Kyberzločinci oprašují staré triky a hrozby, znovu se vrací bankovní trojan Trickbot

Výzkumníci společnosti Check Point potvrzují návrat víceúčelového bankovního trojanu Trickbot do Top 10 škodlivých kódů po dvou letech

Praha, 4. června 2019  – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v dubnu bankovní trojan Trickbot poprvé po téměř dvou letech vrátil do Top 10 škodlivých kódů použitých k útokům na podnikové sítě.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 19 míst mezi bezpečnější země a v dubnu jí patřila 140. příčka. Slovensko se také drží mezi bezpečnějšími zeměmi (132. místo). Na prvním místě se v Indexu hrozeb umístil nově Mosambik. Ostrov Man se v březnu posunul z 31. pozice na 147. příčku a jednalo se o největší pohyb mezi bezpečnější země, naopak v dubnu se ostrov Man zase rekordně vyhoupl o 107 míst zpět mezi méně bezpečné země. Výrazně se mezi nebezpečné země zapsal také Irák, který poskočil o 70 míst až na 42. příčku. Černá Hora se oproti tomu z březnové 36. pozice dostala na bezpečnější 119. místo.

Víceúčelové bankovní trojany, jako je Trickbot, jsou oblíbeným nástrojem kyberzločinců, kteří touží po finančním zisku. Vzestup Trickbot kampaní je spojený s termínem amerického daňového přiznání. Spamová kampaň šíří excelový soubor, které stáhne Trickbot do počítače oběti a šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.

Zatímco tři nejčastější varianty malwaru, používané v dubnu k útokům na podnikové sítě, byly kryptominery, zbylých sedm škodlivých kódů v Top 10 byly víceúčelové trojany. Ukazuje to posun v taktice, kterou zločinci využívají k maximalizaci svých finančních zisků z kampaní po zavření několika populárních služeb těžících kryptoměny a po poklesu hodnot kryptoměn v uplynulém roce.

„V dubnu se do Top 10 dostaly škodlivé kódy Trickbot a Emotet. Špatnou zprávou to je nejenom kvůli tomu, že jsou oba botnety využívány ke krádežím soukromých dat a přihlašovacích údajů, ale také protože šíří ransomware Ryuk. Ryuk se zaměřuje na aktiva, jako jsou databáze a záložní servery, a požaduje výkupné ve výši až přes milion dolarů. Jelikož se tyto škodlivé kódy neustále mění a vyvíjí, je důležité mít robustní ochranu s pokročilou prevencí hrozeb,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.

Top 3 – malware:

  1. Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
  2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↑ Jsecoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu modulární backdoor Triada. Na druhém místě zůstal hackerský nástroj Lotoor a malware Hiddad klesl na třetí příčku.

Top 3 – mobilní malware:

  1. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  2. Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla celosvětově dopad na 44 % organizací. Poprvé po 12 měsících klesla zranitelnost Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow z první příčky na druhou pozici, dopad měla na 40 % organizací po celém světě. Zranitelnost Apache Struts2 Content-Type Remote Code Execution na třetím místě ovlivnila také 38 % společností.

Top 3 – zranitelnosti:

  1. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  2. ↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  3. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) – V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul z březnové páté příčky kryptominer Cryptoloot. Naopak kryptominer JSEcoin klesl z pozice jedničky na třetí míst, přitom v březnu zcela dominoval a měl dopad na téměř 38 % českých společností. Kryptominery sice podobně jako ve světě ovládly přední příčky, ale oproti předchozím měsícům jejich pozice slábne a do žebříčku významně pronikají další hrozby.

Top malwarové rodiny v České republice – duben 2019
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Cryptoloot Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. 5,49 % 8,92 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 4,08 % 6,56 %
JSEcoin JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. 3,93 % 5,51 %
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 3,62 % 5,25 %
Dorkbot IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. 3,31 % 4,99 %
Spelevo Exploit kit poskytující různé bankovní trojany. 0,47 % 3,15 %
Trickbot Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. 2,09 % 2,10 %
Chir Chir je malwarová rodina, která kombinuje funkce červa a viru. 0,20 % 1,84 %
sLoad PowerShell downloader, který nejčastěji šíří škodlivý kód Ramnit. 0,59 % 1,84 %
Ramnit Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor. 2,27 % 1,57 %
Nivdort Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek. 1,72 % 1,57 %
Lokibot Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. 1,74 % 1,57 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. 2,21 % 1,57 %
Pony Pony je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Známý je také jako Pony Stealer, Pony Loader, FareIT a další. Pony je známý od roku 2011 a od roku 2013 je jeho zdrojový kód veřejný, což umožňuje vyvíjet decentralizované verze. Kromě krádeží umožňuje útočníkům sledovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače, což z něj dělá botnet. 1,74 % 1,57 %
Hawkeye Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“. 1,48 % 1,57 %
Sality Sality je rodina škodlivých kódů infikujících soubory. Šíří se infikováním .exe a .scr souborů a pomocí vyměnitelných disků a síťových sdílených složek. Systémy infikované Sality mohou komunikovat přes síť peer-to-peer (P2P) sítě a šířit spam. 1,87 % 1,57 %

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte Check Point online:  

Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

YouTube: http://www.youtube.com/user/CPGlobal

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software Technologies a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných cílených útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu s pokročilou prevencí hrozeb 5. generace pro podnikové sítě, cloud a mobilní prostředí, Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.