Check Point: Kryptominery jsou na ústupu, naopak botnet Emotet dále sílí

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že poprvé za téměř dva roky nejsou na vrcholu nejčastějších škodlivých kódů kryptominery.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se znovu umístila mezi bezpečnějšími zeměmi a patřila jí 93. příčka, což je posun o 5 míst oproti zářijové 88. pozici. Naopak Slovensko se posunulo mezi méně bezpečné země a poskočilo ze 79. pozice na 68. příčku. Na první místo se v Indexu hrozeb po více než roce znovu posunula Bývalá jugoslávská republika Makedonie a na čele se drží i Maledivy, kterým po zářijové první příčce patřila v říjnu druhá pozice. Výrazný posun mezi nebezpečnější země zaznamenaly Bermudy, posun o 26 míst na 13. pozici. Opačným směrem, tedy mezi bezpečnější země, klesl nejvíce Nepál (z 11. zářijového místa na říjnové 65.).

Kryptominery dosáhly vrcholu na začátku roku 2018 a od té doby průběžně klesají. V lednu a únoru 2018 ovlivňovaly kryptominery více než 50 % organizací po celém světě, v lednu 2019 klesl dopad na 30 % a v říjnu 2019 už to bylo jen 11 %.

V říjnu byl nejčastěji použitým škodlivým kódem k útokům na podnikové sítě botnet Emotet, který do čela žebříčku poskočil ze zářijové 5. pozice a ovlivnil 14 % organizací po celém světě. Emotet byl na konci října šířen například halloweenskou spamovou kampaní. E-maily obsahovaly předmět jako „Happy Halloween“ a „Pozvánka na halloweenskou party“. Součástí byla nebezpečná přílohu s nějakým halloweenským názvem.

„Dopad kryptominérů se v průběhu roku 2019 snížil téměř o dvě třetiny, takže poprvé po téměř dvou letech nejsou kryptominery na vrcholu našeho žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě. Ovšem botnet Emotet, který vládl říjnovému malwaru, je vážnou hrozbou. Je to vysoce pokročilý botnet, který je využíván k distribuci dalších malwarů – zejména nechvalně známého ransomwaru Ryuk,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Botnet Emotet byl v září po třech měsících nečinnosti znovu aktivován a velmi rychle začal šířit nové kampaně. Je proto nezbytné, aby organizace varovaly zaměstnance před riziky phishingových e-mailů a otevíráním e‑mailových příloh nebo kliknutím na odkazy, které nepocházejí z důvěryhodného zdroje. Zároveň je potřeba nasadit nejnovější generaci anti-malwarových řešení, která mohou automaticky extrahovat podezřelý obsah z e-mailů dříve, než se dostanou ke koncovým uživatelům.“

Top 3 – malware:

Poprvé za téměř dva roky nejsou nejpopulárnějším škodlivým kódem kryptominery. V říjnu vévodil Emotet, který měl dopad na 14 % organizací po celém světě. XMRig na druhém místě ovlivnil 7 % společností a Trickbot na třetím místě měl dopad na 6 % organizací.

  1. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v říjnu malware Guerilla. Na druhou příčku klesl hackerský nástroj Lotoor a z druhé na třetí místo klesl adware AndroidBauts.

  1. ↑ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
  2. ↓ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. ↓AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především techniky SQL Injection s dopadem na 36 % organizací. Následovala zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla na dopad na 33 % společností. Zranitelnost MVPower DVR Remote Code Execution na třetím místě ovlivnila 32 % organizací.

  1. SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. ↓ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Podobně jako ve světě dochází i v ČR k výraznému poklesu kryptominerů, které v uplynulých měsících jinak dominovaly žebříčku. Naopak vzestup potvrdil trojan Emotet, který se suverénně vyhoupl na první příčku. Druhé místo si ještě udržel JSEcoin, naopak se propadl AgentTesla. Celkově doznal žebříček řady změn a do Top 10 se oproti září dostalo hned 5 nových škodlivých kódů.

Top malwarové rodiny v České republice – říjen 2019

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

Emotet

Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank.

14,33 %

18,05 %

JSEcoin

JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

5,59 %

11,19 %

Magecart

Magecart je typ útoku, při kterém je do webových stránek online obchodů a dodavatelů těchto systémů vsunut škodlivý JavaScript kód a cílem je krádež platebních údajů.

2,10 %

5,78 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

6,92 %

4,69 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci.

4,42 %

4,33 %

Trickbot

Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii.

6,13 %

3,25 %

Ramnit

Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor.

4,65 %

3,25 %

Chir

Chir je malwarová rodina, která kombinuje funkce červa a viru.

0,49 %

2,89 %

Rig EK

Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

3,43 %

2,53 %

Jaktinier

Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem.

0,65 %

2,53 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Newsletter