Shrnutí, prognózy a trendy. Může ransomware dále růst, nebo jeho masové rozšíření současně předznamenává i ústup tohoto druhu kriminality? DDoS jako služba, Internet věcí, bankovní trojany cílí stále více na Android.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Trendy: DDoS a ransomware
Útoky DDoS v roce 2017, jak vidí situaci Robin Birtstone na webu The Register. Útoků zabírajících velkou šířku pásma přibude kvůli použití relativně nových technik spojených s protokolem LDAP. Na těchto útocích se stále více budou podílet kompromitovaná zařízení Internetu věcí, jako tomu bylo v případě botnetu Mirai. DDoS útoky možná jako hrozba (respektive podle objemu škod způsobených podnikům) překonají i ransomware. Ještě více se rozšíří vyhrožování DDoS, i zde mají podvodníci podobně jako u ransomwaru možnost snadno inkasovat výpalné pomocí měn typu bitcoin. Útoky DDoS budou často používány jako kouřová clona pro další akce. Stále více se bude rozšiřovat provádění útoků zcela na zakázku (DDoS jako služba), prodávat či pronajímat se budou příslušné pomocné softwarové sady a botnety určené pro tyto akce.
Naopak Javvad Malik z AlienVault se domnívá, že hlavním trendem roku 2017 bude další nástup ransomwaru jako služby. FBI odhaduje, že tvůrci ransomwaru si loni přišli celkem na asi miliardu dolarů. Symatec spočítal, že průměrné výpalné za zašifrovaná data se pohybovalo kolem 679 dolarů (jistě bude velký rozdíl mezi aritmetickým průměrem a medianem, zasažená zdravotnická zařízení např. za zpřístupnění dat byla ochotna vydat až 17 000 dolarů v bitcoinech). Některé podvodníky láká, že ransomware lze používat plošně, cílem může být prakticky každý jednotlivec nebo firma, bez ohledu na geografické umístění, obor podnikání i používané zařízení.
Poznámka: Alespoň jeden argument hovoří proti dalšímu růstu ransomwaru. Metoda je to tak lukrativní, že se k ní bude přidávat stále více podvodníků nízké technické úrovně. Ti budou imitovat známější šifrovací programy, nicméně ani po zaplacení výkupného data znovu nezpřístupní. Jakmile se rozšíří přesvědčení, že platit podvodníkům je k ničemu, oběti platit přestanou. V ten okamžik samozřejmě poklesne i atraktivita této činnosti pro útočníky.
Společnost Akamai, která zajišťuje provoz pro největší internetové služby (dostupnost, vyvažování zátěže, ochrana proti útokům DDoS), koupila americký start-up Cyberfend. Finanční podmínky transakce nebyly zveřejněny. Cyberfend se zabývá především bojem proti krádežím identity – nabízí např. metody, jak odlišovat legitimní uživatele a podvodníky, kteří zneužívají kompromitované účty.
Porovnání různých verzí Windows
Microsoft Security Intelligence Report porovnává ochranu různých Windows. U Windows Vista je prý nedostatečně chráněných až 30 % počítačů, u Windows 7 je toto číslo ještě přes 20 %, u Windows 10 pod 5 %. (Poznámka: Zde je ovšem automaticky v případě nepřítomnosti jiného antiviru zapnut Windows Defender, takže je vlastně otázka, proč toto číslo ze statistik nevychází jako 0 %. Podle průzkumu jsou ovšem PC bez základní ochrany téměř výlučně záležitostí určitých zemí, typu Iráku, Nigérie nebo Libye; v Libyii je údajně až 8 % PC malwarem přímo infikovaných.)
HTTPS všude
Chrome od verze 56 (plánováno na leden) začne označovat za nebezpečné všechny weby, které nepoužívají https a současně se zde zadávají přihlašovací údaje, čísla platebních karet apod. Stejně tak by se měl chovat příští Firefox; verze 51 by se měla rovněž objevit v průběhu ledna.
Naopak Apple prodloužil termín, odkdy veškeré aplikace pro OS X a iOS v App Store mají používat šifrování https (respektive App Transport Security). Původně to mělo být už od 1. 1. 2017, nové datum zatím stanoveno nebylo.
Zranitelnosti a opravy
Netgear pronásleduje opravdu smůla. Objeveny byly totiž další zranitelnosti, tentokrát ve směrovačích řady WNR2000. Na problém upozornil výzkumník Pedro Ribeiro. Uvádí, že mají-li routery povolenu vzdálenou správu, útočník je může zcela ovládnout bez nutnosti znát přístupové údaje.
