Ransomware - IT výpalné je podle McAfee Labs na vzestupu

COMGUARD přináší přehled bezpečnostních hrozeb v 1. čtvrtletí 2015 - laboratoř McAfee Labs zaznamenala v tomto období téměř zdvojnásobení vzorků ransomwaru oproti kterémukoli jinému čtvrtletí v minulosti.

Nárůst ransomwaru - IT výpalné / výkupné

V únoru se rychle šířila zpráva o novém útoku nazvaném "Equation Group", který byl objeven týmem Intelu pro výzkum pokročilých bezpečnostních hrozeb a který nebyl ještě nikdy mezi hrozbami pozorován. Tento typ útoku byl takto pojmenován kvůli jeho blízkému vztahu k ultrasofistikovaným šifrovacím schématům a souvisejícímu malwaru.

Týká se pevného disku HDD a přeprogramovaného modulu SSD (Solid State Drive) firmwaru. HDD/SSD disk, jehož firmware byl přeprogramován, může být znovu spojen s malwarem pokaždé, když infikovaný systém bootuje a hrozba přetrvá i v případě, když se disky přeformátují nebo se přeinstaluje operační systém. Jakmile přeprogramovaný firmware a související malware infikují disk, bezpečnostní software je již neodhalí.

Laboratoř McAfee Labs zaznamenala v 1. čtvrtletí 2015 téměř zdvojnásobení vzorků ransomwaru oproti kterémukoli jinému čtvrtletí v minulosti, obzvláště z rodiny CTB-Locker, následovaný novými verzemi CryptoWallu, TorrentLockeru a prudce rostoucího BanderChoru. V prvním čtvrtletí se také objevila nová rodina Teslacryptu. Tyto ransomware kampaně se zaměřují především na oběti v relativně bohatých zemích, protože zde jsou uživatelé nejochotnější platit výkupné.

Ransomware je druh malware, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (cryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.

Co můžeme očekávat v blízké budoucnosti ohledně ransomwaru

Nadále se budou objevovat nové varianty a rodiny ransomwaru společně s novými technikami a funkcionalitami. Švýcarští vědci například začátkem tohoto roku objevili novou techniku s použitím výkupného a šifrování, které pojmenovali Ransomweb. Útočníci infikují skripty webových serverů a databázových souborů.

Čekají, až jsou hodnoty uloženy po dobu několika týdnů či měsíců v zálohách a poté vyjmou klíč ze serveru nebo vzdálené lokace. Webová aplikace a databáze začnou špatně fungovat a zároveň jsou infikovány i zálohy. Pak útočníci pošlou poptávku po výkupném.

Adobe Flash - favorit designérů a kyberzločinců

Samostatná kapitola ve zprávě McAfee Labs Threats Report z května 2015 se věnuje multimediální a softwarové platformě Adobe Flash. Především na její starší verze se kyberútočníci úspěšně zaměřují.

V 1. čtvrtletí bylo objeveno 42 nových Flash zranitelností, což představuje 50% nárůst oproti poslednímu čtvrtletí roku 2014. Je to vůbec nejvyšší počet, který byl za čtvrtletí zaznamenán. Toto riziko klienti často podceňují a preventivní řešení tohoto závažného problému, centrální patch mangement řadí do skupiny "nice to have" = nedůležité!

Něco málo ze statistik

Počet nových mobilních vzorků malwaru vzrostl v 1. čtvrtletí 2015 o 49% oproti 4. čtvrtletí 2014. Pokles celkového nového malwaru v tomto čtvrtletí zapříčinila především rodina malwaru SoftPulse, která se po prudkém vzrůstu v předchozím čtvrtletí vrátila na normální hladinu.

Celkový počet vzorků malwaru vzrostl o 13% v 1. čtvrtletí 2015 oproti 4. čtvrtletí 2014 na celkových 400 milionů vzorků. Vysoký nárůst nových podezřelých URL ve 3. čtvrtletí 2014 byl vysvětlen zvýšením škodlivých zkrácených URL.

V 1. čtvrtletí 2015 byl zaznamenán opět stejný růst, ale příčinou nejsou škodlivá zkrácená URL. Skutečná příčina není známa.

V 1. čtvrtletí byly botnety Snowshoe, stejně jako Festi a Darkmailer2 nahrazeny v nejvyšších pozicích botnety Dyre, Dridex a Darkmailer3.

Slenfbot, který byl trvale všudypřítomný jako spamový odesílatel, získal první pozici v průběhu 1. čtvrtletí proniknutím do farmaceutického průmyslu, díky krádežím kreditních karet a pochybným marketingovým nástrojům v sociálních médiích.

Článek COMGUARD s.r.o. ze dne čtvrtek 2. července 2015

Další články od COMGUARD s.r.o.