Ransomware Locky v září masivně útočil ve světě i v ČR, upozorňuje Check Point

Ze zprávy společnosti Check Point vyplývá, že v září probíhala masivní kampaň ransomwaru Locky, čímž se tento ransomware stal druhým nejčastěji používaným malwarem na světě

Praha, 18. října 2017 Check Point Software Technologies Ltd. (NASDAQ: CHKP), přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil zářijový Celosvětový index dopadu hrozeb, který odhalil masivní nárůst celosvětových útoků ransomwaru Locky, který ovlivnil 11,5 procent organizací po celém světě.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila i v září mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 119. příčce. Naopak Slovensko poskočilo mezi nebezpečnější země a posunulo se o 29 míst na 90. pozici. Na prvním místě se v Indexu hrozeb umístila podruhé za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenal Irák, který se posunul o 75 míst na 23. příčku. Naopak Spojené arabské emiráty se posunuly z 33. příčky na bezpečnější 110. pozici.

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016, ale v září vylétl o 25 příček až na druhé místo, hned za malvertisingovou kampaň RoughTed. Za vzestupem stál botnet Necurs, který se sám objevil na desátém místě. HackerDefender, uživatelský rootkit pro Windows, který byl v srpnu třetím nejčastějším malwarem, vypadl z Top 10.

Locky se poprvé začal šířit v únoru 2016 a rychle se stal jednou z nejvýznamnějších malwarových rodin. Šíří se primárně prostřednictvím nevyžádaných e-mailů, které obsahují downloader maskovaný jako příloha ve formátu word nebo zip, která obsahuje škodlivá makra. Když uživatelé aktivují tato makra, příloha stáhne a nainstaluje malware, který zašifruje soubory uživatelů. Následně je uživatel nasměrován, aby stáhl prohlížeč Tor a navštívil webovou stránku vyžadující platbu v bitcoinech. V červnu 2016 vydal botnet Necurs aktualizovanou verzi Lockyho, která využívala nové techniky umožňující vyhnout se detekci.

Nová vlna ransomwaru Locky ukazuje, že organizace nikdy nesmí usnout na vavřínech. Kyberzločinci neustále hledají způsoby, jak vylepšit stávající nástroje, aby byly znovu účinné. Navíc výkonné botnety mohou dát starým variantám novou sílu i pro celosvětové útoky. Každá desátá organizace byla v září ovlivněna ransomwarem Locky, což ukazuje, že i stávající malware může být stejně nebezpečný jako zcela nové varianty.

Top 3 – malware:

    1. ↔ RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

 

  • ↑ Locky – Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.

 

  1. ↓ Globeimposter – Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.

Nejčastěji použitým malwarem k útokům na podniková mobilní zařízení byl škodlivý kód Triada, který se na první příčku posunul z 3. pozice:

Top 3 – mobilní malware:

  1. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  2. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  3. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení

„Pokud ještě nějaká organizace pochybovala o nebezpečnosti ransomwaru, tyto statistiky by jí měly otevřít oči,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Ransomware obsadil 2 ze 3 míst mezi nejpoužívanějším malwarem. První je relativně nová varianta, která se objevila v letošním roce, a druhá ransomwarová rodina je starší a momentálně zažívá svůj restart. Stačí, aby se jeden jediný zaměstnanec stal obětí sociálního inženýrství a celá organizace se může dostat do velmi vážných problémů.“

Check Point věří, že je důležité nasadit vícevrstvou kyberbezpečnostní strategii, která ochrání před stávajícími malwarovými rodinami i před zcela novými hrozbami nultého dne. Efektivní kyberbezpečnostní nástroje využívají nejenom analýzu na základě signatur, ale odhalí i podezřelé chování a obecné znaky, jako jsou vložená makra v dokumentech. Takový přístup mají například řešení SandBlast Zero-Day Protection a Mobile Threat Prevention.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Ransomware Locky ukázal v září sílu i v České republice a stal se nejpoužívanějším škodlivým kódem k útokům na podnikové sítě. Na druhém místě se stejně jako v srpnu umístil ransomware Globeimposter a na třetí místo z první příčky klesla malvertisingová kampaň RoughTed.

Top 10 malwarových rodin v České republice – září 2017
Malwarová rodina Popis
Locky Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
Globeimposter Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
RoughTed Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Fireball Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Zeus Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí  řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem – Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.

Rig ek Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Triada Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
Teslacrypt TeslaCrypt je ransomware, který byl poprvé zachycen v únoru 2015 a původně se zaměřoval na počítačové hráče, protože infikoval stroj při instalaci her. Po infikování vyhledával soubory s konkrétními příponami, které jsou spojené se 40 různými hrami a šifroval je. Mezi šifrovanými soubory byly uložená data, profily hráčů a podobně. TeslaCrypt se obvykle šířil pomocí běžných exploit kitů, jako Angler, Nuclear nebo Fiesta. V květnu 2016 vývojáři ransomware odstavili a zveřejnili dešifrovací master klíč. Zdá se, že operátoři škodlivého softwaru se místo toho zaměřili na distribuci ransomwaru CryptXXX.
Taskdespy Taskdespy je trojan, který cílí na platformu Windows. Malware shromažďuje systémové informace a odesílá je na vzdálený server. Navíc nahrává citlivé soubory z infikovaného sytému na server.

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

 

Sledujte Check Point online:  
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Check Point chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných typů útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu, která chrání podniková cloudová prostředí, sítě i mobilní zařízení, a navíc Check Point poskytuje nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.