Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil zprávu „Cyber Attack Trends: 2018 Mid-Year Report“, podle které kyberzločinci agresivně útočí na organizace malwarem těžícím kryptoměny, a snaží se tak maximalizovat nelegální toky svých příjmů. Zároveň stále častěji vidíme i útoky na cloudové infrastruktury.
V 1. pololetí 2018 se počet organizací postižených malwarem těžícím kryptoměny zdvojnásobil na 42 % oproti 20,5 % ve druhé polovině roku 2017. Malware těžící kryptoměny umožňuje kyberzločincům zneužít CPU nebo GPU výkon zařízení oběti, a to až do 65 % výkonu CPU. Všechny tři nejčastější malwarové varianty v H1 2018 byly škodlivé kódy těžící kryptoměny.
Check Point zaznamenal také nový trend, podle kterého roste počet útoků na cloudové infrastruktury. Organizace přesouvají více a více dat a informací do cloudových prostředí, takže je cloud stále zajímavější i pro útočníky, kteří se snaží využít obrovskou výpočetní sílu pro znásobení svých zisků.
Zpráva „Cyber Attack Trends: 2018 Mid-Year Report“ poskytuje detailní přehled o kybernetických hrozbách v hlavních malwarových kategoriích, jako jsou kryptominery, ransomware, bankovní a mobilní malware. Report vychází z dat získaných z Check Point ThreatCloud během 1. pololetí 2018 a zaměřuje se na klíčové taktiky, které kyberzločinci používají k útokům na organizace.
„V první polovině letošního roku jsme viděli, že pokračuje trend z konce roku 2017. Kyberzločinci se snažili využívat škodlivých kódů těžících kryptoměny a maximalizovat příjmy. Viděli jsme také stále více sofistikovaných útoků na cloudové infrastruktury a multiplatformní prostředí. Tyto multivektorové, rychlé, masivní útoky 5. generace jsou stále častější a organizace potřebují nasadit vícevrstvou kyberbezpečnostní strategii, která pomůže ochránit jejich sítě a data,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.
Klíčové malwarové trendy v 1. polovině roku 2018
Výzkumníci společnosti Check Point zaznamenali v oblasti malwaru řadu klíčových trendů:
Škodlivé kódy těžící kryptoměny se vyvíjí – V roce 2018 prošly kryptominery značným vývojem, jsou důmyslnější a destruktivnější. Motivace je jasná. Zvýšit zneužití výpočetního výkonu a tím zvýšit zisky. Škodlivé kódy těžící kryptoměny nyní také dokáží zneužít kritické zranitelnosti a vyhnout se odhalení sandboxem a jinými bezpečnostními technologiemi.
Hackeři stále častěji cílí na cloud – V letošním roce jsme už viděli celou řadu sofistikovaných technik a nástrojů použitých pro útok na cloudové služby. Řada cloudových útoků, především těch, které se zaměřují na krádeže a únik dat a informací, byla v důsledku špatných bezpečnostních opatření a postupů, včetně přihlašovacích údajů uložených na úložištích s veřejným zdrojovým kódem nebo použití slabých hesel. Kryptominery se také zaměřují na cloudové infrastruktury, aby využily jejich výpočetní sílu a zvýšily útočníkům zisky.
Vzestup multiplatformových útoků – Až do konce roku 2017 byl multiplatformní malware vzácností. Nicméně nárůst počtu propojených spotřebitelských zařízení a rostoucí podíl jiných operačních systémů než Windows vedou k nárůstu malwaru útočícího napříč platformami. Útočníci implementují nové techniky, aby měli kontrolu nad různými infikovanými platformami.
Mobilní malware se šíří prostřednictvím dodavatelského řetězce – V první polovině letošního roku došlo k řadě incidentů, kdy mobilní malware nebyl stažen ze škodlivé URL adresy, ale byl již nainstalován v zařízení. Navíc došlo k nárůstu aplikací snadno dostupných v obchodech s aplikacemi, které obsahovaly malware, včetně bankovních trojanů, adwaru a sofistikovaných trojanů se vzdáleným přístupem.
Malware těžící kryptoměny – H1 2018
Coinhive (30 %) – Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
Cryptoloot (23 %) – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty.
JSEcoin (17 %) – Malware těžící kryptoměnu Monero, těží bez souhlasu uživatele při vstupu na webové stránky.
Ransomware – H1 2018
Locky (40 %) – Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
WannaCry (35 %) – Ransomware, který se šířil během masivního útoku v květnu 2017. Zneužíval Windows SMB zranitelnost nazvanou EternalBlue, aby se šířil v rámci sítí i mezi nimi.
Globeimposter (8 %) – Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
Mobilní malware – H1 2018
Triada (51 %) – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
Lokibot (19 %) – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
Hidad (10 %) – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Bankovní malware – H1 2018
Ramnit (29 %) – Bankovní trojan, který krade přihlašovací údaje, FTP hesla, cookies a osobní data.
Dorkbot (22 %) – Bankovní trojan, který krade přihlašovací údaje pomocí techniky web-injects, aktivuje se, když se uživatel snaží přihlásit ke svému účtu na webu banky.
Zeus (14 %) – Trojan, který cílí na platformu Windows a je často používán pro krádež bankovních informací pomocí zachytávání stisknutých kláves a získávání dat z webových formulářů.
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
