Kyberzločinci oprašují staré triky
Na prvním místě se v Indexu hrozeb umístil nově Mosambik. Ostrov Man se v březnu posunul z 31. pozice na 147. příčku a jednalo se o největší pohyb mezi bezpečnější země, naopak v dubnu se ostrov Man zase rekordně vyhoupl o 107 míst zpět mezi méně bezpečné země. Výrazně se mezi nebezpečné země zapsal také Irák, který poskočil o 70 míst až na 42. příčku. Černá Hora se oproti tomu z březnové 36. pozice dostala na bezpečnější 119. místo.
Víceúčelové bankovní trojany, jako je Trickbot, jsou oblíbeným nástrojem kyberzločinců, kteří touží po finančním zisku. Vzestup Trickbot kampaní je spojený s termínem amerického daňového přiznání. Spamová kampaň šíří excelový soubor, které stáhne Trickbot do počítače oběti a šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.
Zatímco tři nejčastější varianty malwaru, používané v dubnu k útokům na podnikové sítě, byly kryptominery, zbylých sedm škodlivých kódů v Top 10 byly víceúčelové trojany. Ukazuje to posun v taktice, kterou zločinci využívají k maximalizaci svých finančních zisků z kampaní po zavření několika populárních služeb těžících kryptoměny a po poklesu hodnot kryptoměn v uplynulém roce.
„V dubnu se do Top 10 dostaly škodlivé kódy Trickbot a Emotet. Špatnou zprávou to je nejenom kvůli tomu, že jsou oba botnety využívány ke krádežím soukromých dat a přihlašovacích údajů, ale také protože šíří ransomware Ryuk. Ryuk se zaměřuje na aktiva, jako jsou databáze a záložní servery, a požaduje výkupné ve výši až přes milion dolarů. Jelikož se tyto škodlivé kódy neustále mění a vyvíjí, je důležité mít robustní ochranu s pokročilou prevencí hrozeb,“ řekl Daniel Šafář, country manager regionu CZR ve společnosti Check Point.
Top 3 - malware:
- ↔ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ Jsecoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu modulární backdoor Triada. Na druhém místě zůstal hackerský nástroj Lotoor a malware Hiddad klesl na třetí příčku.
Top 3 - mobilní malware:
- Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
- Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- Hiddad - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla celosvětově dopad na 44 % organizací. Poprvé po 12 měsících klesla zranitelnost Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow z první příčky na druhou pozici, dopad měla na 40 % organizací po celém světě. Zranitelnost Apache Struts2 Content-Type Remote Code Execution na třetím místě ovlivnila také 38 % společností.
Top 3 - zranitelnosti:
- ↑OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
- ↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
- ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul z březnové páté příčky kryptominer Cryptoloot. Naopak kryptominer JSEcoin klesl z pozice jedničky na třetí míst, přitom v březnu zcela dominoval a měl dopad na téměř 38 % českých společností. Kryptominery sice podobně jako ve světě ovládly přední příčky, ale oproti předchozím měsícům jejich pozice slábne a do žebříčku významně pronikají další hrozby.