Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého v březnu dále rostl počet útoků malwarů těžících kryptoměny a výrazný vzestup zaznamenala zejména varianta XMRig.
XMRig byl poprvé objeven v květnu 2017 a do Top 10 škodlivých kódů nejčastěji použitých k útokům na podnikové sítě se dostal právě v březnu 2018, když zaznamenal 70% nárůstu celosvětového dopadu. XMRig dokáže těžit kryptoměnu Monero, aniž by potřeboval nějakou aktivní úlohu ve webovém prohlížeči v počítači oběti. Funguje totiž spíše než ve webovém prohlížeči přímo na koncovém zařízení.
„Malware těžící kryptoměny je příkladem úspěšné hrozby a vzestup XMRigu naznačuje, že kyberzločinci aktivně investují do úprav a vylepšení svých metod,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Kromě zpomalování počítačů a serverů se může malware těžící kryptoměny dále šířit, jakmile je uvnitř sítě, což představuje pro oběti vážné bezpečnostní riziko. Je proto zásadní, aby podniky používaly vícevrstvou strategii kybernetického zabezpečení, která chrání proti stávajícím malwarovým rodinám i zcela novým hrozbám.“
I v březnu obsadil první pozici mezi malwarem nejčastěji použitým k útokům na organizace CoinHive, který měl dopad na 18 % společností, a jedničkou je už čtvrtý měsíc v řadě. Následovaly exploit kit Rig EK (17 %) a na třetí pozici skončil Cryptoloot, který ovlivnil 15 % organizací. XMRig byl 8. nejčastější variantou malwaru, která měla dopad na 5 % organizací.
Top 3 – malware:
↔ CoinHive – Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
↑ Rig ek – Exploit kit poprvé použitý v roce 2014. Rig zneužívá zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
↓ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.
Nejčastěji použitým škodlivým kódem k útokům na podniková mobilní zařízení byl v březnu bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Hiddad.
Top 3 – mobilní malware:
Lokibot – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Vůbec poprvé výzkumníci společnosti Check Point analyzovali také nejčastěji zneužívané kyberzranitelnosti. Zranitelnost CVE-2017-10271 ovlivnila 26 % společností po celém světě, na druhém místě byla zranitelnost SQL injection, která měla dopad na 19 % organizací, a na třetí pozici se umístila zranitelnost CVE-2015-1635 s dopadem na 12 % společností.
Top 3 – zranitelnosti:
Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – Zranitelnost umožňující vzdáleně spustit kód v rámci služby Oracle WebLogic WLS. Důvodem je, jak Oracle WebLogic zpracovává xml dekódování. Úspěšný útok by mohl vést k vzdálenému spuštění kódu.
SQL Injection – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635) – V operačním systému Windows byla hlášena zranitelnost umožňující vzdálené spuštění kódu. Zranitelnost je způsobena chybou, jak HTTP.sys zpracovává škodlivou hlavičku protokolu HTTP. Úspěšné zneužití by mělo za následek vzdálené spuštění kódu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je stejně jako ve světě i nadále CoinHive, malware těžící kryptoměnu Monero, a sílu malwarů těžících kryptoměny potvrzuje na druhém místě Cryptoloot. V Top 10 jsou dokonce 4 škodlivé kódy těžící kryptoměny, kromě CoinHive a Cryptoloot to jsou ještě Jsecoin (5. místo) a nově je v žebříčku také XMRig (8. příčka), který zaznamenal raketový vzestup po celém světě.
Top malwarové rodiny v České republice – březen 2018
Malwarová rodina
Popis
CoinHive
CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
Cryptoloot
Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
Rig ek
Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
Roughted
Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Jsecoin
JavaScript těžící kryptoměny, který lze vložit do webových stránek.
Fireball
Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti spolu s programem, který uživatel opravdu chtěl.
Cridex
Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích.
XMRig
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
FakeRean
Malware maskovaný za antivirus.
Triada
Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada také umí zfalšovat URL odkazy uložené v prohlížeči.
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
