Trzeci rok z rzędu firma Webroot przebadała największe cyberzagrożenia i oceniła je, aby określić, które z nich są absolutnie najgorsze. Ataki typu phishing i naruszenia związane z protokołem RDP pozostają głównymi metodami, z jakich korzystali cyberprzestępcy do przeprowadzania ataków. Ponadto, chociaż każdego dnia pojawiają się nowe przykłady złośliwego oprogramowania oraz taktyk cyberprzestępców, wielu tych samych starych graczy, takich jak oprogramowanie ransomware, nadal otrzymuje aktualizacje i dominuje na scenie.Nowym trendem w oprogramowaniu ransomware w tym roku jest pojawianie się strony internetowej z wyciekiem danych lub aukcji, na której przestępcy ujawniają lub sprzedają dane, które ukradli podczas ataku ransomware, jeśli ofiara odmówi zapłaty. Zagrożenie ujawnieniem danych stwarza dalszą zachętę dla ofiar do zapłacenia okupu, aby uniknąć wstydliwego uszczerbku reputacji osobistej lub zawodowej, nie wspominając o wysokich karach nakładanych przez organy regulacyjne związane z prywatnością, takie jak RODO.Głównym trendem, który tutaj podkreślimy, jest modułowość. Dzisiejsi złośliwi aktorzy przyjęli bardziej modułową metodologię złośliwego oprogramowania, w której łączą metody ataków i taktyki mieszania i dopasowywania, aby zapewnić maksymalne szkody i sukces finansowy.Oto kilka najbardziej paskudnych postaci i opis tego, jak mogą ze sobą współpracować.Botnet Emotet + Trojan TrickBot + ransomware Conti / RyukJest powód, dla którego Emotet jest na szczycie listy przez 3 lata z rzędu. Chociaż sam w sobie nie jest zagrożeniem typu ransomware, to botnet jest odpowiedzialny za większość infekcji ransomware. Botnet ten jest używany w złośliwej kampanii spamowej. Nieświadomy pracownik firmy otrzymuje wiadomość spam, przypadkowo pobiera złośliwy ładunek. Trzymając stopę w drzwiach, Emotet upuszcza TrickBota, trojana kradnącego informacje. TrickBot rozprzestrzenia się bocznie w sieci jak robak, infekując każdą napotkaną maszynę. „Nasłuchuje” danych logowania (i kradnie je), starając się uzyskać dostęp na poziomie domeny. Stamtąd atakujący mogą przeprowadzać rozpoznanie w sieci, wyłączać zabezpieczenia i rozpowszechniać oprogramowanie ransomware Conti / Ryuk w dowolnym momencie.Ursnif Trojan + IcedID Trojan + Maze ransomwareUrsnif, znany również jako Gozi lub Dreambot, to trojan bankowy, który pojawił się ponownie po kilku latach braku aktywności. W ataku obejmującym to kłopotliwe trio Ursnif może wylądować na komputerze za pośrednictwem złośliwego spamu, botnetu, a nawet TrickBota, a następnie upuścić trojana IcedID, aby zwiększyć szanse atakujących na uzyskanie danych uwierzytelniających lub informacji jakich poszukują. Co ciekawe, IcedID został zaktualizowany, aby używać ładunków steganograficznych. Steganografia w złośliwym oprogramowaniu odnosi się do ukrywania złośliwego kodu w innym pliku, wiadomości, obrazie lub wideo. Kiedy już trojany uzyskają dane uwierzytelniające RDP w zainfekowanej sieci, osoby atakujące mogą sprzedać te dane innym złym podmiotom lub wdrożyć oprogramowanie ransomware, zazwyczaj Maze.Dridex / Emotet malspam + Dridex Trojan + BitPaymer / DoppelPaymer ransomwarePodobnie jak TrickBot, Dridex jest kolejnym bardzo popularnym trojanem bankowym, kradnącym informacje, który istnieje od lat. Kiedy Dridex jest w grze, jest upuszczany przez Emotet lub własną złośliwą kampanię spamową jego autorów. Podobnie jak TrickBot, Dridex rozprzestrzenia się bocznie, nasłuchuje poświadczeń i zazwyczaj wdraża oprogramowanie ransomware, takie jak BitPaymer / DoppelPaymer.Jak widać, istnieje wiele sposobów przeprowadzania ataków, ale cel końcowy jest mniej więcej taki sam. Różnorodne środki tylko pomagają zwiększyć prawdopodobieństwo sukcesu.Po bardziej szczegółowe informacje na temat najbardziej złośliwych zagrożeń w bieżącym roku zapraszamy na stronę Webroot: https://community.webroot.com/news-announcements-3/meet-the-nastiest-malware-of-2020-345415