Roughted, Globalimposter a HackerDefender jsou v TOP 3 malware za srpen tohoto roku

Check Point Software Technologies zveřejnil srpnový Celosvětový index dopadu hrozeb, podle kterého byly v srpnu bankovní trojské koně velmi oblíbeným nástrojem kyberzločinců.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v srpnu mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 122. příčce. Podobně si vedlo i Slovensko, které skončilo na 119. pozici. Na prvním místě se v Indexu hrozeb umístila Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Uruguay, která se posunuly o 75 míst na 47. příčku. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.

Do Top 10 škodlivých kódů se dostaly bankovní trojany Zeus, Ramnit a Trickbot. Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údajů a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky.

Srpnový Celosvětový index dopadu hrozeb také odhalil, že ransomware Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.

„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní.“

Roughted zůstal i během srpna nejčastěji použitým malwarem k útokům na podnikové sítě, přestože celosvětově klesl jeho dopad z 18 % na méně než 12% organizací. Globalimposter na druhém místě ovlivnil 6 % organizací z celého světa a HackerDefender na třetím místě měl dopad na 4 % společností.

Top 3 - malware:

  1. RoughTed – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
  2. ↑ Globeimposter - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
  3. ↓ HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.

Hummingbad, který se v první polovině roku 2017 pokaždé umístil v Top 10 škodlivých kódů, zaznamenal výrazný pokles. Naopak Triada se posunula na první příčku ze třetí pozice a následovaly škodlivé kódy Hiddad a Gooligan:

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
  2. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  3. Gooligan – Malware pro Android umí rootovat zařízení a krást e-mailové adresy a autentizační tokeny uložené v zařízení.

Srpnový Index hrozeb ukazuje, jak je oblast kyberhrozeb různorodá a dynamická. Před několika měsíci byl Hummingbad zcela dominantní, ovšem v srpnu se nedostal ani do Top 10. Naopak výrazný byl především ransomware a na vzestupu jsou bankovní trojské koně.

„Je důležité, aby organizace znaly rizika a neustále měly aktuální ochranu proti dobře známým malwarovým rodinám, novým variantám i novým hrozbám nultého dne,“ dodává Kovalčík. „Vyžaduje to vícevrstvou bezpečnostní strategii, která dokáže reagovat na nejrůznější neustále se vyvíjející typy útoků.“

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR je na prvním místě stále malvertisingová kampaň RoughTed, na druhém místě Globeimposter a na třetím HackerDefender.

Top 10 malwarových rodin v České republice – srpen 2017

Malwarová rodina

Popis

Roughted

Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

Globeimposter

Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Tinba

Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.

Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.

Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).

Fireball

Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.

Trickbot

Bankovní trojan, který je variantou Dyre, byl objeven v říjnu 2016. Trickbot může stahovat pokyny z řídících a velících serverů, když se oběti pokusí navštívit webové stránky, na rozdíl od většiny bankovních trojanů, které aktualizují své konfigurace periodicky. Tato funkce pomáhá Trickbotu vyhnout se chybám způsobeným zastaralou konfigurací, což by jinak mohlo vést k jeho objevení.

GhOst

Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.

Datan

Nepříznivě ovlivňuje výkon počítače.

MagicHoundFetch

MagicHoundFetch je trickler, který cílí na platformu Windows. Tento malware byl údajně používán v pokročilé perzistentní útočné kampani působící primárně na Blízkém východě. Malware shromažďuje informace o systému a odesílá je na vzdálený server. Také hlásí serveru svůj stav. Může stáhnout a spustit soubory na infikovaném systému. Navíc infikuje spouštěcí klíč v registru, aby přežil restart systému.

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Autor: Petr Smolník, šéfredaktor

GDPR – ochrana osobních údajů – nové nařízení EU

Společnost Seminaria uspořádala 20. září 2017 již třetí celostátní konferenci na téma GDPR – ochrana osobních údajů. Téměř 300 zástupců firem, veřejných organizací i škol tak mělo možnost získat nejaktuálnější informace o povinnostech, které budou od 25. května 2018 jednoznačně platit.

Již není cesty zpět: GDPR bude platné a žádný odklad se nechystá. Od příštího května budou všechny organizace v Evropské unii povinny řídit se novým nařízením 2016/679, které více zpřísní dosavadní ochranu osobních údajů. Velkým strašákem jsou drakonické pokuty až do výše 20 000 000 EUR či 4 % z celkového ročního obratu celosvětově za předchozí finanční rok. Tyto a mnohé další důležité informace plynoucí z nového nařízení sdělila účastníkům konference Eva Škorničková.

Jan Tomíšek z advokátní kanceláře ROWAN LEGAL se věnoval nově vznikající roli pověřence pro ochranu osobních údajů, tzv. Data Protection Officer (DPO). Povinnost zřídit DPO budou mít hlavně orgány veřejné moci a veřejné subjekty a dále společnosti s rozsáhlým zpracováním osobních údajů. V návrhu nového adaptačního zákona se uvažuje o vyjmutí příspěvkových organizací z této skupiny, nicméně na definitivní rozhodnutí si ještě budeme muset počkat. Nicméně i firmám, které nebudou zahrnuty do povinnosti jmenovat svého pověřence, se vyplatí zajistit personálně zvýšenou ochranou OÚ. „Nenazývejte však tuto osobu pak funkcí Pověřenec - na ní jsou nutně navázané určité kvalifikační předpoklady a povinnosti, které vaše firma nemusí plnit,“ doporučil Jan Tomíšek. Úkolem Pověřence bude každopádně dohlížet na dodržování GDPR, poskytovat rady a spolupracovat s dozorovým úřadem, kde bude uveden jako kontaktní osoba. O tom, co se však bude finálně hlásit na ÚOOÚ, by měl finálně rozhodnout management organizace, nikoli DPO, ten dává pouze doporučení.

