Check Point upozorňuje na nárůst mobilního malwaru, nebezpečný je především HummingBad

Praha, 27. dubna 2016 – Check Point Software Technologies Ltd. (NASDAQ: CHKP), největší celosvětový dodavatel čistě bezpečnostních řešení, zveřejnil v průběhu zákaznické konference Check Point Experience (CPX) seznam malwarových rodin nejčastěji použitých v březnu 2016 ke kyberútokům na podnikové sítě a mobilní zařízení v ČR a po celém světě. Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se umístila až na 95. pozici, ale přesto sledujeme nárůst útoků a posun o 14. míst oproti únoru. Nejvíce kyberútoků směřovalo na Malawi. Největší změnou v žebříčku oproti únoru je výrazný nárůst kyberútoků na Bulharsko a jeho posun z 80. místa na 10. pozici. (TZ)

V únoru se vůbec poprvé dostal do Top 10 škodlivých kódů mobilní malware, v březnu trend pokračoval a  HummingBad byl 6. nejčastějším malwarovým útokem na světě. Poprvé byl mobilní škodlivý kód také v Top 10 za celé čtvrtletí, přestože byl HummingBad objeven výzkumníky společnosti Check Point až v únoru. Ukazuje to na velmi rychlý růst útoků na mobilní zařízení se systémem Android.

Check Point v průběhu března identifikoval více než 1300 různých malwarových rodin, což je drobný pokles oproti předchozímu měsíci. To ovšem neznamená, že by byl březen bezpečnějším měsícem, jen to ukazuje na skutečnost, že kyberzločinci nemusí vyvíjet zcela nový malware pro útočné aktivity. Prostě jen udělají drobné změny v existujících malwarových rodinách, které umožní aktualizovanou variantou obejít tradiční bezpečnostní opatření. Ukazuje se tak nutnost používat vyspělá preventivní opatření proti hrozbám, jako Check Point SandBlast a řešení pro prevenci mobilních hrozeb na úrovni sítí, koncových bodů a mobilních zařízení, aby došlo k zastavení škodlivého kódu už v předinfekční fázi.

Conficker byl v březnu nejrozšířenější malwarovou rodinou a byl zodpovědný za 20 % zaznamenaných útoků, vir Sality za 9,5 % útoků a Cutwail za 4 %. 10 nejčastějších mawlarových rodin bylo zodpovědných za více než polovinu zaznamenaných útoků.

  1. ↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
  2. ↔Sality: Vir, který umožňuje útočníkům vzdálené ovládání a stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
  3. ↑ Cutwail: Botnet nejčastěji využívaný pro rozesílaní nevyžádaných e-mailů a DDOS útoky. Jakmile je malware nainstalovaný, boty se připojí přímo k C&C serveru a přijímají pokyny o e-mailech, které mají rozesílat. Jakmile je úkol hotov, bot hlásí spammerům přesné statistiky.

Check Point také identifikoval nejčastější mobilní malware v březnu 2016, tři nejrozšířenější malwarové rodiny cílily na zařízení se systémem Android:

  1. ↔ HummingBad – Malware zaměřený na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  2. ↔ AndroRAT: Malware, který je schopen přibalit se k nějaké legitimní mobilní aplikaci a nainstalovat se bez vědomí uživatele, což hackerům umožňuje získat vzdáleně plnou kontrolu nad zařízením se systémem Android.
  3. ↑ Iop: Malware zaměřený na zařízení se systémem Android, který instaluje aplikace a zobrazuje nadměrné množství reklam pomocí root přístupu k mobilnímu zařízení. Množství reklamy a nainstalovaných aplikací neumožňuje uživateli používat přístroj jako obvykle.

„Po překvapivém únorovém umístění mobilního malwaru HummingBad v Top 10 všech malwarových rodin pokračuje růst těchto útoků i v březnu. Skutečnost, že tato dříve neznámá hrozba je již v první desítce světových malwarových rodin za celé první čtvrtletí roku 2016 ukazuje, jak reálné a rychlé nebezpečí je nárůst mobilního malwaru. Závislost organizací na mobilních zařízeních roste každým dnem, ale mobilní bezpečnost i nadále zaostává za zabezpečením sítí. Dnes je ještě důležitější než kdykoli dříve používat účinnou ochranu podnikových mobilních zařízení,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point.

Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.

Check Point analyzoval i malware v České republice. Stejně jako v celosvětovém žebříčku je i v České republice na prvním místě Conficker.

Top 10 malwarových rodin v České republice – březen 2016
Malwarová rodina Popis
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Graftor Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.
Cryptodef Cryptodef je ransomware, která šifruje nebinární uživatelské soubory, jako jsou texty, dokumenty, obrázky, videa a další. Následně zobrazí textový soubor s pokyny k dešifrování souborů a pokyny pro platbu za použití dešifrovacích služeb. Obvykle je stažen jiným malwarem, které je již v počítači nainstalovaný, nebo je stažen přímo během procházení škodlivých nebo infikovaných webových stránek.
Angler ek Angler byl poprvé detekován na konci roku 2013. Na začátku roku 2015 se jednalo o nejširší exploit kit a platí to i v roce 2016. Angler je známý pro rychlé využívání zranitelností nultého dne, někdy během pouhých několika dnů od prvního zveřejnění. Infekce začíná, když je prohlížeč přesměrován na vstupní infikovanou stránku, která obsahuje dobře maskovaný JavaScript. Úvodní stránka identifikuje verzi plug-inu v infikovaném počítači, takže lze využít dostupné zranitelnosti. Snaží se také zjistit, zda je zranitelný systém virtuální stroj. K útokům je nejčastěji využíván Flash, ale aktivní slabiny jsou také pro Javu, Silverlight, Acrobat nebo staré verze Internet Exploreru.
Nlbot Nlbot je backdoor, který se zaměřuje na platformu Windows. Malware rozesílá systémové informace a přijímá různé příkazy z řídicího serveru, které mohou umožnit útočníkovi nahrávat/stahovat soubory, spouštět vzdáleně shell, získat protokoly, získat informace o peer botech, aktualizovat malware a řadu dalších věcí. Malware se dostane do Explorer.exe a dalších procesů pro skrývání své aktivity. Vytváří různé položky v registru, aby se aktivoval hned po restartování systému.
Ponmocup Ponmocup je trojan, který se zaměřuje na platformu Windows. Malware modifikuje soubory v infikovaném systému, aby zabránil v přístupu k populárním torrentovým vyhledávačům. Do infikovaného systému také stahuje další škodlivé soubory.
Ctb-locker CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.
Pbot Pbot je škodlivý program typu „zadní vrátka“, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům poskytl vzdálenou kontrolu nad infikovaným počítačem.
Cutwail Cutwail je botnet využívaný pro rozesílání e-mailového spamu. Bot se připojí přímo k C&C serveru a přijímá pokyny o e-mailech, které má rozesílat. Po dokončení úkolu reportuje spammerům přesné statistiky, kolik e-mailů bylo doručeno a kolik hlásilo chybu. Cutwail je využíván také pro DDoS útoky.
Locky Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.