Привет, Хабр! Сегодня мы расскажем в нашем дайджесте о тенденциях вредоносного ПО атаковать Linux, о печальной участи бренда DHL в спамерских кампаниях. Также вы узнаете, почему в отличие от Нео вам не нужно ходить за белым кроликом и какого вредоносного ПО стоит опасаться, если у вас есть криптокошелек.
Похоже, начинается бум вредоносного ПО под Linux
Согласно открытой статистике ОС Linux используется примерно на 72% устройств Интернета Вещей (IoT), 90% серверов, обеспечивающих облачную инфраструктуру, а также на всех из 500 самых мощных суперкомпьютеров. Все это делает ОС из семейства Linux привлекательной целью для атак. Вероятно, поэтому количество вредоносного ПО, нацеленного на Linux выросло на 35% за 2021 год.
Большая часть вредоносного ПО под Linux направлено на организацию DDoS (distributed denial of service) атак и ботнетов. Но в последнее время специалисты по киберзащите наблюдают и другие виды атак, которые становятся все более активными.
Обратимся немного к статистике прошлых лет. Например, в первой половине 2020 года вредоносное ПО, написанное на Golang специально под Linux показало рост активности на 500%. В 2021 произошли массированные заражения печально известными ботнетами Mirai, XorDDoS и Mozi. Вместе они составили порядка 22% всего вредоносного ПО для Linux. При этом Mozi показал десятикратный рост, а XorDDoS удалось увеличить базу зараженных систем на 123%.
Тем не менее уже сегодня можно использовать комплексные средства защиты, в том числе, работающие с ОС Linux. И, как показывает отчет Acronis Cyber Readiness Report организации все чаще хотят использовать единую систему защиты для всех видов ОС — или хотя бы для большинства. Чтобы снизить сложность поддержки и обеспечения безопасности. В таких условиях продукты, не поддерживающие Linux, оставляют большие бреши в системе корпоративной защиты.
DHL забрала пальму первенства у Microsoft как прикрытие для фишинга
По итогам последнего квартала 2021 года компания Microsoft, наконец, потеряла пальму первенства в вопросах имитации спамерами. Теперь чемпионом в этой сфере является DHL.
Согласно общей мировой статистике целых 23% всего фишинга использовало бренд DHL. Таким образом письма от компании стали своего рода знаком мошенничества, ведь реальные сообщения от DHL приходят очень многим — компания доставляет более 1,6 миллиардов посылок в год. Рост популярности интернет-торговли (в том числе трансграничной), судя по всему, навел злоумышленников на новые идеи. Фишинговые письма стали все чаще приходить якобы от лица DHL, в которых говорится о задержке посылок на таможне. Также популярная схема — прятать фейковые трекинговые номера в документах, зараженных тем или иным вредоносным ПО.
Таким образом, если вы являетесь клиентов DHL (хотя бы иногда), сегодня самое время проверить, установлена ли защита электронной почты и модули фильтрации URL в вашем программном обеспечении для киберзащиты.
Не стоит ходить за Белым Кроликом
Известная своими кознями хакерская группа FIN8 судя по всему начала развивать свою экспертизу в области Ransomware. Их новая программа-вымогатель как нельзя кстати к выходу новой серии “Матрицы” называется White Rabbit.
FIN8 - это группировка с четкими финансовыми целями. Они используют масштабные фишинговые кампании для атак на ритейл, рестораны и гостиницы. А новая версия Ransomware White Rabbit, судя по результатам анализа, распространяется при помощи Badhatch (aka Sardonic), собственного бэкдора от FIN8.
Все это не вызывает оптимизма, потому что правительство США отмечает, что только в Штатах объемы платежей вымогателям приближаются к миллиардной отметке. И чтобы не пополнять кошельки мошенников специалисты рекомендуют использовать механизмы противодействия Ransomware, опирающиеся на поведенческий анализ и искусственный интеллект.
BHUNT крадет криптовалюту…и весьма успешно
Программа-infostealer под названием BHUNT начала настоящую охоту на содержимое криптокошельков. Вредоносное ПО ищет пароли и сид-фразы, чтобы получить доступ к криптоактивам своих жертв.
BHUNT встраивается в explorer.exe и является модульной угрозой. Модули ПО позволяют атакующим кастомизировать свои кампании и использовать вредоносное ПО для своих целей — кражи паролей, сбора информации из браузеров, заметания следов вредоносной активности и так далее.
Это вредоносное ПО использует такие техники как “heavy encryption”. То есть решение поступает в систему запакованным и подписанным украденным цифровым сертификатом. Это в большинстве случаев позволяет избежать обнаружения. BHUNT в настоящее время нацелен на кражу Atomic, Bitcoin, Electrum, Ethereum, Exodus, Jaxx и Litecoin. Соответственно, атаки происходят на подходящие кошельки.
Чтобы ваша криптовалюта не утекла до того, как система безопасности обнаружит угрозу, лучше все-таки применять технологии поведенческого анализа для защиты от угроз нулевого дня.