę. FormBook zbiera dane uwierzytelniające z różnych przeglądarek internetowych, zbiera zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i uruchamiać pliki zgodnie z zamówieniami z centrum kontroli.

2. ↓ Formbook (3,1%) - InfoStealer, po raz pierwszy wykryty w 2016 roku, którego celem jest system operacyjny Windows. Jest sprzedawany jako MaaS na podziemnych forach hakerskich ze względu na silne techniki uników i stosunkowo niską cenę. FormBook zbiera dane uwierzytelniające z różnych przeglądarek internetowych, zbiera zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i uruchamiać pliki zgodnie z zamówieniami z centrum kontroli.

2. ↓ AgentTesla (2,7%) - RAT trojan zdalnego dostępu, który działa jako keylogger i złodziej haseł. Potrafi monitorować i zbierać dane wprowadzane z klawiatury i schowka systemowego ofiary, a także rejestrować zrzuty ekranu i wydobywać dane uwierzytelniające wprowadzone do różnych programów zainstalowanych na komputerze ofiary (w tym Google Chrome, Mozilla Firefox i klient poczty Microsoft Outlook). AgentTesla jest otwarcie sprzedawany jako legalny RAT, a klienci płacą od 15 do 69 USD za licencje użytkownika.
 

3. ↑ XMRig (3%) -  XMRig to oprogramowanie do kopania kryptowaluty Monero, które po raz pierwszy pojawiło się w maju 2017 r. Wykorzystuje w tym celu moc CPU zainfekowanych komputerów. 

3. ↑ WastedLocker (2,2%) – wyspecjalizowany i ukierunkowany ransomware typu post-intrusion, atakujący organizacje postrzegane jako dysponujące dużą ilość zasobów. Potrafi wdrażać specjalnie spreparowane oprogramowanie ransomware w jak największej liczbie systemów w tej organizacji w krótki czas, aby zmaksymalizować wpływ i zwiększyć szanse na otrzymanie znacznie większego okupu. Wykorzystany był m.in. w ataku na firmę Garmin.
 

 

Firma Check Point Software oświadczyła również, że we wrześniu „Ujawnianie informacji o repozytorium Git na serwerze sieci Web” było najczęściej wykorzystywaną luką, mającą wpływ na 44% organizacji na całym świecie. Najczęściej wykorzystywanym typem mobilnego malware’u był z kolei xHelper, odpowiadający za pobieranie innych złośliwych programów oraz wyświetlający uciążliwe reklamy.


 


Zobacz również

Cyfryzacja uwalnia uśpione moce firm B2B
Cyfryzacja uwalnia uśpione moce firm B2B
Jak zatrzymać cyfrowy „łańcuch śmierci”?
Jak zatrzymać cyfrowy „łańcuch śmierci”?
Jak wygląda e-commerce u naszych sąsiadów?
Jak wygląda e-commerce u naszych sąsiadów?