Přejít k hlavnímu obsahu

Organizace stále čelí útokům škodlivých kódů těžících kryptoměny

redakce 26.03.2018
info ikonka
Zdroj:

Check Point Software Technologies zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého v únoru malware těžící kryptoměny ovlivnil 42 procent organizací po celém světě.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Únor nepřinesl v porovnání s jinými měsíci tolik dramatických změn. Česká republika se posunula o devět míst mezi nebezpečnější země a v Indexu hrozeb jí patřilo 92. místo. Slovensko se lehce posunulo o dvě příčky na bezpečnější 118. pozici. Na prvním místě se v Indexu hrozeb umístila stejně jako v lednu Botswana. Největší skok mezi nebezpečné země zaznamenalo Estonsko (posun z 90. pozice na 11. příčku).

Výzkumníci společnosti Check Point objevili tři různé varianty škodlivých kódů těžících kryptoměny v Top 10 škodlivých kódů nejčastěji použitých k útokům na organizace. CoinHive byl i v únoru číslem jedna a ovlivnil každou pátou společnost po celém světě. Cryptoloot se posunul na druhou příčku poté, co více než zdvojnásobil svůj globální dopad ze 7 procent v lednu na 16 procent v únoru. Exploit kit Rig skončil jen těsně na třetí pozici, když po celém světě ovlivnil 15 procent všech organizací.

„Malware těžící kryptoměny během uplynulých čtyř měsíců neustále rostl. Tato hrozba nejen zpomaluje počítače a servery, ale jakmile pronikne do sítě, může být použita k dalším škodlivým aktivitám. Proto je důležitější než kdy jindy, aby organizace používaly vícevrstvou kyberbezpečnostní strategii, která chrání proti známým i neznámým hrozbám,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.

Top 3 malware:

1.            ↔ CoinHive – Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.

2.            ↑ Cryptoloot - Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.

3.            ↔ Rig ek – Exploit kit poprvé použitý v roce 2014. Rig zneužívá zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Nejčastěji použitým škodlivým kódem k útokům na podniková mobilní zařízení byl v únoru modulární backdoor Triada, následovaly škodlivé kódy Lokibot a Hiddad.

Top 3 mobilní malware:

1.            Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.

2.            Lokibot – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.

3.            Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je stejně jako v lednu CoinHive, malware těžící kryptoměnu Monero, a na druhou příčku poskočil z 9. místa Cryptoloot, další malware těžící kryptoměny. A v Top 10 jsou dokonce 4 škodlivé kódy těžící kryptoměny, kromě CoinHive a Cryptoloot to jsou ještě Jsecoin (4. místo) a Authedmine (9. příčka).

 

Top malwarové rodiny v České republice – únor 2018

Malwarová rodina

Popis

CoinHive

CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.

Cryptoloot

Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

Roughted

Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.

Jsecoin

JavaScript těžící kryptoměny, který lze vložit do webových stránek.

Rig ek

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

Necurs

Necurs je jedním z největších aktivních botnetů. Odhaduje se, že v roce 2016 tvořilo tento botnet asi 6 milionů botů. Botnet se používá k distribuci mnoha malwarových variant, většinou bankovních trojanů a ransomwaru. Botnet Necurs obvykle šíří malware masivními spamovými kampaněmi se zipovými přílohami obsahujícími škodlivý JavaScript kód. V červnu 2016 botnet záhadně ukončil činnost na téměř jeden měsíc, možná kvůli chybě v C&C funkci. Necurs je také hlavní distributor ransomwaru Locky, jedné z nejvýznamnějších ransomwarových rodin roku 2016, a sofistikovaného bankovního trojanu Dridex, který je odpovědný za krádež milionů dolarů od obětí hlavně ze Spojeného království a Spojených států.

Virut

Virut je jedním z hlavních botnetů a distributorů malwaru. Používá se pro DDoS útoky, distribuci nevyžádané pošty, krádeže dat a podvody. Malware se šíří prostřednictvím spustitelných souborů pocházejících z infikovaných zařízení, jako jsou USB disky, nebo prostřednictvím nakažených webových stránek a snaží se infikovat jakékoli dostupné soubory s příponami .exe nebo .scr. Virut změní lokální soubory a otevírá zadní vrátka připojením IRC kanálu řízeného vzdáleným útočníkem.

Fireball

Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti spolu s programem, který uživatel opravdu chtěl.

Authedmine

Malware těžící kryptoměny.

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

 

 

 


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme