Systematycznie analitycy z Check Point Research udostępniają dane zagrożeń dotyczące poszczególnych rodzin zagrożeń z podziałem na kraje. W ostatnich tygodniach najpopularniejszym na świecie szkodliwym oprogramowaniem był trojan bankowy Qbot. Natomiast w Polsce dominuje Formbook, który wykryty został w niemal co dziesiątej sieci firmowej chronionej przez oprogramowanie i sprzęt marki Check Point, w tym przez tzw. honeypoty – pułapki imitujące starsze systemu i oprogramowanie, które są podatne na ataki.
Trojan bankowy QBot i Formbook
Trojan bankowy Qbot od roku 2008 jest konsekwentnie rozwijany, uzyskuje dodatkowe funkcjonalności, jak kradzież haseł, wiadomości e-mail i danych kart kredytowych. Zazwyczaj jest rozpowszechniany za pośrednictwem wiadomości spam i wykorzystuje różne techniki, takie jak metody anty-VM, anty-debugowanie i anty-sandbox, aby utrudnić analizę i uniknąć wykrycia. W czerwcu br. Qbot został wykryty 6,7 proc. sieci na całym świecie i w niemal 6,2 proc. polskich sieci.
Polscy internauci powinni z kolei zwrócić szczególną uwagę na Formbooka, czyli tzw. infostealera, będącego i najbardziej rozpowszechnionym szkodliwym oprogramowaniem w Polsce (i drugim na świecie). Formbook odnaleziony został w 3,5 proc. sieci firmowych na świecie oraz aż w 9,1 proc. polskich sieci.
Narzędzie to jest sprzedawane na podziemnych forach hakerskich jako Malware as a Service (MaaS). Formbook potrafi zbierać dane uwierzytelniające z różnych przeglądarek internetowych, dokonywać zrzutów ekranu, monitorować i rejestrować naciśnięcia klawiszy oraz pobierać i uruchamiać pliki zgodnie z poleceniami z C&C.
Użytkowników systemu Android zszokować mogą dane dotyczące SpinOk, który po raz pierwszy znalazł się na szczycie rodzin mobilnego złośliwego oprogramowania. Program, który zbiera informacje o plikach przechowywanych na urządzeniu i wysyła je bezpośrednio do napastników, wykryty został w około 100 aplikacjach na Androida. Łączna liczba ich pobrań wynosi 421… milionów!
Zdaniem analityków Check Pointa, SpinOk stanowi poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników, co podkreśla potrzebę proaktywnych środków ochrony danych osobowych i urządzeń mobilnych. W zeszłym miesiącu rozpoczęto również zakrojoną na szeroką skalę kampanię ransomware, która dotknęła organizacje na całym świecie. W maju 2023 r. Progress Software Corporation ujawniła lukę w MOVEit Transfer i MOVEit Cloud (CVE-2023-34362), która może umożliwić nieautoryzowany dostęp do środowiska.
Mimo że luka została załatana w ciągu 48 godzin, to „eksploit MOVEit dowodzi, że rok 2023 już staje się znaczącym rokiem w oprogramowaniu ransomware. Grupy, takie jak Clop, nie działają taktycznie, aby zainfekować pojedynczy cel, ale zamiast tego zwiększają efektywność swoich operacji, wykorzystując oprogramowanie, które jest szeroko stosowane w środowisku korporacyjnym. Takie podejście oznacza, że mogą dotrzeć do setek ofiar w jednym ataku” – powiedziała Maya Horowitz, wiceprezes ds. badań w firmie Check Point Software.
