Společnost Check Point Software Technologies, která se zabývá poskytováním kyberbezpečnostních řešení, zveřejnila nejnovější vydání celosvětového indexu dopadu hrozeb, podle kterého i v lednu na organizace po celém světě útočil malware zaměřený na těžbu kryptoměn. Celkem 23 procent organizací bylo ovlivněno variantou CoinHive, která se nevyhnula ani České republice.
Společně s indexem byl vydán i žebříček zemí, které jsou nejčastěji terčem kyberútoků. V žebříčku opět došlo k mnoha výrazným změnám a i Česká republika se tentokrát posunula o 15 míst mezi nebezpečnější země a v indexu hrozeb jí patřilo 101. místo. Naopak Slovensko se posunulo o 24 míst mezi bezpečnější země a umístilo se na 116. pozici. Na prvním místě se v indexu hrozeb nově umístila Botswana. Největší skok mezi nebezpečné země zaznamenal Mosambik (posun ze 123. pozice na 28. příčku). Naopak Lichtenštejnsko poskočila o 119 míst z 5. pozice na druhý konec žebříčku a bezpečnější 124. příčku.
Výzkumníci společnosti Check Point upozornili, že v Top 10 škodlivých kódů nejčastěji použitých k útokům na organizace se umístily tři různé varianty malwaru těžícího kryptoměny, CoinHive se dokonce umístil na první příčce, když ovlivnil více než jednu z pěti organizaci. CoinHive těží kryptoměnu Monero bez souhlasu uživatele a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
„Během uplynulých tří měsíců se malware těžící kryptoměny stal velmi vážnou hrozbou pro všechny organizace, protože kyberzločinci zde vidí lukrativní zdroj příjmů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Ochrana před malwarem těžícím kryptoměny je náročná, protože škodlivý kód je často ukrytý ve webových stránkách, což umožňuje hackerům zneužívat výkon procesorů nic netušících obětí. Je proto zásadní, aby organizace používaly taková řešení, která je ochrání i před těmito maskovanými kyberútoky.“
Check Point také zjistil, že 21 procent organizací stále úspěšně nevyřešilo problém se stroji infikovanými malwarem Fireball. Fireball může být použit jako plně funkční downloader malwaru, který je schopný spouštět jakýkoli kód na počítačích obětí. Poprvé byl objeven v květnu 2017 a masivně útočil na organizace během léta 2017.
Top 3 malware
Jedničkou mezi škodlivými kódy nejčastěji použitými k útokům na organizace se stal i v lednu CoinHive, malware těžící kryptoměny, který ovlivnil 23 procent organizací. Na druhé místo poskočil Fireball a v Top 3 se udržel exploit kit Rig ek ovlivňující 17 procent společností.
CoinHive
Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
Fireball
Převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru.
Rig ek
Exploit kit poprvé použitý v roce 2014. Rig zneužívá zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
Top 3 mobilní malware
Nejčastěji použitým škodlivým kódem k útokům na podniková mobilní zařízení byl v lednu bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Hiddad.
Lokibot
Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
Triada
Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
Hiddad
Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top malwarové rodiny v České republice (leden 2018)
Check Point analyzoval i malware útočící na podnikové sítě v České republice. V žebříčku došlo k řadě změn, ale zcela nejvýraznějším trendem je vzestup škodlivých kódů těžících kryptoměny, což potvrzuje i první místo, kam se stejně jako ve světě posunul CoinHive.
CoinHive
CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
Globeimposter
Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
Fireball
Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti spolu s programem, který uživatel opravdu chtěl.
Roughted
Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Rig EK
Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.
Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
Jsecoin
JavaScript těžící kryptoměny, který lze vložit do webových stránek.
AuthedMine
Malware těžící kryptoměny.
Nivdort
Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.
Cryptoloot
Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
Online mapa kybernetických hrozeb
Online mapa kybernetických hrozeb ThreatCloud Map (dostupná zde) sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
