Mezi hrozbami i v březnu dominovaly kryptominery

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v březnu jí patřila 121. příčka, což je jen drobná změna oproti únorové 115. pozici. Slovensko se umístilo na 123. místě. Na prvním místě se v Indexu hrozeb umístila znovu Etiopie. Největší posun mezi nebezpečné země zaznamenalo Bulharsko, které poskočilo o 68 míst až na 69. příčku. Naopak ostrov Man se posunul mezi bezpečnější země z 31. únorové pozice až na 147. příčku.

Kryptominery CoinHive a Authedmine ukončily své těžební služby 8. března. Poprvé od prosince 2017 tak klesl CoinHive z první příčky, ale navzdory tomu, že v březnu fungoval pouze osm dní, byl stále 6. nejrozšířenějším malwarem, na svém vrcholu měl dopad na 23 % organizací po celém světě. Kryptominery CoinHive a Authedmine měly v březnu i přes ukončení činnosti velmi výrazný dopad i na české organizace.

Mnoho webových stránek stále ještě obsahuje JavaScript kód malwaru CoinHive, i když už neprovádí těžbu. Výzkumníci společnosti Check Point varují, že pokud se zvýší hodnota kryptoměny Monera, může dojít k jeho reaktivaci. A absence kryptomineru CoinHive mohou využít pro růst jiné těžební služby.

V průběhu března byly tři z pěti nejrozšířenějších škodlivých kódů kryptominery - Cryptoloot, XMRig a JSEcoin. Cryptoloot se vůbec poprvé dostal na čelo Indexu hrozeb, těsně následoval modulární trojan Emotet. Oba škodlivé kódy měly dopad na 6 % společnosti po celém světě. XMRig je třetí nejoblíbenější malware, dopad měl na 5 % organizací.

„Celková hodnota kryptoměn klesá, takže uvidíme další kryptominery pro prohlížeče zastavit činnost, jako to udělal CoinHive. Nicméně předpokládáme, že kyberzločinci najdou způsob, jak dále vydělávat na těžbě kryptoměn, například těžbou v cloudových prostředích, kde automatické škálování umožňuje vytvořit větší zdroje pro těžbu. Viděli jsme organizace, které platily statisíce dolarů svým cloudovým dodavatelům za výpočetní zdroje, které byly nezákonně používány kryptominery. Mělo by to být varování a upozornění, že společnosti musí svá cloudová prostředí dostatečně zabezpečit,“ řekl Daniel Šafář, country manager CZR regionu ve společnosti Check Point.

Top 3 - malware:

1. ↑ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

2. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
3. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v březnu malware Hiddan, který na druhou příčku odsunul hackerský nástroj Lotoor. Na třetí příčce skončil znovu modulární backdoor Triada.

Top 3 - mobilní malware:

1. Hiddad - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
2. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
3. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 44 % organizací. Zranitelnost Web Server Exposed Git Repository Information Disclosure měla dopad na 40 % organizací po celém světě a zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure na třetím místě ovlivnila také 40 % společností.

Top 3 - zranitelnosti:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
2. ↓OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.

2. ↑ Web Server Exposed Git Repository Information Disclosure - Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se z únorové páté příčky vyhoupl kryptominer JSEcoin, který zcela dominoval a měl vliv na 38 % českých společností. CoinHive měl i přes své odstavení stále ještě poměrně výrazný dopad, kryptominery celkově opět ovládly český žebříček. Zajímavé je i srovnání dopadu v ČR a ve světě, zejména u kryptominerů je to způsobeno pravděpodobně propojením konkrétních kryptominerů s některými oblíbenými českými webovými stránkami.