Check Point varuje před dalším nárůstem ransomwaru

Podle zářijového Indexu hrozeb se ransomware poprvé dostal do Top 3 malwarových variant nejběžněji používaných k útokům na podnikové sítě (TZ)

Praha, 21. října 2016 Check Point Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil nejnovější Index hrozeb, podle kterého v září dále rostl počet ransomwarových útoků. Zveřejněn byl i seznam malwarových rodin nejčastěji použitých k útokům na podnikové sítě.

Zároveň byl vydán i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v září umístila na 72. pozici, což je vzestup o 16 míst a posun mezi méně bezpečné země. O 16 míst se posunulo mezi méně bezpečné země i Slovensko, které je nyní na 61. pozici. Naopak nejvýrazněji se mezi bezpečnější země posunul Kazachstán, který klesl o 47 míst na 55. pozici. Největší posun mezi nebezpečnější země zaznamenalo Portoriko, které se posunulo o 55 míst na 47. pozici. Na prvním místě se v Indexu hrozeb umístila Botswana, která poskočila o 19 míst.

Vůbec poprvé se v rámci výzkumu dostal ransomware do Top 3 nejrozšířenějších malwarových rodin. Ransomware Locky byl zodpovědný v průběhu září za 6 procent všech detekovaných útoků po celém světě. Podíl ransomwaru v rámci všech útoků vzrostl o 13 procent. Počet aktivních malwarových rodin zůstává i nadále velmi vysoký a do Top 10 se dostaly 3 nové škodlivé kódy: Chanitor stahující další hrozby, exploit kit Blackhole a víceúčelový bot Nivdort. Již šestý měsíc po sobě byl HummingBad nejběžnější používaným malwarem k útokům na mobilní zařízení.

Conficker byl v září celkově zodpovědný za 14 procent všech detekovaných útoků, Sality za 6 procent a také Locky byl zodpovědný za 6 procent všech zaznamenaných útoků. Celkově bylo Top 10 malwarových rodin zodpovědných za 50 procent všech identifikovaných útoků, což je oproti předchozímu měsíci pokles o 7 procentních bodů:

  1. ↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
  2. ↑ Sality – Vir, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
  3. ↑ Locky – Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím  spamu s infikovanou wordovou přílohou nebo příohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.

Mobilní malwarové rodiny představovaly i v září významnou hrozbu pro podniková mobilní zařízení. Tři nejrozšířenější mobilní malwarové rodiny byly:

  1. ↔ HummingBad: Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  2. ↑Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  3. ↓ Ztorg – Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.

„Neustálý nárůst ransomwaru dokazuje, že řada společností ve snaze dostat se ke svým důležitým datům jednoduše zaplatí výkupné. Jedná se tak o lukrativní a atraktivní způsob útoku. Organizace proto potřebují zastavit malware už v předinfekční fázi a využívat pokročilá preventivní opatření na úrovni sítí, koncových bodů i mobilních zařízení, jako jsou řešení Check Point SandBlast Zero-Day Protection a Mobile Threat Prevention, aby byla zajištěna odpovídající ochrana před nejnovějšími hrozbami,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point. „Počet aktivních malwarových rodin je i nadále velmi vysoký, což v kombinaci s nejrůznějšími útočnými metodami ukazuje rozsah problému, kterému organizace čelí při zabezpečení sítí před kyberzločinci.“

Check Point analyzoval i malware v České republice. Na prvním místě je už trochu tradičně Conficker a druhou příčku drží ransomware Cryptowall. Nově se na třetí pozici dostal i rasomware Locky, cože potvrzuje vzestup vyděračských hrozeb i v ČR.

Top 10 malwarových rodin v České republice – září 2016
Malwarová rodina Popis
Conficker Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Cryptowall Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.
Locky Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
HackerDefender HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.
Zeus Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí  řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem – Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.

Kelihos Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook.
RookieUA RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.
Tinba Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.

Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.

Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).

Adwind Adwind je backdoor, který cílí na systémy podporující Java runtime prostředí. Malware Adwin rozesílá informace o systému a přijímá příkazy od vzdáleného útočníka. Příkazy mohou být použity například k zobrazení zprávy v systému, otevření URL, aktualizaci malwaru, stažení/spuštění souboru nebo stažení/nahrání pluginu. Stahovatelné pluginy pro malware mohou poskytnout další funkce, včetně možností vzdáleného ovládání a spouštění shell příkazů.
CTB-Locker CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.


Více informací o aktuálních kyberhrozbách a útocích najdete zde:
http://www.checkpoint.com/threat-prevention-resources/index.html

Index hrozeb společnosti Check Point

Index hrozeb vychází z online mapy kybernetických hrozeb ThreatCloud World Cyber Threat Map, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.

Sledujte Check Point online:  
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.