Check Point Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil nejnovější Index hrozeb, který upozorňuje na nejrozšířenější malwarové rodiny použité k útokům na podnikové sítě a mobilní zařízení v květnu 2016. Počet aktivních malwarových rodin vzrostl oproti předchozímu měsíci o 15 procent.
Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika zaznamenala v dubnu dramatický posun o 55 míst až na 40. pozici, květen ale přinesl trochu uklidnění a pokles o 13 míst na 53. pozici. Pro srovnání, Slovensko se umístilo na bezpečnější 85. pozici. Druhý měsíc po sobě je v Indexu hrozeb na 1. pozici Nepál.
Check Point v květnu detekoval 2300 unikátních a aktivních malwarových rodin útočících na podnikové sítě. Druhý měsíc v řadě došlo k nárůstu unikátních malwarových rodin. Výsledky ukazují celou řadu hrozeb, kterým čelí podnikové sítě, a jejich rozsah, na který musí být bezpečnostní týmy při prevenci útoků na obchodní kritické informace připravené. Jedná se zejména o:
Conficker zůstává i nadále nejběžněji používaným malwarem, druhou nejčastější formou malwarové infekce se v květnu stal bankovní trojan Tinba, který umožňuje hackerům krást přihlašovací údaje a aktivuje se, když se uživatel pokusí přihlásit ke svému účtu na webových stránkách banky.
Útoky na mobilní zařízení se i nadále drží na vysoké úrovni, jelikož malware HummingBad pro Android zůstal v Top 10 všech malwarových útoků napříč všemi platformami. Přestože byl objeven výzkumníky Check Point až v únoru, velmi rychle se stal běžně používaným malwarem, což znamená, že hackeři vidí mobilní zařízení Android jako slabé místo v podnikové bezpečnosti a jako potenciálně velmi lukrativní cíle.
„I nadále vidíme významný nárůst unikátních a aktivních malwarových rodin, které cílí na podnikové sítě, což vypovídá o maximální snaze hackerů o vytváření nových útoků nultého dne a varuje před šíří hrozeb, kterým dnes organizace čelí při zabezpečení sítí proti kyberzločincům,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point. „Společnosti musí zvážit použití pokročilých řešení pro prevenci hrozeb pro sítě, koncové body a mobilní zařízení, aby došlo k zastavení malwaru ještě v předinfekční fázi a byla zaručena efektivní ochrana před nejnovějšími hrozbami.“
Celkově byl v květnu nejrozšířenější malwarovou rodinou Conficker a byl zodpovědný za 14 procent detekovaných útoků, což je pokles o 3 procentní body oproti předchozímu měsíci. Malwarové rodiny Tinba a Sality byly zodpovědné každá za 9 procent zaznamenaných útoků. Celkově bylo Top 10 malwarových rodin zodpovědných za 60 procent všech identifikovaných útoků:
-
↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
-
↑ Tinba – Tinba, někdy též označovaný jako Tiny Banker nebo Zusy, je trojan zaměřený na banky, který krade přihlašovací údaje. Aktivuje se, jakmile se uživatel pokusí přihlásit na webových stránkách své banky.
-
↓ Sality – Vir, který umožňuje útočníkům vzdálené ovládání , stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
Mobilní malwarové rodiny představovaly i v květnu významnou hrozbu pro podniková mobilní zařízení, 6 mobilních malwarů bylo v Top 100 všech malwarových rodin. Většina mobilních hrozeb cílila na Android, ale pokračoval i trend z dubna a nárůst útoků na iOS. Tři nejrozšířenější malwarové rodiny v květnu 2016 byly:
-
↔ HummingBad - Malware zaměřený na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
-
↔ Iop: Malware zaměřený na zařízení se systémem Android, který instaluje aplikace a zobrazuje nadměrné množství reklam pomocí root přístupu k mobilnímu zařízení. Množství reklamy a nainstalovaných aplikací neumožňuje uživateli používat přístroj jako obvykle.
-
↔ XcodeGhost: Kompromitovaná verze vývojářské iOS platformy Xcode. Tato neoficiální verze Xcode byla upravena pro vložení škodlivého kódu do jakékoli aplikace, která byla vyvinuta a vytvořena s její pomocí. Kód potom odešle informace o aplikaci na C&C server, což umožňuje infikované aplikaci číst ze schránky zařízení.
Top 10 malwarových rodin v České republice – květen 2016 |
|
Malwarová rodina |
Popis |
Tinba |
Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit. Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje. Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru). |
Angler ek |
Angler byl poprvé detekován na konci roku 2013. Na začátku roku 2015 se jednalo o nejširší exploit kit a platí to i v roce 2016. Angler je známý pro rychlé využívání zranitelností nultého dne, někdy během pouhých několika dnů od prvního zveřejnění. Infekce začíná, když je prohlížeč přesměrován na vstupní infikovanou stránku, která obsahuje dobře maskovaný JavaScript. Úvodní stránka identifikuje verzi plug-inu v infikovaném počítači, takže lze využít dostupné zranitelnosti. Snaží se také zjistit, zda je zranitelný systém virtuální stroj. K útokům je nejčastěji využíván Flash, ale aktivní slabiny jsou také pro Javu, Silverlight, Acrobat nebo staré verze Internet Exploreru. |
Conficker |
Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky. |
Zeus |
Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru. Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů. V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem. |
Cryptodef |
CryptoDefense (nebo Cryptodef) je ransomware poprvé použitý v roce 2014, který navazuje na nechvalně známý Cryptowall. Šifruje nebinární uživatelské soubory, jako jsou texty, dokumenty, obrázky, videa a další. Následně zobrazí textový soubor s pokyny k dešifrování souborů a pokyny pro platbu za použití dešifrovacích služeb. Obvykle je stažen jiným malwarem, které je již v počítači nainstalovaný, nebo je stažen přímo během procházení škodlivých nebo infikovaných webových stránek. |
Graftor |
Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware. |
HackerDefender |
HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat. |
Zeroaccess |
ZeroAccess je trojan, který pro maskování využívá pokročilý rootkit. Může také vytvořit skrytý souborový systém, stahovat další malware, měnit výsledky vyhledávání a otevřít zadní vrátka v infikovaném počítači. Podílí se na těžbě Bitcoin a klikání. Trojské koně se v této rodině mohou stahovat a spouštět další soubory, obraťte se na vzdálené počítače a vypnout bezpečnostní funkce. Varianty ZeroAccess mohou být nainstalovány dalším malwarem, včetně variant Necurs. Trojan se nazývá ZeroAccess kvůli řetězci v kódu kernelového ovladače, který odkazuje na původní složku projektu s názvem ZeroAccess. ZeroAccess botnet byl objeven kolem května 2011 a odhaduje se, že rootkit zodpovědný za rozšíření botnetu působí na nejméně 9 milionech systémů |
DNSChanger |
DNSChanger je backdoor, který se zaměřuje na platformu Windows. Tento malware může být stažen jiným škodlivým kódem s názvem Mamba. Mění DNS nastavení na infikovaném počítači a nahrazuje název serveru nebezpečnými DNS servery. Navíc otevírá zadní vrátka vzdáleným útočníkům a vytváří naplánovanou úlohu, která se spouští denně, takže ji nezruší ani restart počítače. |
CTB-Locker |
CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného. |
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Index hrozeb společnosti Check Point
Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.
Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal