Vývoj a stav těchto sofistikovaných útoků přehledně mapuje hned několik studií, analýz a statistik společnosti Kaspersky Lab. Na jejich základě lze velmi podrobně sledovat, co se za poslední měsíce událo v oblasti kybernetické bezpečnosti – jak ve světě, tak speciálně taktéž v ČR.
V první polovině roku 2017 se objevily hrozby WannaCry a ExPetr. Unikátní v těchto případech bylo, že podvodníkům kód unikl dříve, než byl zcela připraven, což se skupinám kybernetických zločinců se špičkovým zázemím obvykle nestává. Ačkoliv byly oba útoky velmi rozdílné svou povahou, společné pro ně je to, že na první pohled působily jako ransomware, v této podobě však byly neúčinné. V případě útoku WannaCry způsobilo jeho rychlé celosvětové šíření a velký počet obětí to, že se bitcoinový účet jeho tvůrců stal středem pozornosti, což jim znemožnilo tyto peníze vybrat. To naznačuje, že skutečným cílem útoku WannaCry mohlo být nikoliv vydírání, ale ničení dat. Podobný vzor destruktivního malwaru, zřejmě pouze maskovaného jako ransomware, se objevil i v případě útoku ExPetr.
Ve druhém čtvrtletí 2017 se objevily také tři zero-day exploity Windows, které zneužily ruskojazyčné skupiny Sofacy a Turla proti řadě evropských cílů včetně vládních institucí.
Kaspersky Lab odhaduje, že v ČR bylo webovými hrozbami ve 2. letošním kvartále napadeno 9,2 % uživatelů. Česká republika se tímto podílem řadí na 131. místo ve světě v počtu rizik spojených s prohlížením internetu. Pro srovnání: podle stejné metodiky by nejnebezpečnější bylo Alžírsko – 31,5 %; druhé Bělorusko – 28,5 %; třetí Albánie – 27,8 %, a čtvrtá Ukrajina – 26,8 %. Pokud přidáme další techniky podvodníků, celkově bylo v tomto období napadeno 26,3 % českých uživatelů.
Nyní se podívejme na další hrozby, které v minulých měsících páchaly škody. Jednou z nich je mobilní varianta ransomwaru. Mobilní ransomware se stále více zaměřuje na bohaté státy, které mj. mají také rozvinutější infrastrukturu mobilních a on-line plateb. Podle studie Kaspersky Lab aktivita mobilního ransomwaru během prvního čtvrtletí letošního roku raketově stoupla, následně se ve druhém kvartále snížila. Navzdory této malé úlevě představuje mobilní ransomware stále vážnější hrozbu.
V průběhu druhého čtvrtletí tohoto roku zaznamenaly návrat dlouhotrvající DDoS útoky. Nejdelší z nich trval celých 277 hodin (více než 11 dní), což pro letošek představuje zatím rekord. Významně se také zvýšil počet států, v nichž k útokům DDoS docházelo – tento počet stoupl ze 72 v prvním čtvrtletí na 86 zemí ve druhém. Nejvíce těchto napadení proběhlo v Číně, Jižní Koreji, USA, Hongkongu, Velké Británii, Rusku, Itálii, Nizozemsku, Kanadě a Francii. Cílem DDoS útoků se stala například Al Jazeera, zpravodajské weby Le Monde a Figaro nebo servery služby Skype. V průběhu dubna až června se také kyberzločinci pokusili pomocí DDoS útoků manipulovat s cenou kryptoměn. Největší obchodní burza s měnou Bitcoin, Bitfinex, byla napadena ve chvíli, kdy došlo ke spuštění obchodování nové kryptoměny IOTA token. Ještě předtím zaznamenala výrazné zpomalení svého provozu v důsledku mohutného DDoS útoku také burza BTC-E.
Během prázdnin se objevila i rizika v legitimním softwaru. Backdoor ShadowPad byl v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím těchto zadních vrátek instalovat další malware nebo krást data.
Vše začalo tak, že tým výzkumníků společnosti Kaspersky Lab oslovil partner z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS. Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů NetSarang, který využívají zákazníci z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Tento software se podle dodavatele takto chovat vůbec neměl.
Analýza posléze ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Společnost NetSarang na upozornění velmi rychle reagovala a vydala aktualizovanou verzi softwaru, již neobsahující škodlivý kód. Mezitím stihlo k aktivaci malwaru dojít zřejmě pouze v Hongkongu, nicméně kdo neprovedl aktualizaci, je stále vážně ohrožen.
Aleš Pikora, ředitel divize DataGuard PCS, spol. s r.o.