Roste počet útoků zaměřených na IoT a síťové zranitelnosti

29. 8. 2018. (redaktor: František Doupal, zdroj: Check Point)
Check Point zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo k významnému nárůstu zneužití tří IoT zranitelností. Počet útoků, které souvisí s šířením IoT malwarů, jako jsou Mirai, IoTroop/Reaper a VPNFilter, se od května 2018 více než zdvojnásobil.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v červenci jí patřila až 120. příčka, což je posun o deset míst z červnové 110. pozice. Podobně je na tom i Slovensko, které se umístilo na 124. příčce. Na prvním místě se v Indexu hrozeb nově umístila Bývalá jugoslávská republika Makedonie. Největší skok mezi nebezpečné země zaznamenal Kyrgyzstán, který se posunul o 77 míst až na druhou pozici. Naopak Tunisko se nejvýrazněji posunulo mezi bezpečnější země, když kleslo ze 16. příčky na 73. pozici.

V červenci se do Top 10 nejčastěji zneužitých zranitelností dostaly hned tři IoT zranitelnosti: MVPower DVR router Remote Code Execution (5. příčka), D_Link DSL-2750B router Remote Command Execution (7. pozice) a Dasan GPON router Authentication Bypass (10. pozice). Celkově bylo 45 % organizací po celém světě ovlivněno útoky zneužívajícími tyto zranitelnosti, ve srovnání s 35 % v červnu a 21 % v květnu. Zranitelnosti umožňují útočníkům spustit škodlivý kód a získat vzdálenou kontrolu nad cílovým zařízením.

„Známé zranitelnosti poskytují kyberzločincům snadný vstup do podnikových sítí, což umožňuje využít širokou škálu útoků,“ řekl Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „IoT zranitelnosti jsou často ‚cesta nejmenšího odporu‘, takže jakmile je narušena bezpečnost jednoho zařízení, může být snadné infiltrovat další připojená zařízení. Je tedy zásadní, aby organizace používaly záplaty proti známým zranitelnostem a zajistily tak, že sítě zůstanou bezpečné.“

„Aby bylo možné chránit se před známými i neznámými zranitelnostmi, je důležité, aby organizace nasadily vícevrstvou kyberbezpečnostní strategii, která chrání proti kyberútokům využívajícím známé malwarové rodiny i proti zcela novým hrozbám,“ dodal Šafář.

CoinHive zůstává nejčastěji použitým malwarem k útokům na organizace, dopad měl na 19 % z nich po celém světě. Cryptoloot a Dorkbot se umístily na druhém a třetím místě, oba měly dopad na sedm procent společností.

Top 3 - malware:

  1. ↔ CoinHive – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá procesor koncových uživatelů a negativně ovlivňuje výkon stroje.
  2. ↔ Cryptoloot - Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
  3. ↔ Dorkbot - IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jde o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v červenci bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Guerilla.

Top 3 - mobilní malware:

  1. Lokibot - Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
  2. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  3. Guerilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.

Check Point také analyzoval nejčastěji zneužívané zranitelnosti a zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 47 % organizací. Druhá zranitelnost CVE-2017-5638 měla dopad na 42 % organizací po celém světě. OpenSSL TLS DTLS Heartbeat Information Disclosure na třetím místě ovlivnila 41 % společností.

Top 3 - zranitelnosti:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  2. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.
  3. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval především CoinHive, malware těžící kryptoměnu Monero, a i na dalších místech v Top 10 se výrazně prosadil malware těžící kryptoměny. Na druhou příčku se posunul RoughTed a přesto, že červ Dorkbot nebyl v červnu ani v Top 10, v červenci poskočil až na pozici trojky.

Top malwarové rodiny v České republice – červenec 2018

 

 

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

CoinHive

CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.

18,60 %

22,34 %

RoughTed

Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

5,85 %

8,93 %

Dorkbot

IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.

6,91 %

7,56 %

Cryptoloot

Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

6,92 %

7,22 %

Authedmine

Malware těžící kryptoměny.

0,96 %

5,50 %

Cridex

Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích.

1,15 %

5,50 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

4,51 %

5,15 %

Jsecoin

JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné

5,92 %

4,81 %

Nivdort

Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.

2,57 %

3,78 %

Ramnit

Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor.

2,71 %

3,78 %

Štítky: 

Podobné články

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více