Netgear chybu přiznává a plánuje co nejrychlejší vydání opravy. Co se týče významu zranitelnosti, zde firma uvádí, že vzdálená správa je ve výchozím nastavení routerů vypnuta a zákazníci ji příliš nepoužívají. Ribeiro na to namítá, že podíl možná není velký, ale absolutní čísla jsou něco jiného a takto přístupná zařízení si útočník navíc může snadno vyhledat.
Viz také bezpečnostní přehled z poloviny prosince:
http://www.itbiz.cz/clanky/bezpecnostni-prehled-ransomware-jako-letadlova-hra
Dvě bezpečnostní chyby byly objeveny v knihovně PHPMailer, která se používá k rozesílání e-mailů a zpracování formulářů. Knihovna je součástí většiny používaných publikačních (CMS) systémů (WordPress, Drupal, Joomla) a např. i řady řešení CRM (SugarCRM). Záplaty jsou již k dispozici (i když podle některých informací se tím všechny bezpečnostní díry neřeší), opravená verze má číslo 5.2.18.
CSIRT.CZ upozorňuje/varuje
Nový exploit kit DNSChanger napadá routery. Útočník nejdříve ukryje škodlivý kód do obrázku, který umístí jako reklamu na populární servery. Kód v obrázku následně přesměruje oběti na server útočníka, kde je připraven samotný exploit kit DNSChanger. Ten se pak postará o napadení špatně zabezpečeného routeru, na kterém nastaví DNS servery útočníka. To útočníkovi umožňuje ovládnout síťový provoz na všech zařízeních za tímto routerem, bez ohledu na používaný operační systém. Celkem by napadnutelných modelů routerů mělo být až 166.
Společnost Cybereason uvolnila nástroj RansomFree. Má dokázat v reálném čase detekovat i nové verze ransomwaru a varovat uživatele ještě před zašifrováním dat. RansomFree je bezplatný produkt určený pro Windows 7, 8 a 10 i Windows Server 2010 R2 a 2008 R2. Nástroj dokáže prý detekovat 99 % kmenů ransomwaru.
Poznámka: Podobných produktů, respektive projektů, existuje více, většinou se snaží upozornit na hromadné šifrování dat a jeho pokračování podmínit souhlasem uživatele.
Ze světa firem
Shrnutí roku 2016 podle Kaspersky Lab: Došlo k dalšímu rozvoju podzemního obchodu, např. se objevilo tržiště xDedic s prodejem přístupových údajů ke kompromitovaným serverům.
36 % útoků na on-line bankovnictví cílilo na zařízení se systémem Android. V roce 2015 to bylo jen 8 %.
Dále je uváděn např. botnet Mirai a nárůst malwaru určeného pro bankomaty a prodejní terminály. K největší krádeži, kolem 100 milionu dolarů, došlo v systému SWIFT (systém pro mezinárodní platební styk), obětí byla bangladéšská centrální banka.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Eset přidal do svých produktů pro domácnost jako další vrstvu ochranu proti ransomwaru.
Zdroj: tisková zpráva společnosti Eset
Prognóza Avast na 2017: Dostupné zdrojové kódy ransomwaru a ransomware jako služba znamenají, že tento typ kriminality bude dostupný každému. Stále populárnější mezi útočníky bude také model „zaplať nebo pošli ransomware dál“. Rozšíří se doxin, metoda příbuzná ransomwaru, kdy si útočník data stáhne a vyhrožuje jejich zveřejněním.
Velcí poskytovatelé služeb budou svým zákazníkům stále častěji dodávat směrovače vybavené automatickými aktualizacemi a speciálním vestavěným bezpečnostním řešením.
Metody umělé inteligence a strojového učení budou využívat i útočníci.
Zdroj: Blog Avast
Z dalších prognóz na příští rok: Nové typy ransomwaru sice v roce 2016 vznikaly exponenciálním tempem, nicméně tento růst se musí zpomalit až zastavit. Počet nových rodin ransomwaru se ustálí a poroste „jen“ o 25 %. Tento typ hrozeb pronikne i do dalších zařízení internetu věcí, jako jsou systémy pro prodejní terminály nebo bankomaty.
V příslušné studii Trend Micro The Next Tier – 8 Security Predictions for 2017 se také mezi trendy objevuje zkratka IioT (Industrial Internet of Things, průmyslový internet věcí). Rozšíří se toto označení?
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také
Bezpečnostní přehled: Ransomware a Tor