Roughted, Globalimposter a HackerDefender jsou v TOP 3 malware za srpen tohoto roku

Check Point Software Technologies zveřejnil srpnový Celosvětový index dopadu hrozeb, podle kterého byly v srpnu bankovní trojské koně velmi oblíbeným nástrojem kyberzločinců.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v srpnu mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 122. příčce. Podobně si vedlo i Slovensko, které skončilo na 119. pozici. Na prvním místě se v Indexu hrozeb umístila Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Uruguay, která se posunuly o 75 míst na 47. příčku. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.

Do Top 10 škodlivých kódů se dostaly bankovní trojany Zeus, Ramnit a Trickbot. Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údajů a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky.

Srpnový Celosvětový index dopadu hrozeb také odhalil, že ransomware Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.

„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní.“

Roughted zůstal i během srpna nejčastěji použitým malwarem k útokům na podnikové sítě, přestože celosvětově klesl jeho dopad z 18 % na méně než 12% organizací. Globalimposter na druhém místě ovlivnil 6 % organizací z celého světa a HackerDefender na třetím místě měl dopad na 4 % společností.

Top 3 - malware:

  1. RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
  2. ↑ Globeimposter - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
  3. ↓ HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.

Hummingbad, který se v první polovině roku 2017 pokaždé umístil v Top 10 škodlivých kódů, zaznamenal výrazný pokles. Naopak Triada se posunula na první příčku ze třetí pozice a následovaly škodlivé kódy Hiddad a Gooligan:

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  2. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  3. Gooligan – Malware pro Android umí rootovat zařízení a krást e-mailové adresy a autentizační tokeny uložené v zařízení.

Srpnový Index hrozeb ukazuje, jak je oblast kyberhrozeb různorodá a dynamická. Před několika měsíci byl Hummingbad zcela dominantní, ovšem v srpnu se nedostal ani do Top 10. Naopak výrazný byl především ransomware a na vzestupu jsou bankovní trojské koně.

„Je důležité, aby organizace znaly rizika a neustále měly aktuální ochranu proti dobře známým malwarovým rodinám, novým variantám i novým hrozbám nultého dne,“ dodává Kovalčík. „Vyžaduje to vícevrstvou bezpečnostní strategii, která dokáže reagovat na nejrůznější neustále se vyvíjející typy útoků.“

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR je na prvním místě stále malvertisingová kampaň RoughTed, na druhém místě Globeimposter a na třetím HackerDefender.

Top 10 malwarových rodin v České republice – srpen 2017

Malwarová rodina

Popis

Roughted

Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

Globeimposter

Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Tinba

Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.

Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.

Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).

Fireball

Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.

Trickbot

Bankovní trojan, který je variantou Dyre, byl objeven v říjnu 2016. Trickbot může stahovat pokyny z řídících a velících serverů, když se oběti pokusí navštívit webové stránky, na rozdíl od většiny bankovních trojanů, které aktualizují své konfigurace periodicky. Tato funkce pomáhá Trickbotu vyhnout se chybám způsobeným zastaralou konfigurací, což by jinak mohlo vést k jeho objevení.

GhOst

Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.

Datan

Nepříznivě ovlivňuje výkon počítače.

MagicHoundFetch

MagicHoundFetch je trickler, který cílí na platformu Windows. Tento malware byl údajně používán v pokročilé perzistentní útočné kampani působící primárně na Blízkém východě. Malware shromažďuje informace o systému a odesílá je na vzdálený server. Také hlásí serveru svůj stav. Může stáhnout a spustit soubory na infikovaném systému. Navíc infikuje spouštěcí klíč v registru, aby přežil restart systému.

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Autor: Petr Smolník, šéfredaktor


Nejčtenější