Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým v červnu odhalil novou vlnu útoků botnetu Phorpiex, který šířil ransomware Avaddon, novou variantu ransomwaru jako služba (RaaS). Phorpiex se posunul o 13 míst až na 2. příčku mezi všemi škodlivými kódy použitými k útokům na podnikové sítě. Oproti květnu tak Phorpiex v celosvětovém měřítku zdvojnásobil svůj dopad.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 7 míst mezi nebezpečnější země a v červnu jí patřila 68. příčka. Slovensko se také dále posouvalo mezi méně bezpečné země, a to o 11 příček na 47. pozici. V Top 3 překvapivě nedošlo oproti květnu k žádné změně, takže první místo v Indexu hrozeb znovu patřilo Kataru, druhá příčka Afghánistánu a třetí Myanmaru. Mezi nebezpečnější země se nejvýrazněji posunuly Bermudy, z 87. místa na 46. pozici. Opačným směrem, tedy mezi bezpečnější země, se nejvíce posunula Namibie, které v květnu patřila 37. pozice a v červnu 93., a Zambie s posunem o 55 míst na 77. příčku.
Jak již dříve výzkumný tým společnosti Check Point uvedl, Phorpiex je známý masivními malspamovými kampaněmi, které využívají sexuální vydírání (sextortion) a distribuují další škodlivé kódy. Nejnovější kampaň se snaží nalákat uživatele k otevření Zip souboru v příloze e-mailu. Pokud uživatel na soubor klikne, aktivuje se ransomware Avaddon, zašifruje data v počítači a požaduje výkupné za dešifrování souborů. Check Point v roce 2019 odhalil více než milion počítačů se systémem Windows infikovaných Phorpiexem. Odhaduje se, že tento botnet generuje kyberezločincům zisky v hodnotě přibližně 500 000 dolarů ročně.
„V minulosti byl Phorpiex, známý také jako Trik, využíván k distribuci malwarů, jako jsou GandCrab, Pony nebo Pushdo, nebo k těžbě kryptoměn a k podvodům se sexuálním vydírání. Nyní se používá k šíření nové ransomwarové kampaně,“ říká Petr Kadrmas, Security Engineering ve společnosti Check Point. „Organizace musí vzdělávat zaměstnance, aby poznali malspamové kampaně, a zároveň je nutné používat preventivní bezpečnostní řešení, které zastaví hrozby ještě před tím, než mohou způsobit nějaké škody.“
Top 3 – malware:
Dridex v květnu dominoval, v červnu vypadl z Top 3 a nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě se nově stal AgentTesla, který měl dopad na 3 % organizací po celém světě. Těsně následovaly škodlivé kódy Phorpiex a XMRig, které shodně ovlivnily zhruba 2 % společností.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
- ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Top 3 – mobilní malware:
I mezi mobilním malwarem klesl PreAmo z první květnové příčky mimo Top 3. Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení tak v červnu nově vévodil Necro. Na druhou příčku se posunul mobilní malware Hiddad, Top 3 uzavírá Lotoor.
- ↑ Necro – Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.
- ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
- ↑ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili nově zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure s dopadem na 45 % organizací. Na druhé místo z první příčky klesla zranitelnost MVPower DVR Remote Code Execution, která měla dopad na 44 % společností, a na třetím místě se stejně jako v květnu umístila zranitelnost Web Server Exposed Git Repository Information Disclosure, která ovlivnila 38 % organizací.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
- ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se opět vrátil bankovní trojan Dridex. Naopak květnová kometa, trojan NetWiredRC využívaný k útokům i kyberskupinami sponzorovanými státy, klesl na 3. pozici. Pokročilý RAT Agent Tesla, který krade hesla a přihlašovací údaje, zdvojnásobil dopad na české organizace a posunul se na druhou pozici. Všechny 3 škodlivé kódy v Top 3 mají výrazně větší dopad na české organizace než je celosvětový průměr. Mezi nejčastěji použité škodlivé kódy patři nadále i kryptominer XMRig.
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 2,5 miliardy webových stránek a 500 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
