Výzkumný tým Check Point Research v nejnovějším vydání zprávy Global Threat Index varuje před nárůstem útoků trojanu Emotet, který po měsíční odmlce znovu tvrdě udeřil. Dopad měl na 7 % světových organizací a dokonce na 21 % českých společností. Emotet využíval v prosinci spamové kampaně, které během svátků cílily na více než 100 000 uživatelů denně.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se lehce posunula mezi méně bezpečné země, o 4 místa na 50. příčku. Slovensku patřila v prosinci 78. pozice. Na prvním místě v Indexu hrozeb skončil nově Bhútán. Mezi méně bezpečné země se nejvýrazněji posunul Uzbekistán, který poskočil o 46 příček až na 15. pozici. Opačným směrem se nejvíce posunula Uruguay, které v listopadu patřila 33. pozice a v prosinci 84.
V září a říjnu 2020 byl Emotet na čele Indexu hrozeb a byl spojován s vlnou ransomwarových útoků. V listopadu klesl až na 5. místo, pravděpodobně v důsledku aktualizace a rozšíření o nové škodlivé schopnosti. Emotet se nyní také umí ještě lépe vyhnout odhalení. Spamové kampaně šířící Emotet využívají vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.
Emotet byl poprvé odhalen v roce 2014 a pravidelně byl aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.
„Emotet byl původně vytvořen jako bankovní malware, který nepozorovaně krade z počítačů obětí citlivé informace. Postupně se ale vyvinul a nyní je považován za jednu z nejnebezpečnějších a nejničivějších malwarových variant,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Organizace musí brát hrozbu vážně. Kromě nasazení robustních bezpečnostních systémů je potřeba také vzdělávat zaměstnance, aby poznali škodlivé e-maily, které šíří Emotet.“
Top 3 - malware:
Emotet se po listopadovém překvapivém pádu znovu vrátil do čela žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 7 % organizací. Následovaly škodlivé kódy Trickbot a FormBook, které ovlivnily shodně 4 % společností.
Top 3 - mobilní malware:
Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále Android malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo se posunul modulární backdoor Triada.
Top 3 - zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 42 % organizací. Na druhé místo klesla zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ se shodným dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopaden na 41 % organizací.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. I zde dominoval po listopadovém poklesu Emotet. Zajímavostí je, že na čele českého žebříčku jsou i některé malwarové rodiny, které ve světě nemají tak výrazný dopad. Qbot měl v prosinci dopad na 11,55 % českých organizací, přitom v listopadu to bylo jen 1,54 % %. Dridex je dlouhodobě oblíbeným škodlivým kódem používaným k útokům na české organizace, podobně jako RigEK, který oproti listopadu zaznamenal téměř 3,5násobný růst.
|
Top malwarové rodiny v České republice – prosinec 2020 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Emotet |
Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. |
7,01 % |
21,45 % |
|
Qbot |
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. |
2,71 % |
11,55 % |
|
Dridex |
Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. |
4,06 % |
8,58 % |
|
RigEK |
RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. |
1,90 % |
7,59 % |
|
Trickbot |
Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. |
4,29 % |
4,29 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
4,26 % |
2,64 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
2,93 % |
2,31 % |
|
Tsunami |
Tsunami je backdoor zaměřený na platformu Linux. Malware Tsunami lze ovládat prostřednictvím IRC kanálu s různými řídicími příkazy. Navíc má schopnost stahovat libovolné soubory a může v infikovaném systému spouštět libovolné shell příkazy. Tato konkrétní varianta byla údajně šířena prostřednictvím zranitelnosti Ruby on Rails, označené jako CVE-2013-0156. |
1,24 % |
1,65 % |
|
CpuMiner-Multi |
CpuMiner-Multi je kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele nebo provádět jiné škodlivé aktivity. |
0,73 % |
1,65 % |
|
xHelper |
Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. |
0,98 % |
1,65 % |
|
Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. |
1,01 % |
1,65 % |
