O nás     Inzerce     KontaktSpolehlivé informace o IT již od roku 2011
Hledat
Nepřehlédněte: Top z IT: Pozoruhodné IT produkty pro rok 2025
Správa dokumentů
Digitální transformace
Informační systémy
Hlavní rubriky: Informační systémy, Mobilní technologie, Datová centra, Sítě, IT bezpečnost, Software, Hardware, Zkušenosti a názory, Speciály

Pozoruhodné IT produkty 2025
E-knihy o IT zdarma
Manuál Linux

Žebříčky hrozeb: Pozor na malware, který krade citlivá data a přihlašovací údaje

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v ČR i ve světě výrazně vzrostl počet útoků malwaru Androxgh0st, který se používá ke krádežím citlivých informací. Jaké mohou být dopady?

Androxgh0st byl poprvé detekován v prosinci 2022. Útočníci s jeho pomocí zneužívají zranitelnosti jako CVE-2021-3129 a CVE-2024-1709, snaží se na dálku ovládnout počítač oběti a zároveň se zaměřují na budování botnetu, který krade data a přihlašovací údaje. Před malwarem varují ve svých zprávách také FBI a CISA.

Index hrozeb společnosti Check Point zahrnuje také analýzu 200 ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své oběti a vyvíjejí tlak na neplatící cíle. V dubna byla opět nejaktivnější skupina Lockbit3, ale od začátku roku klesl počet jejích útoků o 55 % a celosvětový dopad se snížil z 20 % na 9 %. LockBit3 zaznamenal v poslední době řadu neúspěchů. V únoru zasadily tvrdý úder skupině FBI, NCA, Europol a další mezinárodní složky v rámci Operace Cronos, nově byly zveřejněny podrobnosti o 194 subjektech využívajících LockBit3 k ransomwarovým útokům. Odhalen a demaskován byl i vůdce skupiny. Do Top 3 se znovu vrátila i skupina 8Base, která se přihlásila například k útoku na IT systémy OSN, ze kterých ukradla informace o lidských zdrojích a veřejných zakázkách.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 8 příček mezi méně bezpečné země a nově jí patří 40. pozice. Slovensko naopak patří mezi bezpečnější země a v dubnu se umístila až na 102. příčce. Mezi nebezpečné země se nejvíce posunul Bahrajn, o 30 míst, až na 36. příčku. První, tedy nejnebezpečnější, pozici obsadilo druhý měsíc za sebou Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunuly nemocnice a zdravotnické organizace.

Top 3 - malware

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v dubnu znovu downloader FakeUpdates, který měl dopad na 6 % společností po celém světě. Následovaly malwary Androxgh0st a Qbot.

1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

2. ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.

3. ↓ Qbot – Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity. Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení, aby ztížil analýzu a vyhnul se detekci.

Top 3 - mobilní malware

Bankovní trojan Anubis byl v dubnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

1. ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.

2. ↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.

3. ↑ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 - zranitelnosti

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Command Injection Over HTTP” s dopadem na 52 % společností, následovaly zranitelnosti „Web Servers Malicious URL Directory Traversal“ a „HTTP Headers Remote Code Execution“.

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.

2. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.

3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Top 3 – ransomwarové skupiny

Check Point dle svých zástupců analyzoval téměř 200 ransomwarových „stránek hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je v současnosti hrozbou číslo jedna pro organizace po celém světě.

Nejrozšířenější ransomwarovou skupinou byl v dubnu LockBit3, který byl zodpovědný za 9 % zveřejněných útoků, což je drobný pokles o 3 procentní body oproti březnu. Skupina Play měla na svědomí 7 % zveřejněných ransomwarových útoků a BlackBasta na třetím místě 6 %.

1. ↔ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.

2. ↔ Play – Ransomware Play šifruje data a za dešifrování požaduje výkupné.

3. ↑ 8Base – Ransomwarová skupina 8Base je aktivní minimálně od března 2022. V polovině roku 2023 významně zvýšila svou aktivitu a stala se postrachem mnoha organizací. 8Base používá různé varianty ransomwaru, ale základem je ransomware Phobos. Útoky jsou obvykle velmi sofistikované a skupina používá taktiku dvojitého vydírání.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Backdoor Jorik je nadále suverénně nejrozšířenější hrozbou pro české organizace a v porovnání s celosvětovým dopadem vidíme Českou republiku jasně jako jeden z primárních cílů. Na druhé místo vyskočil Androxgh0st, který krade citlivá data a navíc buduje botnet, který by ještě umocnil sílu a zrychlil šíření této hrozby. Celkově vidíme silné zastoupení zlodějských malwarů, přičemž organizace musí velmi pečlivě střežit svá data a přihlašovací údaje. Naopak oproti březnu klesl počet útoků malwaru FakeUpdates, který kyberzločinci používají ke stahování a šíření dalších malwarů a obchodování s přístupem do infikovaných systémů,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.


(8. 7. 2024 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2011-2024 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | Používáme účetní program Money S3 | pg(12103)