GDPR se významně promítne taktéž do personalistky a online businessu. Vojtěch Chloupek z advokátní kanceláře Bird & Bird uvedl, že zejména v online businessu si společnosti musí prozatím počkat na pokyny od pracovní skupiny WP29, která by dle předběžných odhadů měla do konce roku 2017 specifikovat dokumenty např. k problematice profilování a předávání údajů.

Konferenci zakončil Igor Prosecký s praktickými tipy, jakým způsobem se připravit na GDPR, jak zpracovat vstupní analýzu, jakých údajů se to týká a kdo s danými daty je ve styku. Závěrem zdůraznil: „Podcenění vstupní analýzy se negativně promítne do všech procesů souvisejících s GDPR“.

Další informace o akci naleznete na webových stránkách.

Firmy už se nemusejí spoléhat jen na reaktivní ochranu před malwarem

Měl by být kladen větší důraz  především na včasnou identifikaci útoků a jejich okamžité řešení. V současném světě, kde žádná síť není zcela bezpečná, musí společnosti své systémy proaktivně zabezpečit před narušením. Aby se nemusely spoléhat pouze na reaktivní ochranu před malwarem, přichází společnost Kaspersky Lab s nástrojem pro automatizovaný boj s hrozbami. Společnost představuje komplexní řešení pro detekci a reakci koncových zařízení (endpoint detection and response – EDR) v celé firemní síti, které obsahuje prvotřídní vícevrstvé detekční funkcionality a automatizované nástroje pro napravení škod po incidentu. Pilotní program pro Kaspersky EDR byl zahájen 21. září.

Velké riziko pro firmy představují cílené útoky, které se nemusí projevit ihned. Skrytý malware může přetrvávat v síti dlouhé měsíce a šířit se. Zůstává bez povšimnutí především kvůli tomu, že jsou IT bezpečnostní týmy zahlceny manuálním tříděním nepřeberného množství upozornění, která vytvářejí moderní bezpečnostní řešení. Důležité indikátory napadení se přitom snadno ztratí či přehlédnou. I v případě jejich zachycení záleží ještě na jejich posouzení, k čemuž je zapotřebí detailní znalost kybernetických hrozeb a postupů, jako je reverzní inženýrství, malwarová analýza a digital forensics. Ne všechny firmy disponují dostatečnými kapacitami. To se pak odrazí v pomalé reakci na incident a nedostatečné vizibilitě koncových zařízení. Následkem jsou stále vyšší náklady, které musí firmy vynaložit na znovuobnovení provozuschopnosti po incidentu. Ty v současnosti dosahují hodnoty až okolo 977 tisíc dolarů.

V návaznosti na tyto problémy se firmy snaží zrychlit analýzu incidentu a zkrátit dobu potřebnou k reakci. Využívají k tomu speciální prvotřídní bezpečnostní řešení, která jsou označovaná jako EDR. Společnost Kaspersky Lab proto nyní svým zákazníkům nabízí Kaspersky Endpoint Detection and Responce. Mezi jeho hlavní funkce patří mírnění následků kyberincidentů, lepší vizibilita koncových zařízení, kompatibilita s tradičními bezpečnostními produkty pro koncová zařízení a schopnosti usnadňující bezpečnostním týmům a SOC (Security Operations Center) vyšetřování incidentů. Uživatelé Kaspersky EDR budou moci těžit z hluboké znalosti kyberbezpečnostního prostředí, pokročilých bezpečnostních technologií a dlouholetých zkušeností s detekcí celosvětově nejvýznamnějších APT hrozeb, které společnost Kaspersky Lab nabízí.

Následující čtyři pilíře tvoří základy strategického přístupu Kaspersky Lab k EDR bezpečnosti:

  • Monitoring: Řešení Kaspersky EDR umožňují firmám získat dokonalý přehled o incidentu, aniž by musely data sbírat manuálně.
  • Detekce: Pokročilé detekční technologie řešení Kaspersky EDR, mezi něž se řadí Targeted Attack Analyzer s technologií strojového učení, pomáhají firmám vyhodnotit data ze senzorů koncových zařízení a tím umožňují rychlou reakci na detekovanou hrozbu.
  • Shromažďování informací: Za účelem co nejpřesnějšího odhalení celého vlákna útoku shromažďuje a vizualizuje Kaspersky EDR forenzní data z koncových zařízení. Ta zahrnují jak informace o neznámých souborech, tak i metadata o programech, procesech, službách, modulech, složkách, autorunech či síťových připojeních.
  • Reakce: Účinné EDR není možné bez schopnosti reakce, umožňující organizacím dálkově odstranit infekci z napadených systémů. Nabízí tak alternativu k obtížnému a nákladnému manuálnímu opravení počítačů. Prevence opakujících se cílených útoků je jednou z hlavních předností Kaspersky EDR. Bezpečnostní odborníci budou moci zakázat spuštění podezřelých PE složek, office dokumentů a skript. Navíc budou moci nastavit pravidla, díky nimž budou proaktivně mazány soubory už v koncových zařízeních. Tím nedojde k ohrožení celé korporátní sítě.

Autor: Petr Smolník, šéfredaktor

Nejčtenější