Škodlivý kód CoinHive těžící kryptoměny měl v květnu dopad na 22 % organizací, což je téměř 50% nárůst oproti dubnu.
Check Point Software Technologies zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého v květnu kryptominer CoinHive ovlivnil 22 % organizací po celém světě, což je téměř 50% nárůst oproti dubnu.
Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se drží mezi bezpečnějšími zeměmi a v květnu jí patřila 93. příčka, v dubnu to bylo 111. místo. Slovensko obsadilo dokonce až 121. pozici. Na prvním místě se v Indexu hrozeb umístilo nově Somálsko. Největší skok mezi nebezpečné země zaznamenalo Lichtenštejnsko, které se posunulo o 132 míst až na 2. pozici.
Květen byl pátým měsícem v řadě, kdy malware těžící kryptoměny ovládl Top 10 škodlivých kódů nejčastěji použitých k útokům na organizace. CoinHive zůstal na první příčce a následoval Cryptoloot, další malware těžící kryptoměny, který měl dopad na 11 procent společností. Třetí skončila podruhé za sebou malvertisingová kampaň RoughTed, která ovlivnila 8 procent organizací.
Check Point také zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat nezabezpečené serverové zranitelnosti v Microsoft Windows Server 2003 (CVE-2017-7269) a Oracle Web Logic (CVE-2017-10271). Celosvětově bylo 44 procent organizací ovlivněno zranitelností Microsoft Windows Server 2003, těsně druhá byla zranitelnost Oracle Web Logic, která měla dopad na 40 % organizací po celém světě.
„Kyberzločinci budou zkoušet zneužít známé zranitelnosti a budou doufat, že je organizace nezáplatovaly, než aby vyvíjeli nové útočné vektory. Vždy budou totiž hledat nejjednodušší cestu do sítě,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Je znepokojující, kolik organizací nadále podceňuje tyto zranitelnosti, i když jsou k dispozici patche. Masivní zneužívání známých zranitelností je znovu varováním, že bezpečnostní základy, jako je záplatování, jsou kritické.“
„Těžba kryptoměn je nadále velmi rozšířená a má dopad na téměř 40 % organizací po celém světě, takže se zjevně tato technika kyberútočníkům vyplácí. Aby se společnosti chránily proti hrozbám těžícím kryptoměny a dalším útokům, je zásadní, aby nasadily vícevrstvou kyberbezpečnostní strategii, která je ochrání před známými i neznámými hrozbami,“ dodává Kovalčík.
Top 3 – malware:
1. ↔ CoinHive – Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
2. ↔ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.
3. ↔ RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil i v květnu bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Lotoor.
Top 3 – mobilní malware:
1. Lokibot – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
2. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
3. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
Byly také analyzovány nejčastěji zneužívané kyberzranitelnosti.
Top 3 – zranitelnosti:
1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
2. ↔ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – Zranitelnost umožňující vzdáleně spustit kód v rámci služby Oracle WebLogic WLS. Důvodem je, jak Oracle WebLogic zpracovává xml dekódování. Úspěšný útok by mohl vést k vzdálenému spuštění kódu. Záplata je k dispozici od října 2017.
3. ↔ SQL Injection – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
Tento seznam jasně ukazuje, jak útočníci využívají moderní techniky (dvě zranitelnosti zveřejněné v roce 2017) a klasické útočné vektory, jako je SQL injection.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. V květnu došlo k řadě výrazných změn a po měsíční odmlce znovu kraloval malware těžící kryptoměny.
Top malwarové rodiny v České republice – květen 2018 | |||
Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
CoinHive | CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje. | 23,13 % | 21,81 % |
Cryptoloot | Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. | 11,03 % | 16,44 % |
Necurs | Necurs je jedním z největších aktivních botnetů. Odhaduje se, že v roce 2016 tvořilo tento botnet asi 6 milionů botů. Botnet se používá k distribuci mnoha malwarových variant, většinou bankovních trojanů a ransomwaru. Botnet Necurs obvykle šíří malware masivními spamovými kampaněmi se zipovými přílohami obsahujícími škodlivý JavaScript kód. V červnu 2016 botnet záhadně ukončil činnost na téměř jeden měsíc, možná kvůli chybě v C&C funkci. Necurs je také hlavní distributor ransomwaru Locky, jedné z nejvýznamnějších ransomwarových rodin roku 2016, a sofistikovaného bankovního trojanu Dridex, který je odpovědný za krádež milionů dolarů od obětí hlavně ze Spojeného království a Spojených států. | 3,78 % | 14,09 % |
Roughted | Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější. | 7,57 % | 7,38 % |
Authedmine | Malware těžící kryptoměny. | 1,67 % | 6,71 % |
Jsecoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. | 7,41 % | 6,38 % |
Cridex | Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích. | 1,30 % | 5,37 % |
Nivdort | Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek. | 3,26 % | 5,03 % |
Fireball | Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti spolu s programem, který uživatel opravdu chtěl. | 5,60 % | 4,70 % |
XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 5,10 % | 4,36 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.