Hackeři se vrátili ke staré lásce. Zneužívají Flash

Na výsluní zájmu kyberzločinců se vrací Flash. Jen od ledna do května 2015 se objevilo 62 nových útoků využívajících slabá míst v této aplikaci. 

Právě zaměření na Flash vyneslo popularitu exploit kitu Angler, který se stal dominantním škodlivým malwarem v tomto období. Zjistil to pravidelný Cisco Midyear Security Report, který ukazuje, že po loňském poklesu, kdy se zdálo, že se útočníci místo Flashe zaměří na Silverlight, je aplikace od Adobe opět v centru jejich pozornosti.

Až 40 procent uživatelů, kteří se dostali na úvodní stránku export kitu Angler bylo podle studie Cisco Midyear Security Report skutečně napadeno. Přitom nejúspěšnější exploit kity objevené v loňském roce byly jen na polovině tohoto čísla. Studie přitom ukazuje, že firmám často trvá až 200 dní, než nákazu ve svých počítačích objeví. Právě pokročilé nákazy, jako je například Angler, ukazují, že kybernetický zločin se rychle profesionalizuje a útočníci přicházejí s novými, stále sofistikovanějšími typy útoků, které je obtížné detekovat standardními bezpečnostními programy. Cestou ke zkrácení doby mezi napadením a odhalením, označované zkratkou TTD (time to detection), jsou pokročilá bezpečnostní řešení využívající například retrospektivní analýzy provozu, jako je například Cisco Advanced Malware Protection (AMP). Ten může zkrátit TTD z dosavadních 100 až 200 dní na pouhých 48 hodin.

Zatímco loni se zdálo, že popularita Flashe u kyberútočníků upadá, výsledky za necelé první pololetí letošního roku (leden až květen 2015) naznačují obrat tohoto trendu. Za toto období bylo zaznamenáno využití 62 nových bezpečnostních mezer v tomto programu, to je přibližně o třetinu více, než za celý loňský rok a o pět více než v roce 2012, který byl doposud rekordním. Naopak počet útoků využívajících Silverlight zůstává relativně stabilní, totéž platí i o Javě, která byla dlouho nejrizikovější platformou. Právě zaměření se na bezpečnostní mezery v aplikaci Flash, společně se Silverlight, Javou a Internet Explorerem, vyneslo neslavný primát tvůrcům export kitu Angler. Úspěšnost útoků za využití exploit kitů Angler a Nuclear naznačuje, že velké množství uživatelů stále nevyužívá automatické aktualizace a neinstalují bezpečnostní záplaty pravidelně.

„Množství pokročilých sofistikovaných kybernetických útoků rychle roste. V boji s těmito typy kybernetických útoků běžná ochrana nainstalovaná na vstupních branách sítě obvykle selhává,“ upozorňuje Ivo Němeček, bezpečnostní expert společnosti Cisco. „Ukazuje se, že bezpečnostní řešení musí být přímo součástí síťové infrastruktury, jejíž jednotlivé prvky musí analyzovat veškerý síťový provoz a zaznamenat případné nestandardní chování naznačující kybernetický útok. Tím ovšem roste i tlak na spolehlivost samotných dodavatelů jednotlivých síťových prvků“ doplňuje Němeček.

Do centra pozornosti útočníků se vrací také další „osvědčený“ prostředek – makra v aplikacích Microsoft Office. Dokazuje to například vysoký výskyt malwaru Dridex, který je využívá. V minulosti se zdálo, že využívání maker k napadení počítačů postupně vymizí, protože prostřednictvím oprav je Microsoft ve svých aplikacích vypnul a uživatel je musel ručně zapnout. Nová vlna těchto útoků je ale důkazem stále sofistikovanějších metod používaných kyberpiráty. Ti totiž využívají metod sociálního inženýrství, aby donutili uživatele makra zapnout a tím jim otevřeli cestu k napadení jejich počítačů. Dobře zacílený spam, který se používá k distribuci Dridexu, totiž dokáže uživatele nejčastěji motivovat k akci a tím i k pomoci útočníkům. Problém je, že tyto typy útoků se velmi rychle mění a existuje velké množství variant, takže jsou běžnými antivirovými programy prakticky nezachytitelné.

Výsledky studie Cisco Midyear Security Report odhalují také růst četností takzvaných ransomware útoků. Ty se zaměřují jak na běžné domácí, tak na firemní uživatele. Na rozdíl od většiny ostatních typů útoků nejsou zaměřeny na odcizení dat či ovládnutí napadeného počítače, ale mají za cíl přímý peněžní zisk pro útočníky. Ransomware útoky zašifrují data v napadeném počítači – ať jsou to již soukromé fotografie, daňové záznamy či cokoli jiného – a nabídnou oběti unikátní kód k jejich rozšifrování. Pochopitelně za poplatek. Pokud napadený do příslušného data nezaplatí, útočníci jeho soubory většinou nenávratně zničí. Proti odhalení se útočníci brání také používáním kyberměn, jako jsou například bitcoiny.

-of-