Check Point upozorňuje na nárůst malwarových útoků, ČR v říjnu ale mezi bezpečnějšími zeměmi

Praha, 8. prosince 2016 Check Point Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil nejnovější Index hrozeb, podle kterého v říjnu rostl počet malwarových útoků. Zveřejněn byl i žebříček nejrozšířenějších malwarových rodin, které jsou používané k útokům na podnikové sítě. (TZ)

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika zaznamenala v říjnu jeden z největších posunů mezi bezpečnější země a umístila se až na 115. pozici, zatímco v září byla na 72. místě. Podobně se mezi bezpečnější země posunulo i Slovensko, které je na 99. místě, když v září bylo na 61. pozici. Vůbec největší pozitivní posun zaznamenala Argentina, která z 59. zářijové pozice klesla na 120. příčku. Naopak nejvýrazněji se mezi nebezpečnější země posunulo Bělorusko, které se z bezpečné 117. příčky posunulo až na 33. pozici. Na prvním místě se v Indexu hrozeb umístila stejně jako v září Botswana.

Výzkumný tým společnosti Check Point zjistil, že v říjnu došlo k 5% nárůstu počtu aktivních malwarových rodin i počtu útoků na podnikové sítě. Ransomware Locky, který se poprvé objevil v únoru letošního roku, i nadále roste a posunul se ze třetí příčky mezi nejrozšířenějšími malwarovými rodinami na druhou. Bankovní trojan Zeus se posunul o dvě místa a vrátil se do Top 3. Důvodem dalšího vzestupu Lockyho je konstantní vytváření nových variant a rozšíření distribučního mechanismu, který převážně využívá nevyžádané e-maily. Tvůrci neustále mění typy souborů používané pro stahování ransomwaru, včetně doc, xls a wsf souborů, a také významně mění strukturu rozesílaného spamu. Aktuální ransomware není sám o sobě ničím výjimečný, ale kyberzločinci investují velké množství času do infikování maximálního počtu strojů. Sedmý měsíc za sebou zůstal HummingBad nejběžněji použitým malwarem k útokům na mobilní zařízení. Zaměřuje se na systém Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity. Locky i Zeus měly shodně na svědomí 5 procent všech zaznamenaných útoků.

  1. ↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
  2. ↑ Locky – Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo příohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.
  3. ↑ Zeus – Trojan, který cílí na platformu Windows a je často používán pro krádež bankovních informací pomocí zachytávání stisknutých kláves a získávání dat z webových formulářů.

Mobilní malwarové rodiny představovaly i v říjnu významnou hrozbu pro podniková mobilní zařízení. 15 z Top 200 malwarových rodin útočilo na mobilní zařízení. Tři nejrozšířenější mobilní malwarové rodiny byly v říjnu:

  1. ↔ HummingBad: Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  2. ↔Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  3. ↑ XcodeGhost – Kompromitovaná verze vývojářské iOS platformy Xcode. Tato neoficiální verze Xcode byla upravena pro vložení škodlivého kódu do jakékoli aplikace, která byla vyvinuta a vytvořena s její pomocí. Kód potom odešle informace o aplikaci na C&C server, což umožňuje infikované aplikaci číst ze schránky zařízení.

„S nárůstem útoků a malwarových rodin se výrazně rozšiřuje problém zabezpečení podnikových sítí. Top 10 škodlivých kódů zůstalo prakticky stejných jako září, což ukazuje, že kyberzločinci jsou s těmito útočnými metodami úspěšní, takže organizace musí aktivně reagovat, aby ochránily svá kritická obchodní aktiva. A když zvážíme, jak je třeba úspěšný a efektivní dobře známý Conficker, tak organizace asi často nevyužívají nejmodernější vícevrstvou obranu,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Pokud chtějí být organizace v bezpečí, musí používat komplexní řešení, zastavit malware už v předinfekční fázi a využívat pokročilá preventivní opatření na úrovni sítí, koncových bodů i mobilních zařízení, jako jsou řešení Check Point SandBlast Zero-Day Protection a Mobile Threat Prevention, aby byla zajištěna dostatečná ochrana před nejnovějšími hrozbami.“

Check Point analyzoval i malware v České republice. Na prvním místě je i nadále Conficker a na druhém místě ransomware Cryptowall, ale jinak došlo v Top 10 k řadě změn. Nově je na třetí pozici rootkit HackerDefender a poprvé se letos do Top 10 dostal malware Cryptoload, který je navržen pro stahování dalších škodlivých kódů, zejména ransomwaru.

Top 10 malwarových rodin v České republice – říjen 2016
Malwarová rodina Popis
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Cryptowall Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.
HackerDefender HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.
Locky Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
Zeus Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí  řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem – Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.

Tinba Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.

Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.

Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).

Cryptoload Cryptoload je obecný název pro skripty vytvořené ke stahování malwaru (především ransomwaru) a obvykle jsou poslané jako archívy v příloze spamových kampaní. Skripty byly použity ke stažení například ransomwarů Cryptowall, TeslaCrypt a Locky nebo ke stažení Fareit Info-stealer.
Kelihos Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook.
CTB-Locker CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.
RookieUA RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Index hrozeb společnosti Check Point

Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.

Sledujte Check Point online:  
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.