Kyberzločinci se vrací ke klasice – využívají flash i makra v Office
Právě zaměření na Flash vyneslo popularitu exploit kitu Angler, který se stal dominantním škodlivým malwarem v tomto období. Až 40 procent uživatelů, kteří se dostali na úvodní stránku export kitu Angler bylo podle studie Cisco Midyear Security Report skutečně napadeno. Přitom nejúspěšnější exploit kity objevené v loňském roce byly jen na polovině čísla. Studie přitom ukazuje, že firmám často trvá až 200 dní, než nákazu ve svých počítačích objeví. Právě pokročilé nákazy, jako je například Angler, ukazují, že kybernetický zločin se rychle profesionalizuje a útočníci přicházejí s novými, stále sofistikovanějšími typy útoků, které je obtížné detekovat standardními bezpečnostními programy. Cestou ke zkrácení doby mezi napadením a odhalením, označované zkratkou TTD (time to detection), jsou bezpečnostní řešení využívající například retrospektivní analýzy provozu. Ta mohou zkrátit TTD z dosavadních 100 až 200 dní na pouhých 48 hodin.
Zatímco loni se zdálo, že popularita flashe u kyberútočníků upadá, výsledky za necelé první pololetí letošního roku (leden až květen 2015) naznačují obrat trendu. Za období bylo zaznamenáno využití 62 nových bezpečnostních mezer v programu, což je přibližně o třetinu více, než za celý loňský rok a o pět více než v roce 2012, který byl doposud rekordním. Naopak počet útoků využívajících Silverlight zůstává relativně stabilní, totéž platí i o Javě, která byla dlouho nejrizikovější platformou. Právě zaměření se na bezpečnostní mezery v aplikaci flash, společně se Silverlight, Javou a Internet Explorerem, vyneslo neslavný primát tvůrcům export kitu Angler. Úspěšnost útoků za využití exploit kitů Angler a Nuclear naznačuje, že velké množství uživatelů stále nevyužívá automatické aktualizace a neinstalují bezpečnostní záplaty pravidelně.
„Jak ukazuje Cisco Midyear Security Report, množství pokročilých sofistikovaných kybernetických útoků rychle roste. V boji s těmito typy kybernetických útoků běžná ochrana nainstalovaná na vstupních branách sítě obvykle selhává,“ upozorňuje Ivo Němeček, bezpečnostní expert společnosti Cisco. „Ukazuje se, že bezpečnostní řešení musí být přímo součástí síťové infrastruktury, jejíž jednotlivé prvky musí analyzovat veškerý síťový provoz a zaznamenat případné nestandardní chování naznačující kybernetický útok. Tím ovšem roste i tlak na spolehlivost samotných dodavatelů jednotlivých síťových prvků“ doplnil Ivo Němeček.
Do centra pozornosti útočníků se vrací také další „osvědčený“ prostředek – makra v aplikacích Microsoft Office. Dokazuje to například vysoký výskyt malwaru Dridex, který je využívá. V minulosti se zdálo, že využívání maker k napadení počítačů postupně vymizí, protože prostřednictvím oprav je Microsoft ve svých aplikacích vypnul a uživatel je musel ručně zapnout. Nová vlna útoků je ale důkazem stále sofistikovanějších metod používaných kyberpiráty. Ti využívají metod sociálního inženýrství, aby donutili uživatele makra zapnout a tím jim otevřeli cestu k napadení jejich počítačů. Dobře zacílený spam, který se používá k distribuci Dridexu, totiž dokáže uživatele nejčastěji motivovat k akci a tím i k pomoci útočníkům. Problém je, že tyto typy útoků se velmi rychle mění a existuje velké množství variant, takže jsou běžnými antivirovými programy prakticky nezachytitelné.
Výsledky studie Cisco Midyear Security Report odhalují také růst četností takzvaných ransomware útoků. Ty se zaměřují jak na běžné domácí, tak na firemní uživatele. Na rozdíl od většiny ostatních typů útoků nejsou zaměřeny na odcizení dat či ovládnutí napadeného počítače, ale mají za cíl přímý peněžní zisk pro útočníky. Ransomware útoky zašifrují data v napadeném počítači – ať jsou to již soukromé fotografie, daňové záznamy či cokoli jiného – a nabídnou oběti unikátní kód k jejich rozšifrování. Pochopitelně za poplatek. Pokud napadený do příslušného data nezaplatí, útočníci jeho soubory většinou nenávratně zničí. Proti odhalení se útočníci brání také používáním kyberměn, jako jsou například bitcoiny.
Studii Cisco Midyear Security Report najdete zde.
