Malware hýbe světem: Pokročilé hrozby a DDoS útoky

Útoky na dostupnost služeb probíhají téměř po celém světě. Stále oblíbenější je ransomware pro mobilní zařízení. Kaspersky Lab v několika studiích podrobně sleduje vývoj těchto kybernetických hrozeb jak ve světe, tak i u nás doma.

Útoky WannaCry, ExPetr a další

Unikátní v těchto případech útoků, který proběhly v první polovině roku, bylo, že podvodníkům kód unikl dříve, než byl zcela připraven, což se skupinám kybernetických zločinců se špičkovým zázemím obvykle nestává. Ačkoliv byly oba útoky velmi rozdílné svou povahou, společné pro ně je to, že na první pohled působily jako ransomware, v této podobě však byly neúčinné. V případě útoku WannaCry způsobilo jeho rychlé celosvětové šíření a velký počet obětí to, že se bitcoinový účet jeho tvůrců stal středem pozornosti, což jim znemožnilo tyto peníze vybrat. To naznačuje, že skutečným cílem útoku WannaCry mohlo být nikoliv vydírání, ale ničení dat. Podobný vzor destruktivního malwaru, zřejmě pouze maskovaného jako ransomware, se objevil i v případě útoku ExPetr. I když na oba tyto incidenty existují různé názory, shoda panuje v tom, že se za ransomware pouze maskovaly.

Ve druhém čtvrtletí 2017 se objevily také tři zero-day exploity Windows, které zneužily ruskojazyčné skupiny Sofacy a Turla proti řadě evropských cílů včetně vládních institucí.

Kaspersky Lab odhaduje, že v ČR bylo webovými hrozbami ve 2. letošním kvartále napadeno 9,2 % uživatelů. Česká republika se tímto podílem řadí na 131. místo ve světě v počtu rizik spojených s prohlížením internetu. Pro srovnání: podle stejné metodiky by nejnebezpečnější bylo Alžírsko – 31,5 %; druhé Bělorusko – 28,5 %; třetí Albánie – 27,8 %, a čtvrtá Ukrajina – 26,8 %. Pokud přidáme další techniky podvodníků, celkově bylo v tomto období napadeno 26,3 % českých uživatelů.

DDoS a kryptoměny

Firmy v průběhu druhého čtvrtletí tohoto roku zaznamenaly návrat dlouhotrvajících DDoS útoků. Nejdelší z nich trval celých 277 hodin (více než 11 dní), což pro letošek představuje zatím rekord. Významně se také zvýšil počet států, v nichž k útokům DDoS docházelo – tento počet stoupl ze 72 v prvním čtvrtletí na 86 zemí ve druhém. Nejvíce těchto napadení proběhlo v Číně, Jižní Koreji, USA, Hongkongu, Velké Británii, Rusku, Itálii, Nizozemsku, Kanadě a Francii. Cílem DDoS útoků se stala například Al Jazeera, zpravodajské weby Le Monde a Figaro nebo servery služby Skype.

V průběhu dubna až června se také kyberzločinci pokusili pomocí DDoS útoků manipulovat s cenou kryptoměn. Největší obchodní burza s měnou Bitcoin, Bitfinex, byla napadena ve chvíli, kdy došlo ke spuštění obchodování nové kryptoměny IOTA token. Ještě předtím zaznamenala výrazné zpomalení svého provozu v důsledku mohutného DDoS útoku také burza BTC-E.

Mobilní ransomware

Kromě ransomwaru jako takového se zvláštní pozornost v poslední době věnuje jeho mobilní variantě. Čím více cenných dat (kontakty, osobní fotografie…) mají uživatelé na mobilních zařízeních, tím snáze je lze vydírat zašifrováním těchto souborů. Mobilní ransomware se stále více zaměřuje na bohaté státy, které mj. mají také rozvinutější infrastrukturu mobilních a on-line plateb. Podle studie Kaspersky Lab se v letech 2016 a 2017 mobilní ransomware soustředil především na USA, Kanadu a Německo, čtvrtá nejzasaženější země byla Velká Británie. Nejrozšířenějším malwarem tohoto typu byly v tomto období rodiny Svpeng a Fusob.

Aktivita mobilního ransomwaru během prvního čtvrtletí letošního roku raketově stoupla, následně se ve druhém kvartále snížila. Navzdory této malé úlevě představuje mobilní ransomware stále vážnější hrozbu.

Rizika legitimního softwaru

Během prázdnin byl objeven backdoor ShadowPad v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím těchto zadních vrátek instalovat další malware nebo krást data.

Vše začalo tak, že tým výzkumníků společnosti Kaspersky Lab oslovil partner z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS. Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů NetSarang, který využívají zákazníci z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Tento software se podle dodavatele takto chovat vůbec neměl.

Analýza posléze ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Společnost NetSarang na upozornění velmi rychle reagovala a vydala aktualizovanou verzi softwaru, již neobsahující škodlivý kód. Mezitím stihlo k aktivaci malwaru dojít zřejmě pouze v Hongkongu, nicméně kdo neprovedl aktualizaci, je stále vážně ohrožen.

Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r.o.

Další článek: DeepMind se pochlubil neuronovou sítí, která se učí, aniž by měla studijní data

Témata článku: