Začátek roku 2021 přinesl zajímavý vývoj v oblasti útočných aktivit kyberkriminální scény. Ve sledovaném období došlo k nárůstu spamu, který překonal tradičně nejaktivnější období Vánoc. Byli jsme svědky zvýšené aktivity kryptominerů korelující s medializovaným skokem ceny Bitcoinu. A extrémní výkyv se udál i v oblasti phishingových aktivit.Whalebone od začátku roku zablokoval celkem 903 098 489 útoků. V rámci měsíční analýzy jsme zaznamenali prudký nárůst od 17. ledna (2 619 715 požadavků) až k 12. únoru, kdy jich Whalebone zablokoval celkem 23 085 388. Později došlo k mírnému poklesu. Denní průměr blokací 13 885 732 se nicméně i tak pohyboval na 430.04 % stavu na začátku období.
Rozložení útočných aktivit
Whalebone blokuje celou řadu útočných aktivit. Absolutně dominují požadavky malwaru – a to nejen při instalaci a v rámci separátního operování malwaru, ale také v rámci dlouhodobého fungování a při komunikaci s řídícím serverem (v tabulce označeno jako C&C).Rozložení blokovaných requestů podle typu (období 17/01/2021 – 17/02/2021):
- malware – 233 234 895, 49.16 %
- C&C – 225 668 192, 47.57 %
- phishing – 3 910 701, 0.82 %
- spam – 773 672, 0.16 %
- coinminer – 8 651 682, 1.82 %
- blacklist – 2 036 021, 0.42 %
Významné trendy
Kromě extrémního celkového růstu blokací, došlo k zajímavému vývoji v rámci sledovaných kategorií.KryptomineryAktivita kryptominerů patrně koreluje s vývojem kurzů kryptoměn, především Bitcoinu. Po volatilním lednu – kdy Bitcoin vystoupal z 30 tisíc USD na 40 tisíc, aby ke konci měsíce opět klesl zpět k 30 tisícům – přišlo únorové posilování. Jen od 1. února k 6. únoru jeho hodnota vzrostla z 33 613 USD na 40 302 USD a 9. února byl už na 48 226 USD.Zvýšená aktivita kryptominerů se projevuje už od 5. února. Denní průměr 269 060 blokací vystoupal o 1960.71 % oproti průměru od začátku roku.PhishingPhishing osciloval kolem svých běžných hodnot s výjimkou 26. ledna 2021. V tento den musel Whalebone blokovat celkem 417 979 požadavků směřující na phishingové domény, což je 13,38% nárůst oproti průměru od začátku roku.Spam, aktualizace k 22. 2. 2021Ve sledovaném období se množství spamu pohybovalo kolem svých běžných hodnot. Po uzavření datové analýzy však došlo k zajímavému obratu, který stojí za zmínku.Od 17. února narůstalo množství spamových požadavků o cca 91 496 tisíc denně. 17. února Whalebone zablokovalo 21 853 requestů, 22. únor a 121 371 requestů – což je 32.65 % procent nad denním průměrem. Celkový objem spamu dokonce překonal tradičně nejaktivnější období vánočních svátků, které se v roce 2020 pohybovalo na denním průměru 111 894 blokací.Úspěch blokování útočných aktivit stojí na specifickém řešení Whalebone, které zdaleka nevyužívá jen statické blacklisty závadných domén, ale především realtimovou analýzu síťových požadavků. Ta je schopna identifikovat vzorce chování typické pro různé útočné aktivity, díky čemuž spolehlivě zachytí i útoky nultého dne, které ostatní prostředky obrany nejsou schopny odstínit.
