Roste počet útoků bankovních trojanů, varuje Check Point

Nejnovější zpráva společnosti Check Point upozorňuje na nárůst útoků bankovních trojanů, zejména v souvislosti s masivní kampaní malwaru Ramnit

Praha, 27. září 2018 Check Point Software Technologies Ltd. (NASDAQ: CHKP), přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo v srpnu k výraznému nárůstu útoků využívajících bankovní trojan Ramnit. Ramnit za několik posledních měsíců zdvojnásobil svůj celosvětový dopad v důsledku rozsáhlé kampaně, která ze strojů obětí dělá škodlivé proxy servery.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v srpnu jí patřila až 125. příčka, což je posun ještě o 5 míst z červencové 120. pozice. Přesto v České republice velmi výrazně útočil malware CoinHive těžící kryptoměnu Monero. Na prvním místě se v Indexu hrozeb nově umístila Etiopie, která zaznamenala výrazný posun z 59. příčky. Vůbec největší posun mezi nebezpečné země zaznamenal Pákistán, který se posunul o 71 míst na 26. pozici. Naopak Arménie se nejvýrazněji posunula mezi bezpečnější země, když klesla z 20. příčky na 85. pozici.

Během srpna se Ramnit posunul v Indexu hrozeb na 6. místo a stal se nejrozšířenějším bankovním trojanem. Celkově se použití bankovních trojanů od června více než zdvojnásobilo.

„Stejně jako před rokem i letos v létě kyberzločinci pod vidinou rychlých zisků častěji využívali k útokům bankovní trojany,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Hackeři si velmi dobře uvědomují, jaké útoky mají největší šanci na úspěch a cíleně používají bankovní trojany právě v letním období. Znovu se ukazuje, jak jsou hackeři rafinovaní při snaze získat peníze.“

„Pro ochranu před bankovními trojany a dalšími útoky je důležité, aby podniky používaly vícevrstvou kyberbezpečnostní strategii, která zajistí ochranu před známými škodlivými kódy i před zcela novými hrozbami,“ dodává Šafář.

CoinHive zůstává nejčastěji použitým malwarem k útokům na organizace, dopad měl po celém světě na 17 procent z nich. Dorkbot a Andromeda se v celosvětovém žebříčku umístily na druhém a třetím místě, oba škodlivé kódy měly dopad na 6 procent společností.

Top 3 – malware:

  1. ↔ CoinHive – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
  2. ↑ Dorkbot – IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.
  3. ↑ Andromeda – Modulární bot používaný především jako backdoor pro šíření dalšího malwaru na infikovaných systémech, ale může být upraven pro vytvoření různých typů botnetů.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v srpnu bankovní trojan Lokibot, následovaly škodlivé kódy Lotoor a Triada.

Top 3 – mobilní malware:

  1. Lokibot – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
  2. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti a zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 47 % organizací. Druhá zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla dopad na 41 % organizací po celém světě. CVE-2017-5638 na třetím místě ovlivnila 36 % společností.

Top 3 – zranitelnosti:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. ↑ D-Link DSL-2750B Remote Command Execution – V routerech D-Link DSL-2750B byla zjištěna zranitelnost umožňující vzdálené spuštění libovolného kódu na zranitelném zařízení.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval především malware CoinHive těžící kryptoměnu Monero, který měl ještě výrazně větší dopad, než byl celosvětový průměr. I na druhém a třetím místě nedošlo ke změně, jen oba škodlivé kódy ještě zvýšily dopad v ČR oproti červenci. Zároveň se do Top 10 vrátil Conficker, který v minulém roce dominoval, ale letos zatím kyberútočníci častěji preferují jiné nástroje.

Top malwarové rodiny v České republice – srpen 2018
Malwarová rodina Popis Dopad ve světě Dopad v ČR
CoinHive CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje. 17,00 % 29,05 %
Roughted Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější. 3,85 % 10,47 %
Dorkbot IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. 6,20 % 8,45 %
Nivdort Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek. 2,98 % 6,08 %
Cridex Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích. 1,80 % 5,41 %
Jsecoin JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné 4,49 % 5,41 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,97 % 4,73 %
Cryptoloot Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. 4,62 % 4,05 %
Ramnit Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor. 4,12 % 4,05 %
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky. 3,04 % 3,72 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte Check Point online:  
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných cílených útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu s pokročilou prevencí hrozeb 5. generace pro podnikové sítě, cloud a mobilní prostředí, Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

 

 

Reklamy