PRAHA – 26. srpna 2019 — Check Point Research, bezpečnostní tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje organizace před novou zranitelností, která byla objevena v pluginu OpenDreamBox 2.0.0 WebAdmin a v minulém měsíci ovlivnila 32 % organizací po celém světě.
Zranitelnost, která se v žebříčku nejčastěji zneužívaných zranitelností umístila na 8. místě, umožňuje útočníkům spouštět vzdáleně příkazy na cílových počítačích. Významné byly i snahy o útoky a zneužití zranitelností v IoT zařízeních – zejména MVPower DVR Remote Code Execution (v červenci třetí nejčastěji zneužívaná zranitelnost), která je známá také kvůli propojení s nechvalně známým botnetem Mirai.
V červenci došlo také k významnému poklesu kryptomineru Cryptoloot, který klesl ze 3. červnové příčky na 10. pozici v žebříčku nejčastěji využívaných škodlivých kódů k útokům na podnikové sítě.
„Jakmile se objeví nová zranitelnost, útočníci se ji snaží rychle zneužít, dokud organizace nenasadí záplaty. A zranitelnost v OpenDreamBox není výjimkou. Přesto je překvapivé, že byla ovlivněna téměř třetina organizací. Ukazuje se, jak důležitá je ochrana před podobnými hrozbami a rychlé nasazení záplat,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Zajímavý je také prudký pokles kryptomineru Cryptoloot. V uplynulém roce a půl dominoval a v první polovině roku 2019 byl druhým nejčastějším malwarem, když ovlivnil 7,2 % organizací po celém světě. Zdá se, že pokles je spojen s jeho hlavním konkurentem, kryptominerem CoinHive, který ukončil svou činnost na začátku roku 2019. Útočníci nyní spoléhají na alternativní kryptominery, jako jsou XMRig a Jsecoin.“
Top 3 – malware:
V červenci dominovaly škodlivým kódům opět kryptominery. XMRig znovu obsadil první místo a ovlivnil 7 % organizací. Těsně následovaly JSEcoin a Dorkbot, oba škodlivé kódy měly dopad na 6 % společností po celém světě.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↔ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
- ↑ Dorkbot – IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v červenci opět hackerský nástroj Lotoor. Nově se na druhou příčku dostal adware AndroidBauts a změna byla i na třetí příčce, kam se vyhoupl další adware Piom.
- ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- ↑ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.
- ↑ Piom – Adware, který monitoruje chování uživatelů při procházení internetu a zobrazuje nežádoucí reklamy na základě jejich webových aktivit.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 46 % organizací. Zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla na druhém místě dopad na 41 % společností a MVPower DVR Remote Code Execution na třetím místě ovlivnila 40 % organizací po celém světě
- ↔ SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
- ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se nově posunul kryptominer XMRig, jehož celosvětový růst se projevil i v ČR. Významně si polepšil také kryptominer JSEcoin, naopak Cryptoloot klesl z první příčka až na pátou pozici. Celkově se žebříček v posledních měsících neustále obměňuje, což ukazuje na vzestup nových škodlivých kódů a větší vyrovnanost mezi malwarem.
| Top malwarové rodiny v České republice – červenec 2019 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 7,62 % | 9,59 % |
| JSEcoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. | 6,40 % | 8,86 % |
| Emotet | Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. | 5,30 % | 8,12 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. | 4,74 % | 6,27 % |
| Cryptoloot | Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. | 3,47 % | 6,27 % |
| Dorkbot | IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. | 5,77 % | 4,43 % |
| Chir | Chir je malwarová rodina, která kombinuje funkce červa a viru. | 0,88 % | 2,95 % |
| Formbook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 3,61 % | 2,95 % |
| Jaktinier | Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. | 0,60 % | 2,95 % |
| Nanocore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 5,04 % | 2,21 % |
| Ave Maria | Malware, který krade uživatelská data a informace a pro infikování uživatelů využívá různé phishingové metody. | 1,85 % | 2,21 % |
| Lokibot | Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. | 3,01 % | 2,21 % |
| GhOst | Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. | 0,56 % | 2,21 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.