Top 10 internetových hrozeb v květnu

Internetovým hrozbám v květnu vévodil malware Danger, WannaCry české uživatele skutečně minul

Nově posilovala nevyžádaná reklama AztecMedia, která bez souhlasu uživatele mění domovskou stránku prohlížeče

Zavirované přílohy e-mailů, které obsahují škodlivý kód Danger, byly i v květnu nejčastější bezpečnostní hrozbou na českém internetu. Představovaly víc než každou pátou detekci pokusu o průnik do počítačů. Konkrétně šlo o 21,39 procenta případů. Ransomware WannaCry, který byl v uplynulých týdnech v popředí zájmu, se na celkovém počtu hrozeb podílel pouze 0,15 procenty. V uplynulém měsíci ale výrazně přibývalo případů nevyžádané internetové reklamy, tzv. adware. Vyplývá to z pravidelné měsíční statistiky společnosti ESET.

„Zpětná analýza potvrdila naše dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET.

Téměř desetinu detekovaných hrozeb představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento adware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.

 „Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesňuje Dvořák. AztecMedia v květnu představoval 8,81 procenta všech detekovaných internetových hrozeb v České republice a v žebříčku škodlivých kódů se umístil na druhém místě hned za malware Danger.

Třetí nejčetnější kybernetickou hrozbou byl v květnu trojský kůň Chromex, který během dubna atakoval nejvyšší příčku žebříčku společnosti ESET. Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem.

Top 10 hrozeb v České republice za květen 2017:

1. JS/Danger.ScriptAttachment (21,39 %)

2. JS/Adware.AztecMedia (8,81 %)

3. JS/Chromex.Submeliux (7,62 %)

4. Win32/GenKryptik (4,37 %)

5. JS/TrojanDownloader.Nemucod (3,77 %)

6. Java/Adwind (3,62 %)

7. Win32/Adware.ELEX (2,85 %)

8. PDF/TrojanDropper.Agent.AD (2,65 %)

9. Java/Kryptik.BK (2,59 %)

10. PDF/TrojanDropper.Agent.Z (2,04 %)

Autor: Petr Smolník, šéfredaktor

Boom exploit kitů nepolevuje

Check Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého i nadále roste počet kyberútoků využívajících exploit kity. Nejčastější formou útoku se stal exploit kit Rig.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika si oproti březnu polepšila a ze 43. příčky se posunula o 20 míst mezi bezpečnější země na 63. místo. Hned na sousedním 62. místě je Slovensko, které se ale naopak posunulo mezi nebezpečnější země z březnové klidnější 97. příčky. Na prvním místě se v Indexu hrozeb už třetí měsíc za sebou umístila Zambie. Největší skok mezi nebezpečnější země zaznamenala Albánie, která se posunula o 64 míst na 41. příčku.

Exploit kity jsou určené k objevení a zneužití zranitelnosti v počítačích a ke stažení a spuštění dalších škodlivých kódů. Až do minulého měsíce jejich využití klesalo, ale v březnu došlo k nárůstu útoků, především v důsledku vzestupu exploit kitů Rig a Terror.

Check Point odhalil také náhlé oživení červa Slammer, který se po dlouhé přestávce vrátil do Top 3 nejčastějších škodlivých kódů. Slammer se poprvé objevil v roce 2003. Cílil na Microsoft SQL 2000 a šířil se tak rychle, že mohl způsobit odepření služby u některých postižených cílů. Je to podruhé za několik uplynulých měsíců, co se červ dostal do Top 10 Celosvětového indexu dopadu hrozeb, což ukazuje, jak i desetiletý malware může být znovu úspěšný a nebezpečný.

Top 3 malwarové rodiny využívaly širokou škálu útočných vektorů a taktik a měly vliv na celý infekční řetězec. Nejrozšířenějším malwarem v dubnu byly Rig EK a HackerDefender, které ovlivnily 5 %, respektive 4,5 % organizací po celém světě. Na třetím místě se umístil červ Slammer, který měl dopad na 4 % společností.

Top 3 - malware:

  1. ↑ Rig EK – Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
  2. ↓ HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.
  3. ↑ Slammer – Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Mobilní malware na prvních 2 místech nezaznamenal oproti březnu žádnou změnu, na 3. místo se posunul hackerský nástroj Lotoor.

