Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že Emotet byl třetí měsíc za sebou hlavní malwarovou hrozbou a šířil se pomocí celé řady spamových kampaní, včetně e-mailů zaměřených na Gretu Thunberg a vánoční tématiku. E-maily v obou kampaních obsahovaly škodlivý dokument Microsoft Word, který se po otevření pokusil stáhnout Emotet do počítače oběti. Emotet se primárně používá k ransomwarovým útokům a dalším škodlivým kampaním.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi méně bezpečné země a patřila jí 69. příčka, což je posun o 18 míst oproti listopadové 87. pozici. Slovensko se naopak posunulo opačným směrem a poskočilo z 59. pozice na 75. příčku. Na první místo se v Indexu hrozeb posunula Čína. Ze třetí příčky na druhou se posunulo Mongolsko a Bývalá jugoslávská republika Makedonie obsadila 3. místo. Výrazný posun mezi nebezpečnější země zaznamenala Nikaragua s posunem o 42 míst na 5. pozici. Opačným směrem, tedy mezi bezpečnější země, klesly Bermudy (z 1. listopadového místa na prosincové 31.).
V prosinci došlo také k významnému nárůstu pokusů o zneužití zranitelnosti „Command Injection Over HTTP“, která měla dopad na 33 % organizací po celém světě. Zranitelnost se posunula z listopadové 5. pozice až na čelo nejčastěji zneužívaných zranitelností. V případě úspěšného zneužití bylo možné zařízení využít jako součást DDoS botnetu. Škodlivý soubor používaný při útoku obsahoval řadu odkazů na zneužitelné zranitelnosti v IoT zařízeních od různých výrobců, včetně D-Link, Huawei a RealTek, s cílem využít tato zařízení jako součást botnetů.
„Během uplynulých tří měsíců patřily mezi nejčastější hrozby všestranné a víceúčelové škodlivé kódy, jako jsou Emotet a xHelper. Kyberzločincům totiž poskytují více možností, jak útoky zpeněžit, protože je lze použít k distribuci ransomwaru nebo k šíření dalších spamových kampaní,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Cílem zločinců je infikovat co největší počet organizací a zařízení, aby následné útoky byly ještě lukrativnější a škodlivější. Je proto důležité, aby organizace vzdělávaly své zaměstnance a informovaly je o rizicích otevírání e-mailových příloh, stahování souborů nebo klikání na odkazy, které nepocházejí z důvěryhodných zdrojů.“
Top 3 – malware:
Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 13 % organizací po celém světě. XMRig na druhém místě ovlivnil 7 % společností, stejně jako Trickbot na třetím místě.
- ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v prosinci znovu xHelper. Na druhé příčce zůstal malware Guerrilla a na třetí místo vystoupal malware Hiddad.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
- ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost Command Injection Over HTTP s dopadem na 33 % organizací. Následovala zranitelnost MVPower DVR Remote Code Execution, která měla na dopad na 32 % společností. Zranitelnost Web Server Exposed Git Repository Information Disclosure na třetím místě ovlivnila 29 % organizací.
- ↑ Command Injection Over HTTP – Zranitelnost Command Injection over HTTP může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval trojan Ursnif, který se šířil ve spamové kampani zaměřené na Českou republiku a měl dopad na téměř 18 % tuzemských společností. Spam obsahoval i částečně lokalizovaný předmět e-mailu a šířil škodlivý soubor „Dôvodová správa c.1 (####-####).doc“(místo znaků # byly číslice). Výrazně útočil na české organizace opět Emotet, který ovlivnil více než 16 % společností, o jeho nebezpečnosti jsme se mohli přesvědčit při útocích například na nemocnici v Benešově nebo na OKD.
Top malwarové rodiny v České republice – prosinec 2019
|
|||
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR
|
Ursnif |
Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. |
0,79 % |
17,98 %
|
Emotet |
Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. |
12,60 % |
16,10 %
|
Trickbot |
Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. |
6,98 % |
9,36 %
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
7,44 % |
8,24 %
|
xHelper |
Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. |
1,92 % |
3,00 %
|
Rig EK |
Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. |
2,82 % |
2,25 %
|
Fraud |
Trojan, který může upravovat například systémové soubory. |
0,19 % |
2,25 %
|
GhOst |
Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. |
0,52 % |
2,25 %
|
Jaktinier |
Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. |
0,51 % |
2,25 %
|
Tofsee |
Tofsee je trickler, který cílí na platformu Windows. Tento malware se pokouší stáhnout a spustit další škodlivé soubory v cílových systémech. Může stáhnout a zobrazit uživateli obrázek ve snaze skrýt skutečný účel. |
0,68 % |
2,25 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.