Hackeři věnují značné úsilí vytváření nových, sofistikovaných malwarových rodin, vyplývá to z průzkumu společnosti Check Point
Check Point Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil nejnovější Index hrozeb, podle kterého vzrostl počet aktivních malwarových rodin během prvního pololetí roku 2016 o téměř dvě třetiny, což vedlo k nárůstu hrozeb pro podnikové sítě a mobilní zařízení.
Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu umístila na 46. pozici, což je vzestup o 7 míst mezi méně bezpečné země. Pro srovnání, Slovensko se umístilo na klidnější 90. pozici. Na prvním místě se v Indexu hrozeb umístil Bangladéš, který se posunul na vrchol ze 2. příčky.
Check Point v průběhu června detekoval 2420 unikátních a aktivních malwarových rodin útočících na podnikové sítě, což je nárůst o 61 procent oproti lednu 2016 a 21procentní nárůst od dubna 2016. Nárůst aktivních malwarových variant znovu ukazuje na rozsah hrozeb, kterým čelí podnikové sítě a na něž musí být bezpečnostní týmy připravené při prevenci útoků na obchodní kritické informace.
Conficker zůstal i v červnu nejběžněji používaným malwarem a mobilní malware HummingBad se vrátil do Top 3 největších hrozeb napříč platformami po celém světě. V podrobném zprávě Check Point odhalil, že po celém světě infikoval HummingBad 85 milionů přístrojů a každý měsíc vydělává kyberzločincům na podvodných příjmech z reklamy podle odhadů částku 300 000 dolarů. Je to jen další důkaz, že hackeři se stále více zaměřují na mobilní zařízení.
Výše jmenovaný Conficker byl druhý měsíc za sebou zodpovědný za 14 procent všech detekovaných útoků. Malwarová rodina Sality byla zodpovědná za 10 procent zaznamenaných útoků a HummingBad za 6 procent. Celkově bylo Top 10 malwarových rodin zodpovědných za 50 procent všech identifikovaných útoků:
1. - Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
2. ^ Sality – Vir, který umožňuje útočníkům vzdálené ovládání , stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
3. ^ HummingBad - Malware zaměřený na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat. Do této doby malware infikoval 85 milionů mobilních zařízení.
Mobilní malwarové rodiny představovaly i v červnu významnou hrozbu pro podniková mobilní zařízení. Tři nejrozšířenější malwarové rodiny zůstaly v červnu 2016 beze změny:
1. - HummingBad – Malware již infikoval 85 milionů mobilních zařízení a generuje zisky z podvodné reklamy. Zaměřuje se zařízení na systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
2. - Iop: Další malware zaměřený na zařízení se systémem Android, který instaluje aplikace a zobrazuje nadměrné množství reklam pomocí root přístupu k mobilnímu zařízení. Množství reklamy a nainstalovaných aplikací neumožňuje uživateli používat přístroj jako obvykle.
3. - XcodeGhost: Kompromitovaná verze vývojářské iOS platformy Xcode. Tato neoficiální verze Xcode byla upravena pro vložení škodlivého kódu do jakékoli aplikace, která byla vyvinuta a vytvořena s její pomocí. Kód potom odešle informace o aplikaci na C&C server, což umožňuje infikované aplikaci číst ze schránky zařízení.
„Výrazný nárůst aktivních malwarových rodin zaměřených na podnikové sítě v průběhu první poloviny roku 2016 ukazuje na růst hrozeb, kterým organizace v současné době čelí,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point. „Hackeři věnují značné úsilí vytváření nových, sofistikovaných malwarých rodin ve snaze o podvody a krádeže podnikových dat. Organizace potřebují pokročilá preventivní bezpečnostní opatření na úrovni sítí, koncových bodů i mobilních zařízení, aby hrozby byly zastavené ještě před tím, než mohou způsobit nějaké škody.”
Check Point analyzoval i malware v České republice a na první místo se znovu vrátil Conficker, který po měsíční pauze vystřídal malware Tinba, který cílil na evropské zákazníky bank.
Top 10 malwarových rodin v České republice – červen 2016
Malwarová rodina + Popis
Conficker
Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Zeus
Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.
Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.
V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.
Tinba
Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.
Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.
Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).
HackerDefender
HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.
Cryptodef
CryptoDefense (nebo Cryptodef) je ransomware poprvé použitý v roce 2014, který navazuje na nechvalně známý Cryptowall. Šifruje nebinární uživatelské soubory, jako jsou texty, dokumenty, obrázky, videa a další. Následně zobrazí textový soubor s pokyny k dešifrování souborů a pokyny pro platbu za použití dešifrovacích služeb. Obvykle je stažen jiným malwarem, které je již v počítači nainstalovaný, nebo je stažen přímo během procházení škodlivých nebo infikovaných webových stránek.
Zeroaccess
ZeroAccess je trojan, který pro maskování využívá pokročilý rootkit. Může také vytvořit skrytý souborový systém, stahovat další malware, měnit výsledky vyhledávání a otevřít zadní vrátka v infikovaném počítači. Podílí se na těžbě Bitcoin a klikání.
Trojské koně se v této rodině mohou stahovat a spouštět další soubory, obraťte se na vzdálené počítače a vypnout bezpečnostní funkce.
Varianty ZeroAccess mohou být nainstalovány dalším malwarem, včetně variant Necurs.
Trojan se nazývá ZeroAccess kvůli řetězci v kódu kernelového ovladače, který odkazuje na původní složku projektu s názvem ZeroAccess.
ZeroAccess botnet byl objeven kolem května 2011 a odhaduje se, že rootkit zodpovědný za rozšíření botnetu působí na nejméně 9 milionech systémů
Locky
Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
Graftor
Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.
Nlbot
Nlbot je backdoor, který se zaměřuje na platformu Windows. Malware rozesílá systémové informace a přijímá různé příkazy z řídicího serveru, které mohou umožnit útočníkovi nahrávat/stahovat soubory, spouštět vzdáleně shell, získat protokoly, získat informace o peer botech, aktualizovat malware a řadu dalších věcí. Malware se dostane do Explorer.exe a dalších procesů pro skrývání své aktivity. Vytváří různé položky v registru, aby se aktivoval hned po restartování systému.
Ponmocup
Ponmocup je botnet, který působí od roku 2006 a dosáhla svého vrcholu v roce 2011 s přibližně 2,4 miliony ovládanými stroji.
Jeho infrastruktura je složitá a zahrnuje dedikované servery pro různé úkoly. Bylo zaznamenáno asi 25 unikátních plug-inů a přes 4000 jeho variant, což dokazuje, že stále probíhá nějaký jeho vývoj. Využívá řadu funkcí pro ukrytí před detekcí, jako je heuristická kontrola pro analytické nástroje, a jeho cílem je krádež přihlašovacích údajů za účelem finančních zisků, ale je využíván také k reklamním podvodům, krádežím dat a stahování dalších hrozeb.
Index hrozeb společnosti Check Point
Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.
|
5.8.2016
PředchozíDalší
| | |