Top 3 - mobilní malware:

  1. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. Hummingbad – Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  3. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

„Minulý měsíc jsme viděli prudký nárůst útoků pomocí exploit kitů, což potvrzuje, že staré, ale účinné kyberhrozby nemizí. Často se znovu objevují a vrací vylepšené a aktualizované, takže jsou opět nebezpečné. Důkazem je i fakt, že se červ Slammer dostal do Top 3 škodlivých kódů za duben,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Kyberzločinci vždy raději přizpůsobí nástroje, které již mají k dispozici, než aby vyvíjeli zcela nové útočné nástroje. Je to jednodušší, rychlejší a výhodnější. Pro organizace je to varováním, že musí zůstat ve střehu a nasadit sofistikované bezpečnostní systémy, které chrání proti nejrůznějším útokům.“

Check Point analyzoval i malware útočící na podnikové sítě v České republice a nadále pokračoval vzestup exploit kitů. Rig EK si polepšil ještě o jednu příčku oproti březnu a umístil se hned za vedoucím rootkitem HackerDefender. Podobně jako ve světě i v ČR posílil červ Slammer, který se ze 7. pozice posunul na 4. Naopak v březnu 3. ransomware Cryptowall se propadl až na 7. příčku. Tradičně vysoko se drží Conficker, ale už zdaleka nedominuje tak, jako to bylo v roce 2016.

Top 10 malwarových rodin v České republice – duben 2017

Malwarová rodina

Popis

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Rig ek

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Slammer

Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Adwind

Adwind je backdoor, který cílí na systémy podporující Java runtime prostředí. Malware Adwin rozesílá informace o systému a přijímá příkazy od vzdáleného útočníka. Příkazy mohou být použity například k zobrazení zprávy v systému, otevření URL, aktualizaci malwaru, stažení/spuštění souboru nebo stažení/nahrání pluginu. Stahovatelné pluginy pro malware mohou poskytnout další funkce, včetně možností vzdáleného ovládání a spouštění shell příkazů.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

Ghost

Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.

Datan

Nepříznivě ovlivňuje výkon počítače.

Graftor

Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.

RookieUA

RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Business

Škodlivý program zaměřený na platformu Windows. Simuluje činnost antiviru nebo bezpečnostních modulů operačního systému.

Darkness

Darkness je backdoor bot agent, který infikuje hostitelské stroje se systémem Windows a přijímá vzdáleně příkazy od útočníků. Může být využit k DDoS útokům. Šíří se prostřednictvím e-mailů, vyměnitelných zařízení nebo síťových sdílení.

BoA

Nový bankovní malware.

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den

Autor: Petr Smolník, šéfredaktor

Malware Fireball: Více než čtvrt miliardy napadených počítačů

Check Point odkalil hrozbu v prohlížečích nainstalovaný malware, pojmenovaný Fireball.

Ten přebírá kontrolu nad webovými prohlížeči a ovládá je. Fireball má dvě hlavní funkce: Jedna je schopnost spouštět jakýkoli kód na počítačích obětí a stahovat jakýkoli soubor nebo malware a druhá je převzetí kontroly a manipulace s webovým provozem pro generování zisků z reklamy. Aktuálně Fireball instaluje pluginy a různá nastavení, aby zvýšil inzertní potenciál, ale zároveň se snadno může stát nebezpečným distributorem dalšího malwaru.

Za celou operací stojí Rafotech, velká digitální marketingová agentura se sídlem v Pekingu. Rafotech používá Fireball k manipulaci webových prohlížečů a změnám výchozích vyhledávačů a domovských stránek na falešné vyhledávače, které jednoduše přesměrují dotazy na yahoo.com nebo Google.com. Falešné vyhledávače také například sbírají osobní informace o uživatelích. Fireball může mimo jiné špehovat oběti, efektivně instalovat nový malware nebo spouštět jakýkoli škodlivý kód na infikovaných počítačích, což vytváří masivní bezpečnostní chybu v postižených strojích a sítích.

V České republice bylo touto hrozbou infikováno 18,32 % organizací.

Klíčová zjištění:

  • Analytici společnosti Check Point odhalili masivní čínskou hrozbu, která infikovala přes 250 milionů počítačů po celém světě a 20 % podnikových sítí.
  • Malware nazvaný Fireball zneužívá webové prohlížeče, ale může být přeměněn na plně funkční downloader malwaru. Fireball může spustit libovolný kód na počítačích obětí, což může mít za následek celou řadu škodlivých aktivit od krádeží přihlašovacích údajů až po instalaci dalšího malwaru.
  • Fireball se většinou šíří jako nechtěný doplněk chtěného programu, takže se instaluje na počítače obětí spolu s požadovaným programem, navíc často bez souhlasu uživatele.
  • Za celou operací stojí čínská digitální marketingová agentura.
  • Země s nejvíce infikovanými stroji jsou Indie (10,1 %) a Brazílie (9,6 %).


Jak zjistíte, jestli je váš počítač infikovaný?


Pokud chcete zjistit, jestli je váš počítač infikovaný, otevřete svůj webový prohlížeč. Nastavili jste tuto domovskou stránku? Můžete ji změnit? Znáte svůj výchozí vyhledávač a můžete ho také upravit? Pamatujete si všechny nainstalovaná rozšíření prohlížeče? Pokud je odpověď na nějakou z těchto otázek "Ne", pak je to znamení adwarové infekce.

Autor: Petr Smolník, šéfredaktor