Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil zářijový Celosvětový index dopadu hrozeb, který odhalil masivní nárůst celosvětových útoků ransomwaru Locky, který ovlivnil 11,5 procent organizací po celém světě.
Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila i v září mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 119. příčce. Naopak Slovensko poskočilo mezi nebezpečnější země a posunulo se o 29 míst na 90. pozici. Na prvním místě se v Indexu hrozeb umístila podruhé za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenal Irák, který se posunul o 75 míst na 23. příčku. Naopak Spojené arabské emiráty se posunuly z 33. příčky na bezpečnější 110. pozici.
Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016, ale v září vylétl o 25 příček až na druhé místo, hned za malvertisingovou kampaň RoughTed. Za vzestupem stál botnet Necurs, který se sám objevil na desátém místě. HackerDefender, uživatelský rootkit pro Windows, který byl v srpnu třetím nejčastějším malwarem, vypadl z Top 10.
Locky se poprvé začal šířit v únoru 2016 a rychle se stal jednou z nejvýznamnějších malwarových rodin. Šíří se primárně prostřednictvím nevyžádaných e-mailů, které obsahují downloader maskovaný jako příloha ve formátu word nebo zip, která obsahuje škodlivá makra. Když uživatelé aktivují tato makra, příloha stáhne a nainstaluje malware, který zašifruje soubory uživatelů. Následně je uživatel nasměrován, aby stáhl prohlížeč Tor a navštívil webovou stránku vyžadující platbu v bitcoinech. V červnu 2016 vydal botnet Necurs aktualizovanou verzi Lockyho, která využívala nové techniky umožňující vyhnout se detekci.
Nová vlna ransomwaru Locky ukazuje, že organizace nikdy nesmí usnout na vavřínech. Kyberzločinci neustále hledají způsoby, jak vylepšit stávající nástroje, aby byly znovu účinné. Navíc výkonné botnety mohou dát starým variantám novou sílu i pro celosvětové útoky. Každá desátá organizace byla v září ovlivněna ransomwarem Locky, což ukazuje, že i stávající malware může být stejně nebezpečný jako zcela nové varianty.
Top 3 – malware:
-
↔ RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
-
↑ Locky – Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.
-
↓ Globeimposter – Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
Nejčastěji použitým malwarem k útokům na podniková mobilní zařízení byl škodlivý kód Triada, který se na první příčku posunul z 3. pozice:
Top 3 – mobilní malware:
-
Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
-
Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
-
Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení
„Pokud ještě nějaká organizace pochybovala o nebezpečnosti ransomwaru, tyto statistiky by jí měly otevřít oči,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Ransomware obsadil 2 ze 3 míst mezi nejpoužívanějším malwarem. První je relativně nová varianta, která se objevila v letošním roce, a druhá ransomwarová rodina je starší a momentálně zažívá svůj restart. Stačí, aby se jeden jediný zaměstnanec stal obětí sociálního inženýrství a celá organizace se může dostat do velmi vážných problémů.“
Check Point věří, že je důležité nasadit vícevrstvou kyberbezpečnostní strategii, která ochrání před stávajícími malwarovými rodinami i před zcela novými hrozbami nultého dne. Efektivní kyberbezpečnostní nástroje využívají nejenom analýzu na základě signatur, ale odhalí i podezřelé chování a obecné znaky, jako jsou vložená makra v dokumentech. Takový přístup mají například řešení SandBlast Zero-Day Protection a Mobile Threat Prevention.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Ransomware Locky ukázal v září sílu i v České republice a stal se nejpoužívanějším škodlivým kódem k útokům na podnikové sítě. Na druhém místě se stejně jako v srpnu umístil ransomware Globeimposter a na třetí místo z první příčky klesla malvertisingová kampaň RoughTed.
