Útoky spojené s exploit kity nepolevují

6. 6. 2017. (redaktor: František Doupal, zdroj: Check Point)
Check Point Software zveřejnil dubnový Celosvětový index dopadu hrozeb, podle kterého i nadále roste počet kyberútoků využívajících exploit kity. Nejčastější formou útoku se stal exploit kit Rig. Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika si oproti březnu polepšila a ze 43. příčky se posunula o 20 míst mezi bezpečnější země na 63. místo.
Foto: Pixabay.com

Hned na sousedním 62. místě je Slovensko, které se ale naopak posunulo mezi nebezpečnější země z březnové klidnější 97. příčky. Na prvním místě se v Indexu hrozeb už třetí měsíc za sebou umístila Zambie. Největší skok mezi nebezpečnější země zaznamenala Albánie, která se posunula o 64 míst na 41. příčku.

Exploit kity jsou určené k objevení a zneužití zranitelnosti v počítačích a ke stažení a spuštění dalších škodlivých kódů. Až do minulého měsíce jejich využití klesalo, ale v březnu došlo k nárůstu útoků, především v důsledku vzestupu exploit kitů Rig a Terror.

Check Point odhalil také náhlé oživení červa Slammer, který se po dlouhé přestávce vrátil do Top 3 nejčastějších škodlivých kódů. Slammer se poprvé objevil v roce 2003. Cílil na Microsoft SQL 2000 a šířil se tak rychle, že mohl způsobit odepření služby u některých postižených cílů. Je to podruhé za několik uplynulých měsíců, co se červ dostal do Top 10 Celosvětového indexu dopadu hrozeb, což ukazuje, jak i desetiletý malware může být znovu úspěšný a nebezpečný.

Top 3 malwarové rodiny využívaly širokou škálu útočných vektorů a taktik a měly vliv na celý infekční řetězec. Nejrozšířenějším malwarem v dubnu byly Rig EK a HackerDefender, které ovlivnily 5 %, respektive 4,5 % organizací po celém světě. Na třetím místě se umístil červ Slammer, který měl dopad na 4 % společností.

Top 3 - malware:

  1. ↑ Rig EK – Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
  2. ↓ HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.
  3. ↑ Slammer – Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Mobilní malware na prvních dvou místech nezaznamenal oproti březnu žádnou změnu, na 3. místo se posunul hackerský nástroj Lotoor.

Top 3 - mobilní malware:

  1. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. Hummingbad – Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  3. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

„Minulý měsíc jsme viděli prudký nárůst útoků pomocí exploit kitů, což potvrzuje, že staré, ale účinné kyberhrozby nemizí. Často se znovu objevují a vrací vylepšené a aktualizované, takže jsou opět nebezpečné. Důkazem je i fakt, že se červ Slammer dostal do Top 3 škodlivých kódů za duben,“ řekl Peter Kovalčík, SE Manager ve společnosti Check Point. „Kyberzločinci vždy raději přizpůsobí nástroje, které již mají k dispozici, než aby vyvíjeli zcela nové útočné nástroje. Je to jednodušší, rychlejší a výhodnější. Pro organizace je to varováním, že musí zůstat ve střehu a nasadit sofistikované bezpečnostní systémy, které chrání proti nejrůznějším útokům.“

Check Point analyzoval i malware útočící na podnikové sítě v České republice a nadále pokračoval vzestup exploit kitů. Rig EK si polepšil ještě o jednu příčku oproti březnu a umístil se hned za vedoucím rootkitem HackerDefender. Podobně jako ve světě i v ČR posílil červ Slammer, který se ze 7. pozice posunul na 4. Naopak v březnu 3. ransomware Cryptowall se propadl až na 7. příčku. Tradičně vysoko se drží Conficker, ale už zdaleka nedominuje tak, jako to bylo v roce 2016.

Top 10 malwarových rodin v České republice – duben 2017

Malwarová rodina

Popis

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Rig ek

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Slammer

Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Adwind

Adwind je backdoor, který cílí na systémy podporující Java runtime prostředí. Malware Adwin rozesílá informace o systému a přijímá příkazy od vzdáleného útočníka. Příkazy mohou být použity například k zobrazení zprávy v systému, otevření URL, aktualizaci malwaru, stažení/spuštění souboru nebo stažení/nahrání pluginu. Stahovatelné pluginy pro malware mohou poskytnout další funkce, včetně možností vzdáleného ovládání a spouštění shell příkazů.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

Ghost

Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.

Datan

Nepříznivě ovlivňuje výkon počítače.

Graftor

Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.

RookieUA

RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Business

Škodlivý program zaměřený na platformu Windows. Simuluje činnost antiviru nebo bezpečnostních modulů operačního systému.

Darkness

Darkness je backdoor bot agent, který infikuje hostitelské stroje se systémem Windows a přijímá vzdáleně příkazy od útočníků. Může být využit k DDoS útokům. Šíří se prostřednictvím e-mailů, vyměnitelných zařízení nebo síťových sdílení.

BoA

Nový bankovní malware.

Štítky: 

Podobné články

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více