V České republice nedošlo přitom k nějakým dramatickým změnám a posun o 2 místa znamenal v březnu 43. příčku. Naopak Slovensko se posunulo o 32 míst mezi bezpečnější země a aktuálně mu patří 97. pozice. Na prvním místě se v Indexu hrozeb umístila druhý měsíc za sebou Zambie. Největší skok mezi nebezpečnější země zaznamenala Saudská Arábie, která se posunula o 89 míst na 10. příčku.

Exploit kity jsou určené k objevení a zneužití zranitelnosti v počítačích a ke stažení a spuštění dalších škodlivých kódů. Exploit kity zaznamenaly svůj vrchol v květnu 2016 a od té doby až do března zažívaly pád v důsledku odstavení nejvýznamnějších variant Angler a Nuclear. V březnu ale došlo k nárůstu exploit kitu Rig, který se stal druhým nejčastěji používaným malwarem po celém světě. Výrazně rostl i Terror Exploit Kit, který skončil jen jednu příčku pod Top 10.

Rig byl poprvé použitý v roce 2014 a umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. Terror byl poprvé detekován na začátku prosince 2016 a obsahoval osm různých exploitů. Rig i Terror přináší celou řadu hrozeb, od ransomwaru a bankovních trojanů až po spamboty a nástroje na zisk bitcoinů.

Podobně jako v únoru i v březnu Top 3 malwarové rodiny využívaly širokou škálu útočných vektorů a taktik a měly vliv na celý infekční řetězec. V roce 2016 se ukázal jako jeden z nejvýnosnějších útočných nástrojů ransomware. A jelikož k jeho šíření jsou nyní využívány i exploit kity, nic nenasvědčuje tomu, že by tato hrozba měla ztratit svou sílu.

Nejrozšířenějším malwarem byly v březnu HackerDefender a Rig EK, oba ovlivnily 5 % organizací po celém světě. Následovaly Conficker a Cryptowall, oba měly dopad na 4 % organizací z celého světa.

 

Top 3 - malware:

  1. ↑ HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.
  2. ↑ Rig EK – Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
  3. ↑ Conficker – Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.

 

V oblasti mobilního malwaru zůstaly první 2 rodiny stejné jako v únoru a na 3. místo se vrátil Ztorg.

 

Top 3 - mobilní malware:

  1. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. Hummingbad – Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
  3. Ztorg – Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.

 

„Dramatický nárůst exploit kitů během března ukazuje, že starší hrozby nemizí navždy. Prostě jen vyčkávají a kyberzločinci je mohou kdykoli znovu rychle nasadit. Pro útočníky je vždycky snazší upravovat a měnit existující malwarové rodiny a hrozby než vyvinout zcela nové. A exploit kity jsou obzvláště flexibilní a adaptabilní typ hrozeb. Aby organizace zůstaly v bezpečí před Rig, Terror a dalšími exploit kity, musí nasadit pokročilé bezpečnostní systémy,“ tvrdí Peter Kovalčík, SE Manager ve společnosti Check Point.

Check Point analyzoval i malware útočící na podnikové sítě v České republice a i zde se projevil vzestup exploit kitů. Na 3. místo se vyhoupl Rig EK. První příčka přesto patří rootkitu HackerDefender, který potvrdil svůj vzestup v posledních měsících. V roce 2016 celkově dominoval Conficker, rok 2017 je zatím velmi rozmanitý a organizace čelí nástupu nejrůznějších hrozeb.

 

Top 10 malwarových rodin v České republice – březen 2017

 

Malwarová rodina

Popis

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

Rig EK

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.

Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Inject

Inject je backdoor, který se zaměřuje na platformu Windows. Tento malware spouští části legitimních procesů, "notepad.exe" a výchozího webového prohlížeče, a vkládá do nich svůj škodlivý kód. Následně odesílá informace o systému a přijímá příkazy ze vzdáleného serveru. Malware také posílá aktualizace na vzdálený server, pokud jsou na infikovaných počítačích spuštěny některé procesy.

Zeus

Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí  řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.

Slammer

Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Hiddad

Malware pro Android, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Libix

Malware přibalovaný k jiným programům.

Locky

Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.

     

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Její databáze analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.