Uwaga na fałszywe aktualizacje! Nowe zagrożenie dla polskich firm
Hakerzy wykorzystują pliki wirtualnego dysku twardego (VHD) do dostarczania wirusa – trojana zdalnego dostępu (RAT) Remcos. W ten sposób omijają zabezpieczenia, uzyskując nieautoryzowany dostęp i infekując urządzenia ofiar – ostrzegają eksperci firmy Check Point Research. W Polsce ogromnym zagrożeniem są fałszywe aktualizacje! FakeUpdates to downloader, który dostarcza złośliwe ładunki na komputery ofiar i jest obecny w ponad 4 proc. polskich sieci firmowych.
Remcos to znane szkodliwe oprogramowanie, które można spotkać w sieci od 2016 r. W najnowszej kampanii wykorzystującej to narzędzie, hakerzy w sprytny sposób omijają środki bezpieczeństwa, aby chcą uzyskać dostęp do urządzeń ofiar. Analitycy Check Point Research zauważają, że pomimo legalnego pochodzenia narzędzia do zdalnego zarządzania systemami Windows, cyberprzestępcy zaczęli wykorzystywać jego zdolność do infekowania urządzeń, przechwytywania zrzutów ekranu, rejestrowania naciśnięć klawiszy i przesyłania zebranych danych do wyznaczonych serwerów hostów. Co więcej, trojan zdalnego dostępu (RAT) posiada funkcję masowej wysyłki pocztowej, która może realizować kampanie scamowe, a jego różne funkcje mogą być wykorzystywane do tworzenia botnetów. W zeszłym miesiącu Remcos awansował na czwartą pozycję na liście najpopularniejszych szkodliwych programów na świecie.
– Ewolucja taktyk ataków uwydatnia nieustanny rozwój strategii cyberprzestępczych – zauważa Maya Horowitz, wiceprezes ds. badań w Check Point Software. – To podkreśla potrzebę priorytetowego traktowania przez organizacje środków proaktywnych. Zachowując czujność, wdrażając solidną ochronę punktów końcowych i rozwijając kulturę świadomości bezpieczeństwa cybernetycznego, możemy wspólnie wzmocnić naszą obronę przed ewoluującymi zagrożeniami cybernetycznymi.
W Polsce mamy zagrożenie fałszywymi aktualizacjami i niebezpiecznym ransomware
Z danych opublikowanych przez Check Point Research wynika, że w marcu czołowymi zagrożeniami w Polsce były: downloader FakeUpdates z 4-proc. wpływem na sieci firmowe, backdoor Jorik obecny w ponad 2 proc. sieci oraz ransomware Snatch, wpływający na ponad 1,6 proc. sieci. Ostatni z nich należy do grupy oprogramowania ransomware jako usługi (RaaS), działającej w modelu podwójnego wymuszenia, które to polega zarówno na kradzieży, jak i szyfrowaniu danych ofiary w celu wymuszenia.
Wśród grup ransomware wciąż dominuje Lockbit3, z ponad 12-proc. udziałem w światowych atakach dla okupu, pomimo zatrzymania w lutym przez organy ścigania członków grupy dystrybuującej to szkodliwe narzędzie. Tuż za Lockbit3 znajduje się Play z 10-proc. udziałem oraz grupa Blackbasta (9 proc.), która przyznała się do niedawnego cyberataku na szkocką firmę prawniczą Scullion Law.