Statistické zákulisí ransomwaru
Ransomware dominuje novinovým titulkům. Opět. A stačila na to hrozba s názvem WannaCry – nicméně je důležité připomenout, že tento typ škodlivého softwaru je s námi již nějakou dobu a že mnoho bezpečnostních specialistů ransomware zná. Stejně tak ale platí, že pro řadu společností jde i nadále o vážný problém, který experty na počítačovou bezpečnost zaměstnává prakticky každý den.
- 19. 6. 2017
- 2 min
Globální síť pro zkoumání hrozeb SophosLabs se proto v jednom ze svých nejnovějších průzkumů zaměřila na zjištění nejaktivnějších rodin ransomwaru i nejčastěji využívaných vektorů útoku a využila k tomu data za období od října 2016 do dubna 2017. Uvedená fakta sice nezohledňují rychlé rozšíření ransomware WannaCry z poloviny letošního května, ale i tak jde o pohled, který přináší řadu zajímavých zjištění.
SophosLabs založila průzkum na analýze dat získaných z počítačů svých zákazníků po celém světě a výsledky ukázaly, že nejaktivnějšími ransomwary jsou Cerber a Locky – prvnímu z nich patřila ve sledovaném období polovina útoků, druhému pak 24 %.
Ransomware Cerber má za sebou evoluci v podobě různých mutací navržených tak, aby obešly technologii sandboxingu i antivirovou ochranu. Jedna z verzí se například šířila pomocí spamů vydávaných za zprávy z přepravní služby. Locky se proslavil přejmenováváním důležitých souborů na napadených počítačích tak, aby měly příponu locky. Nicméně podobně jako v případě Cerbera se taktika a chování mění postupně i u Lockyho.
Zemí s největším výskytem ransomwaru je Velká Británie následovaná Belgií, Nizozemskem a Spojenými státy americkými. K největšímu nárůstu ransomwarové aktivity došlo ve sledovaném období během první poloviny března, a to s následným krátkodobým poklesem a s opětovným vzrůstem okolo 5. dubna 2017.
Česká republika je na tom naštěstí poměrně dobře, z absolutního pohledu jí patří 66. příčka s blíže neurčeným podílem pod jedno procento. Z okolních zemí stojí za zmínku například 7. místo Německa, 25. Rakouska a 34. Polska.
Síť SophosLabs se zaměřila i na změny ve způsobech šíření malwaru, a to za období duben 2016 až duben 2017. Výsledky mimo jiné potvrdily různorodost způsobů, od nevyžádané pošty přes škodlivé reklamy na webech až po přímé stahování. U ransomwaru je nejrozšířenějším vektorem útoků zneužívání příloh v elektronické poště, obzvláště pak v podobě PDF souborů a dokumentů ve formátech MS Office. Průzkum také ukázal, že drtivá většina škodlivých spamů s nespustitelnými přílohami souvisí právě s ransomwarem. Na níže uvedeném grafu je patrný i prudký pokles v objemu nebezpečného spamu od prosince loňského roku.
Autor: Patrick Müller, channel account executive Sophos Czech Republic & Slovakia
