Výzkumníci společnosti Check Point zjistili, že i když CoinHive skončil na začátku března, škodlivým kódům nadále dominují kryptominery
Praha, 2. května 2019 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v březnu navzdory konci některých kryptominerů, jako je CoinHive, jde stále o nejrozšířenější typ škodlivých kódů zaměřených na organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v březnu jí patřila 121. příčka, což je jen drobná změna oproti únorové 115. pozici. Slovensko se umístilo na 123. místě. Na prvním místě se v Indexu hrozeb umístila znovu Etiopie. Největší posun mezi nebezpečné země zaznamenalo Bulharsko, které poskočilo o 68 míst až na 69. příčku. Naopak ostrov Man se posunul mezi bezpečnější země z 31. únorové pozice až na 147. příčku.
Kryptominery CoinHive a Authedmine ukončily své těžební služby 8. března. Poprvé od prosince 2017 tak klesl CoinHive z první příčky, ale navzdory tomu, že v březnu fungoval pouze osm dní, byl stále 6. nejrozšířenějším malwarem, na svém vrcholu měl dopad na 23 % organizací po celém světě. Kryptominery CoinHive a Authedmine měly v březnu i přes ukončení činnosti velmi výrazný dopad i na české organizace
Mnoho webových stránek stále ještě obsahuje JavaScript kód malwaru CoinHive, i když už neprovádí těžbu. Výzkumníci společnosti Check Point varují, že pokud se zvýší hodnota kryptoměny Monera, může dojít k jeho reaktivaci. A absence kryptomineru CoinHive mohou využít pro růst jiné těžební služby.
V průběhu března byly tři z pěti nejrozšířenějších škodlivých kódů kryptominery – Cryptoloot, XMRig a JSEcoin. Cryptoloot se vůbec poprvé dostal na čelo Indexu hrozeb, těsně následoval modulární trojan Emotet. Oba škodlivé kódy měly dopad na 6 % společnosti po celém světě. XMRig je třetí nejoblíbenější malware, dopad měl na 5 % organizací.
„Celková hodnota kryptoměn klesá, takže uvidíme další kryptominery pro prohlížeče zastavit činnost, jako to udělal CoinHive. Nicméně předpokládáme, že kyberzločinci najdou způsob, jak dále vydělávat na těžbě kryptoměn, například těžbou v cloudových prostředích, kde automatické škálování umožňuje vytvořit větší zdroje pro těžbu. Viděli jsme organizace, které platily statisíce dolarů svým cloudovým dodavatelům za výpočetní zdroje, které byly nezákonně používány kryptominery. Mělo by to být varování a upozornění, že společnosti musí svá cloudová prostředí dostatečně zabezpečit,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.
Top 3 – malware:
- ↑ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
- ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v březnu malware Hiddan, který na druhou příčku odsunul hackerský nástroj Lotoor. Na třetí příčce skončil znovu modulární backdoor Triada.
Top 3 – mobilní malware:
- Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
- Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 44 % organizací. Zranitelnost Web Server Exposed Git Repository Information Disclosure měla dopad na 40 % organizací po celém světě a zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure na třetím místě ovlivnila také 40 % společností.
Top 3 – zranitelnosti:
- ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se z únorové páté příčky vyhoupl kryptominer JSEcoin, který zcela dominoval a měl vliv na 38 procent českých společností. CoinHive měl i přes své odstavení stále ještě poměrně výrazný dopad, kryptominery celkově opět ovládly český žebříček. Zajímavé je i srovnání dopadu v ČR a ve světě, zejména u kryptominerů je to způsobeno pravděpodobně propojením konkrétních kryptominerů s některými oblíbenými českými webovými stránkami.
| Top malwarové rodiny v České republice – březen 2019 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| JSEcoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. | 5,57 % | 37,79 % |
| Authedmine | Authedmine je verze nechvalně známého JavaScript mineru CoinHive. Podobně jako CoinHive i Authedmine je používaný k online těžbě kryptoměny Monero. Ale na rozdíl od CoinHive je Authedmine navržen tak, aby vyžadoval výslovný souhlas uživatele webu před spuštěním těžícího skriptu. | 2,10 % | 19,87 % |
| CoinHive | CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje. | 11,59 % | 14,66 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 7,68 % | 12,38 % |
| Cryptoloot | Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. | 6,23 % | 11,73 % |
| Lokibot | Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. | 3,16 % | 9,12 % |
| Nivdort | Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek. | 3,90 % | 8,47 % |
| Emotet | Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. | 5,14 % | 7,49 % |
| Cridex | Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích. | 1,14 % | 4,89 % |
| Ramnit | Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor. | 2,57 % | 4,23 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software Technologies a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných cílených útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu s pokročilou prevencí hrozeb 5. generace pro podnikové sítě, cloud a mobilní prostředí, Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.