Botnet Necurs se vrátil a šíří nový ransomware, upozorňuje Check Point

Z nejnovější zprávy společnosti Check Point vyplývá, že v listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab

Praha, 14. prosince 2017 Check Point Software Technologies Ltd. (NASDAQ: CHKP), přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil listopadový Celosvětový index dopadu hrozeb, podle kterého se botnet Necurs vrátil do Top 10 nejpoužívanějších malwarových rodin a kyberútočníci jej využívají k distribuci nového ransomwaru.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Přestože v žebříčku došlo k řadě změn, Česká republika i v listopadu patřila mezi nejbezpečnější země a v Indexu hrozeb se umístila na 115. příčce. Mezi bezpečnější země se posunulo i Slovensko, které poskočilo ze 75. pozice na 95. místo. Na prvním místě se v Indexu hrozeb umístila už počtvrté za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Albánie (posun ze 108. pozice na 24. příčku) a Kazachstán (posun o 67 míst na 37. pozici). Naopak Makedonie poskočila o 106 míst z 5. pozice na 111. a Litva se z 27. příčky posunula na 122. pozici.

Výzkumníci společnosti Check Point zjistili, že hackeři používají Necurs, který je považován za největší spamovací botnet na světě, k distribuci relativně nového ransomwaru Scarab, který se poprvé objevil v červnu 2017. Botnet Necurs začal masově šířit Scarab během amerického Dne díkůvzdání a za jedno dopoledne odeslal přes 12 milionů e-mailů. Necurs byl dříve použit k distribuci některých nebezpečných malwarových variant, včetně rodin Locky a Globeimposter.

„Opětovný vzestup botnetu Necurs ukazuje, že i malware, který se může zdát zapomenutý, nemusí zmizet navždy a nemusí ztratit nic ze své nebezpečnosti. I když je Necurs dobře známý, hackeři stále úspěšně využívají tento botnet pro šíření dalších škodlivých kódů. Znovu se tak ukazuje nutnost používat pokročilá bezpečnostní řešení pro prevenci hrozeb a vícevrstvé bezpečnostní strategie, které ochrání před známými malwarovými rodinami i před zcela novými hrozbami nultého dne,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.

Stejně jako v říjnu zůstal nejčastější hrozbou RoughTed, masivní malvertisingová kampaň. Následoval exploit kit Rig ek a červ Cornficker, který umožňuje vzdálené stahování dalšího malwaru.

Top 3 – malware:

  1. ↔ RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
  2. ↑ Rig ekExploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
  3. ↑ Conficker – Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny

Mezi škodlivým kódem nejčastěji použitým k útokům na podniková mobilní zařízení nedošlo v listopadu k nějakým výrazným změnám. Triada dále posilovala svoji pozici jedničky a na druhé místo se vyhoupl bankovní trojan Lokibot.

Top 3 – mobilní malware:

  1. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  2. Lokibot –   Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware, který zamkne telefon v případě odstranění administrátorských oprávnění.
  3. LeakerLocker – Ransomware zaměřený na zařízení se systémem Android, čte osobní uživatelská data a následně je ukazuje uživateli a hrozí, že pokud nedojde k zaplacení výkupného, tak budou informace zveřejněné na internetu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Z Top 10 vypadl například malware Fireball nebo bankovní trojan Zeus a výrazně oslabil ransomware Locky. Naopak na první místo se stejně jako ve světě posunul RoughTed a výraznou hrozbou je nově i CoinHive, malware stvořený pro těžbu kryptoměny Monero. Velkou hrozbou je ve světě i v ČR modulární backdoor pro Android, Triada.

Top 10 malwarových rodin v České republice – listopad 2017
Malwarová rodina Popis
Roughted Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Rig ek Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Taskdespy Taskdespy je trojan, který cílí na platformu Windows. Malware shromažďuje systémové informace a odesílá je na vzdálený server. Navíc nahrává citlivé soubory z infikovaného sytému na server.
Triada Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
Coinhive CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
JScript Kód používaný k šíření dalších škodlivých kódů.
Locky Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
Dalexis Škodlivý kód zaměřený na stahování dalších malwarů.
Graftor Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.
Pushdo Pushdo je trojan, který umožňuje neoprávněný přístup a kontrolu nad infikovaným počítačem a umožňuje útočníkovi provádět různé akce, včetně:

* Mazání souborů

* Stahování a spouštění libovolných souborů

* Sledování stisknutých kláves

* Upravení nastavení systému

* Spuštění nebo ukončení aplikace

* Šíření na jiné počítače pomocí různých způsobů šíření

* Krádeže citlivých dat

* Nahrávání souborů

Pushdo je dropper spamového botnetu Cutwail

Ramnit Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor, což umožňuje útočníkovi připojit se k infikovanému počítači a komunikovat prostřednictvím C&C serverů.

První varianta, která byla objevena v roce 2010, neměla mnoho funkcí nad rámec základní schopnosti integrovat se do infikovaného stroje. V roce 2011 byl modifikován, aby mohl krást webové informace a přihlašovací údaje ke všem službám používaným oběťmi, včetně bankovních účtů a účtů pro podnikové a sociální sítě.

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte Check Point online:  
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Check Point chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných typů útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu, která chrání podniková cloudová prostředí, sítě i mobilní zařízení, a navíc Check Point poskytuje nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.