TOP

KYBEZ

Mapa kybernetických hrozeb

Check Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého i nadále roste počet kyberútoků využívajících exploit kity. Nejčastější formou útoku se stal exploit kit Rig.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika si oproti březnu polepšila a ze 43. příčky se posunula o 20 míst mezi bezpečnější země na 63. místo. Hned na sousedním 62. místě je Slovensko, které se ale naopak posunulo mezi nebezpečnější země z březnové klidnější 97. příčky. Na prvním místě se v Indexu hrozeb už třetí měsíc za sebou umístila Zambie. Největší skok mezi nebezpečnější země zaznamenala Albánie, která se posunula o 64 míst na 41. příčku.

Exploit kity jsou určené k objevení a zneužití zranitelnosti v počítačích a ke stažení a spuštění dalších škodlivých kódů. Až do minulého měsíce jejich využití klesalo, ale v březnu došlo k nárůstu útoků, především v důsledku vzestupu exploit kitů Rig a Terror.

Check Point odhalil také náhlé oživení červa Slammer, který se po dlouhé přestávce vrátil do Top 3 nejčastějších škodlivých kódů. Slammer se poprvé objevil v roce 2003. Cílil na Microsoft SQL 2000 a šířil se tak rychle, že mohl způsobit odepření služby u některých postižených cílů. Je to podruhé za několik uplynulých měsíců, co se červ dostal do Top 10 Celosvětového indexu dopadu hrozeb, což ukazuje, jak i desetiletý malware může být znovu úspěšný a nebezpečný.

Top 3 malwarové rodiny využívaly širokou škálu útočných vektorů a taktik a měly vliv na celý infekční řetězec. Nejrozšířenějším malwarem v dubnu byly Rig EK a HackerDefender, které ovlivnily 5 %, respektive 4,5 % organizací po celém světě. Na třetím místě se umístil červ Slammer, který měl dopad na 4 % společností.

 

Top 3 – malware:

Rig EK – Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

HackerDefender – Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.

Slammer – Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Mobilní malware na prvních 2 místech nezaznamenal oproti březnu žádnou změnu, na 3. místo se posunul hackerský nástroj Lotoor.

 

Top 3 – mobilní malware:

Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Hummingbad – Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.

Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

„Minulý měsíc jsme viděli prudký nárůst útoků pomocí exploit kitů, což potvrzuje, že staré, ale účinné kyberhrozby nemizí. Často se znovu objevují a vrací vylepšené a aktualizované, takže jsou opět nebezpečné. Důkazem je i fakt, že se červ Slammer dostal do Top 3 škodlivých kódů za duben,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Kyberzločinci vždy raději přizpůsobí nástroje, které již mají k dispozici, než aby vyvíjeli zcela nové útočné nástroje. Je to jednodušší, rychlejší a výhodnější. Pro organizace je to varováním, že musí zůstat ve střehu a nasadit sofistikované bezpečnostní systémy, které chrání proti nejrůznějším útokům.“

Check Point analyzoval i malware útočící na podnikové sítě v České republice a nadále pokračoval vzestup exploit kitů. Rig EK si polepšil ještě o jednu příčku oproti březnu a umístil se hned za vedoucím rootkitem HackerDefender. Podobně jako ve světě i v ČR posílil červ Slammer, který se ze 7. pozice posunul na 4. Naopak v březnu 3. ransomware Cryptowall se propadl až na 7. příčku. Tradičně vysoko se drží Conficker, ale už zdaleka nedominuje tak, jako to bylo v roce 2016.

Top 10 malwarových rodin v České republice – duben 2017

Malwarová rodina

Popis

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Rig ek

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Slammer

Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Adwind

Adwind je backdoor, který cílí na systémy podporující Java runtime prostředí. Malware Adwin rozesílá informace o systému a přijímá příkazy od vzdáleného útočníka. Příkazy mohou být použity například k zobrazení zprávy v systému, otevření URL, aktualizaci malwaru, stažení/spuštění souboru nebo stažení/nahrání pluginu. Stahovatelné pluginy pro malware mohou poskytnout další funkce, včetně možností vzdáleného ovládání a spouštění shell příkazů.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

Ghost

Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.

Datan

Nepříznivě ovlivňuje výkon počítače.

Graftor

Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.

RookieUA

RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Business

Škodlivý program zaměřený na platformu Windows. Simuluje činnost antiviru nebo bezpečnostních modulů operačního systému.

Darkness

Darkness je backdoor bot agent, který infikuje hostitelské stroje se systémem Windows a přijímá vzdáleně příkazy od útočníků. Může být využit k DDoS útokům. Šíří se prostřednictvím e-mailů, vyměnitelných zařízení nebo síťových sdílení.

BoA

Nový bankovní malware.

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den

Autor: Petr Smolník, šéfredaktor