Trojan Emotet se v červnu odmlčel, ale je pravděpodobné, že se vrátí ještě nebezpečnější

Výzkumníci společnosti Check Point potvrzují, že infrastruktura botnetu Emotet byla po většinu června neaktivní, dá se ale očekávat, že se hrozba znovu vrátí a to s výrazně vylepšenými schopnostmi

PRAHA – 22. července 2019 Check Point Research, bezpečnostní tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým potvrdil, že Emotet (v současnosti největší fungující botnet) byl odstaven a během většiny června nebyly zaznamenány žádné nové kampaně. Emotet patřil do Top 5 škodlivých kódů během první poloviny roku 2019 a byl distribuován v masivních spamových kampaních.

Výzkumníci společnosti Check Point se domnívají, že infrastruktura Emotetu by mohla být offline kvůli údržbě a upgradu a jakmile budou servery připravené a znovu spuštěné, vrátí se Emotet s novými, vylepšenými schopnostmi.

„Emotet byl od roku 2014 používán hlavně jako bankovní trojan. Ale od minulého roku sledujeme, že je využíván jako botnet v masivních spamových kampaních a slouží k distribuci dalších malwarů. A i když byla jeho infrastruktura po většinu června neaktivní, stále mu patřila 5. pozice v našem malwarovém indexu, což ukazuje rozsah jeho využití. Navíc je pravděpodobné, že se vrátí s novými funkcemi,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Jakmile je Emotet nainstalován na stroji oběti, může jej využít k dalšímu šíření prostřednictvím spamových kampaní nebo třeba ke stažení jiných škodlivých kódů (jako je Trickbot, který infikuje celou hostitelskou síť nechvalně známým ransomwarem Ryuk).“

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se sice znovu celkově umístila mezi bezpečnějšími zeměmi, ale posunula se o 30 míst mezi ty méně bezpečné na 110. příčku. V podobné situaci bylo i Slovensko, které poskočilo ze 126. pozice na 93. příčku. Na prvním místě se v Indexu hrozeb potřetí za sebou umístil Mosambik. Nejvýrazněji se mezi nebezpečné země posunul Nepál, který ze 138. místa poskočil až na 8. příčku. Výrazně se mezi nebezpečné země také posunula Jižní Korea, která poskočila o 91 míst až na 46. příčku.

Top 3 – malware:

V červnu dominovaly škodlivým kódům opět kryptominery. XMRig se posunul na první místo a ovlivnil 4 % organizací. Těsně následovaly JSEcoin a Cryptoloot, oba škodlivé kódy měly dopad na 3 % společností po celém světě.

  1. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. ↑ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
  3. ↓ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v červnu opět hackerský nástroj Lotoor. Modulární backdoor Triada se posunul ze 3. pozici na 2. příčku a nově se do Top 3 dostal trojan Ztorg.

  1. ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  2. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  3. ↑ Ztorg – Trojské koně z rodiny Ztorg získávají zvýšená oprávnění na zařízeních se systémem Android a instalují se do systémového adresáře. Malware je schopen instalovat do zařízení jakoukoliv jinou aplikaci.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 52 % organizací. Zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla na druhém místě dopad na 43 % společností a CVE-2015-8562 na třetím místě ovlivnila 41 % organizací po celém světě.

  1. ↔ SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. Joomla Object Injection Remote Command Execution  (CVE-2015-8562) – Zranitelnost v platformách Joomla umožňující vzdálené spuštění příkazu. Zranitelnost je způsobena nedostatečným ověřováním vstupních objektů, což může vést ke vzdálenému spuštění kódu. Útočník tak může na dálku zneužít tuto zranitelnost odesláním škodlivého požadavku oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je nadále kryptominer Cryptoloot, ale jeho dopad ve světě i v ČR mírně klesl. V posledních měsících pozorujeme v oblasti malwaru v ČR větší vyrovnanost, není zde žádný jasně dominující škodlivý kód, jako jsme mohli vidět třeba na začátku letošního roku. První tři příčky sice zůstaly v červnu beze změny, ale druhá polovina žebříčku doznala výrazných změn a téměř kompletně se obměnila.

Top malwarové rodiny v České republice – červen 2019
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Cryptoloot Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. 2,51 % 8,06 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,61 % 7,56 %
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 2,22 % 5,79 %
Dorkbot IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. 2,35 % 3,27 %
Jsecoin JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. 2,70 % 3,02 %
Lokibot Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. 1,09 % 3,02 %
Jaktinier Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. 0,26 % 2,27 %
Chir Chir je malwarová rodina, která kombinuje funkce červa a viru. 0,39 % 2,27 %
AndroidBauts Adware, který získává z infikovaného zařízení informace a umožňuje instalaci aplikací třetích stran. 0,31 % 1,76 %
GhOst Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. 0,22 % 1,76 %
NJRat njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd. 0,42 % 1,76 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Reklamy