Výzkumný tým společnosti Check Point Software Technologies zveřejnil Celosvětový index dopadu hrozeb, podle kterého vládl malwaru v dubnu pokročilý modulární trojan Emotet.
Emotet v březnu využíval k šíření nejrůznější kampaně s velikonoční tematikou a měl dopad na více než 10 % organizací. V dubnu se jeho vliv trochu propadl, jedním z důvodů může být i rozhodnutí společnosti Microsoft zakázat makra spojená se soubory Office. Podle některých zpráv proto Emotet nyní využívá novou techniku a šíří se pomocí nebezpečných e-mailů obsahujících odkaz na službu OneDrive. Jakmile Emotet pronikne do počítače, může škodit nejrůznějšími způsoby, jeho provozovatelé totiž nabízí své služby na darknetu dalším hackerům. V minulosti jsme mohli vidět třeba spolupráci mezi Emotetem, Trickbotem a ransomwarem Ryuk. Nyní mohou nabízených služeb využít i další kyberzločinci a proniknout se svými hrozbami, bankovními trojany, špionážními malwary nebo třeba ransomwarem, do počítačů infikovaných Emotetem.
Na konci března byly také objeveny kritické zranitelnosti Spring4Shell v Java Spring Framework. Kyberzločinci se nyní snaží zneužít zranitelnosti k posilování nebezpečného IoT botnetu Mirai, který je používán například k DDoS útokům.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenský sektor, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu dále držela mezi nebezpečnými zeměmi, patřila jí celosvětově 26. pozice a 5. mezi evropskými zeměmi. Jedna česká organizace čelila v dubnu v průměru 1 800 kyberútokům za týden, přitom evropský průměr se pohybuje okolo hranice 1 100 útoků za týden. Naopak Slovensko se umístilo až ke konci tabulky a na 84. místě patří mezi bezpečnější země. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.
„Kybernetické hrozby se neustále vyvíjí a velké korporace, jako je Microsoft, mohou ovlivnit, jaké cesty kyberzločinci k šíření malwaru používají. Patrné je to nyní například u Emotetu, který začal používat novou techniku,“ říká Tomáš Růžička, SE Team leader z kyberbezpečnostní společnosti Check Point Software Technologies. „V dubnu jsme viděli také nárůst útoků zneužívajících zranitelnost Spring4Shell. Ačkoli zatím není ani v Top 10 zranitelností, jen za první měsíc bylo touto hrozbou zasaženo více než 35 % organizací po celém světě, a proto očekáváme, že v následujících měsících riziko poroste.“
Top 3 - malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v dubnu znovu Emotet, který měl dopad na 6 % organizací po celém světě. Na druhou příčku se posunul FormBook s dopadem na 3 % společností. Agent Tesla na třetím místě ovlivnil 2 % podniků.
1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
2. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
3. ↓ Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 - mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly FluBot a xHelper.
1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
2. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
3. ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
Top 3 - zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Na druhé místo klesla zranitelnost „Apache Log4j Remote Code Execution“ s podobným dopadem a Top 3 uzavírá zranitelnost „Apache Struts ParametersInterceptor ClassLoader Security Bypass“ s jen o málo menším dopadem na 45 % organizací.
1. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
3. ↑ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Zranitelnost je způsobena nedostatečným ověřováním dat, která zpracovává ParametersInterceptor, a umožňuje manipulaci s ClassLoaderem.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. V dubnu byl malware vzácně vyrovnaný, dokonce oslabil i jinak dominantní Emotet. České organizace tak musely čelit daleko variabilnějším hrozbám. Od začátku roku vidíme výrazně nadprůměrný počet kryptominerových útoků na české sítě a v dubnu vzrostlo také množství ransomwarových útoků.
|
Top malwarové rodiny v České republice – duben 2022 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Emotet |
Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. |
6,43 % |
3,07 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
3,42 % |
3,07 % |
|
Agent Tesla |
Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
2,45 % |
2,23 % |
|
Lokibot |
LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce |
1,84 % |
1,40 % |
|
Qbot |
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. |
0,90 % |
1,40 % |
|
Glupteba |
Glupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet. |
1,91 % |
1,40 % |
|
AZORult |
AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. |
0,42 % |
1,40 % |
