Praha, 19. prosince 2016 – Check Point Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil nejnovější Index hrozeb, podle kterého v listopadu rostl počet ransomwarových útoků Locky a Cryptowall o 10 procent. Zveřejněn byl i žebříček nejrozšířenějších malwarových rodin, které jsou používané k útokům na podnikové sítě. (TZ)
Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu sice posunula o 11. míst ze 115. pozice na 104., ale i nadále tak patří v těchto měsících mezi nejbezpečnější země. Naopak Slovensko se ze všech zemí vůbec nejvýrazněji posunulo mezi nebezpečné země, když se v listopadu vyhouplo z 99. místa na 42. příčku. Mezi bezpečnější země se posunulo Bělorusko, které po říjnovém nárůstu kyberútoků zaznamenalo klidnější měsíc a o vrátilo se ze 33. pozice na bezpečnější 112. příčku. Na prvním místě se v Indexu hrozeb umístila třetí měsíc za sebou Botswana.
Check Point upozorňuje na stále velmi vysoký počet aktivních malwarových rodin i kyberútoků. Pokračuje také trend z letošního října a ransomware Locky je stále nebezpečnější. V listopadu počet těchto útoků vzrostl o dalších 10 procent a podobně rostl i ransomware Cryptowall, který byl celkově pátým nejčastějším malwarem.
Index hrozeb ukazuje nárůst hrozeb pro podnikové sítě, zejména co se týče ransomwaru. Organizace často raději zaplatí výkupné, aby se dostaly ke svým souborům. Pro kyberzločince se tak jedná o velmi atraktivní a lukrativní útočnou metodu. HummingBad zůstává osmý měsíc v řadě nejčastěji použitým malwarem k útokům na mobilní zařízení.
Conficker byl opět nejčastěji použitým malwarem k útokům na podnikové sítě a byl zodpovědný za 15 procent všech detekovaných útoků. Na druhém místě se umístil ransomware Locky, který byl použit u 6 procent útoků, a malware Sality na třetím místě měl na svědomí 5 procent útoků. Celkově Top 10 malwarových rodin bylo zodpovědných za 45 procent všech známých útoků.
- ↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
- ↔ Locky – Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo příohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.
- ↑ Sality – Vir, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
Bankovní trojan Ramnit zaznamenal v průběhu listopadu celosvětově vůbec největší nárůst útoků a poprvé se dostal mezi Top 10 jako 6. nejběžnější malware. Od minulého října více než zdvojnásobil množství infekcí a útočil hlavně v Turecku, Brazílii, Indii, Indonésii a Spojených státech. Ramnit se používá ke krádežím přihlašovacích bankovních údajů, FTP hesel, cookies a osobních dat.
Mobilní malwarové rodiny představují pro organizace i nadále významnou hrozbu. Tři nejrozšířenější mobilní malwarové rodiny byly v listopadu:
- ↔ HummingBad: Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
- ↔Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
- ↑ Ztorg – Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.
„Počet ransomwarových útoků roste z jednoho prostého důvodu: Fungují a útočníkům vydělávají. Organizace se snaží efektivně bránit proti podobným zákeřným hrozbám, ale řada z nich nemá to správné zabezpečení, a navíc zaměstnanci často nejsou vzděláváni odpovídajícím způsobem, aby poznali náznaky potenciálního ransomwarového útoku v příchozích e-mailech. Proto je pro kyberzločince tento způsob útoků ještě atraktivnější,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. A dodává: „Organizace musí zastavit malware už v předinfekční fázi a používat pokročilá preventivní opatření na úrovni sítí, koncových bodů i mobilních zařízení, jako jsou řešení SandBlast Zero-Day Protection, Threat Extraction a Mobile Threat Prevention, aby byla zajištěna dostatečná ochrana před nejnovějšími hrozbami.”
Check Point analyzoval i malware v České republice. Na prvním místě je i nadále Conficker a na druhém místě ransomware Cryptowall. Do Top 3 se vrátil ransomware Locky, který tak dokresluje vzestup vyděračských hrozeb. Naopak z Top 10 vypadl jinak velmi výrazný a rozšířený trojan Zeus, který je nejčastěji používán ke krádežím bankovních přihlašovacích údajů.
| Top 10 malwarových rodin v České republice – listopad 2016 | |
| Malwarová rodina | Popis |
| Conficker | Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky. |
| Cryptowall | Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014. |
| Locky | Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému. |
| HackerDefender | HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat. |
| Kelihos | Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook. |
| CVE-2014-1761 | Využívá zranitelnosti v softwaru k infikování počítače. Typicky se používá k instalaci dalšího malwaru nebo nežádoucího softwaru bez vědomí uživatele. |
| CTB-Locker | CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného. |
| Nlbot | Nlbot je backdoor, který se zaměřuje na platformu Windows. Malware rozesílá systémové informace a přijímá různé příkazy z řídicího serveru, které mohou umožnit útočníkovi nahrávat/stahovat soubory, spouštět vzdáleně shell, získat protokoly, získat informace o peer botech, aktualizovat malware a řadu dalších věcí. Malware se dostane do Explorer.exe a dalších procesů pro skrývání své aktivity. Vytváří různé položky v registru, aby se aktivoval hned po restartování systému. |
| Tinba | Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.
Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje. Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru). |
| Fareit | Fareit je trojský kůň, který byl poprvé detekován v roce 2012 a jeho varianty obvykle kradou uživatelský jména a hesla uložená ve webových prohlížečích. Navíc kradou také identifikační údaje k e-mailu a FTP, jako jsou seznam adresářů, heslo, číslo portu, název serveru, typ serveru a uživatelské jméno. |
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Index hrozeb společnosti Check Point
Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.
Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.