Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že Emotet byl hlavní malwarovou hrozbou již čtvrtý měsíc za sebou a v lednu se šířil zejména pomocí spamových kampaní s tématikou koronaviru. Emotet byl v lednu také nejčastěji použitým škodlivým kódem v České republice.
Emotet zaměřoval spamové kampaně na oblasti, kde se šíří koronavirus, ale také plošně v e-mailech nabízel podrobnější informace o viru, aby nalákal oběti k otevření přílohy nebo ke kliknutí na odkazy a následně došlo k pokusu o jeho stažení do počítače. Emotet se primárně používá k distribuci ransomwaru nebo jiných škodlivých kampaní.
V lednu došlo také k nárůstu pokusů o zneužití zranitelnosti „MVPower DVR Remote Code Execution“, která měla dopad na 45 % organizací po celém světě. V případě úspěšného zneužití mohou útočníci spustit na cílovém zařízení libovolný kód.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi bezpečnější země a patřila jí 89. příčka, což je posun o 20 míst oproti prosincové 69. pozici. Slovensko se naopak výrazně posunulo opačným směrem a poskočilo ze 75. pozice na 47. příčku. Na první místo se v Indexu hrozeb posunul Afghánistán. Čína klesla z 1. příčky na 18. pozici.
„Stejně jako minulý měsíci i v lednu byly nejčastějšími škodlivými kódy univerzální hrozby, jako jsou Emotet, XMRig a Trickbot. Celosvětově měly tyto tři hrozby dopad na 30 % organizací, v České republice dokonce na více než 50 %,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Organizace musí vzdělávat zaměstnance a naučit je, jak identifikovat spam, který se obvykle používá k šíření těchto hrozeb. Ale zároveň je potřeba využívat zabezpečení, které aktivně zabrání těmto hrozbám v infikování sítě a následným ransomwarovým útokům nebo krádežím dat.“
Top 3 – malware:
Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 13 % organizací po celém světě. XMRig na druhém místě ovlivnil 10 % společností a Trickbot na třetím místě 7 %.
- ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.
Top 3 – mobilní malware:
Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vévodil v lednu znovu xHelper. Na druhé příčce zůstal malware Guerrilla a na třetí místo vyskočil adware AndroidBauts.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
- ↑ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje na mobilních zařízeních instalovat aplikace a zástupce třetích stran.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 45 % organizací. Následovala zranitelnost Web Server Exposed Git Repository Information Disclosure, která měla dopad na 44 % společností. Zranitelnost PHP DIESCAN information disclosure na třetím místě ovlivnila 42 % organizací.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↑ PHP DIESCAN information disclosure – Zranitelnost PHP stránek, která by v případě úspěšného zneužití umožnila útočníkům získat ze serveru citlivé informace.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se velmi agresivně vrátil Emotet, který ovlivnil téměř 32 % společností, o jeho nebezpečnosti jsme se mohli přesvědčit při útocích například na nemocnici v Benešově nebo na OKD. V České republice útočil Emotet v rámci řady globálních kampaní, ale také využil například kampaň zaměřenou přímo na Českou republiku, kdy byl škodlivý .doc soubor distribuován v e-mailech s předmětem jako „Upomínka na zaplacení dluhu“. Tradičně se na čele žebříčku drží malware Trickbot a kryptominer XMRig, ale v lednu mezi top škodlivé kódy pronikla i řada nových trojanů, zejména IcedID, Vebzenpak nebo Ostap.
|
Top malwarové rodiny v České republice – leden 2020 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Emotet |
Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. |
10,98 % |
31,79 % |
|
Trickbot |
Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. |
7,38 % |
10,71 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
10,35 % |
10,36 % |
|
IcedID |
IcedID je bankovní trojan, který krade informace, jako jsou přihlašovací údaje, a ukradená data odesílá na vzdálený server. |
0,74 % |
7,50 % |
|
AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. |
3,40 % |
3,93 % |
|
xHelper |
Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. |
1,87 % |
3,21 % |
|
Vebzenpak |
Trojan, který krade uživatelská data a odesílá je útočníkům. Navíc může do systému umožnit přístup dalším škodlivým kódům, aniž by o tom uživatel věděl, nebo poškodit či smazat důležité systémové soubory nebo programy. |
0,85 % |
2,86 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
3,14 % |
2,50 % |
|
Lokibot |
Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. |
1,93 % |
2,14 % |
|
Ostap |
Ostap je trojan, který krade, poškozuje nebo maže osobní data, aniž by o tom uživatel věděl. |
0,32 % |
2,14 % |
|
Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. |
1,18 % |
2,14 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
