Výzkumný tým společnosti Check Point také upozorňuje, že je znovu aktivní botnet Emotet
PRAHA – 16. září 2019 — Check Point Research, bezpečnostní tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje organizace před novou variantou IoT botnetu Mirai s označením Echobot, která masivně útočí na nejrůznější IoT zařízení. Echobot byl poprvé detekován v květnu 2019 a zneužil už více než 50 různých zranitelností, což způsobilo prudký nárůst zranitelnosti „Command Injection Over HTTP“, která ovlivnila 34 % organizací po celém světě.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se znovu umístila mezi bezpečnějšími zeměmi a patřila jí 87. příčka, což je jen lehký posun o 5 míst oproti červencové 92. pozici. Naopak Slovensko zaznamenalo jeden z největších posunů mezi nebezpečnější země a poskočilo z 85. pozice na 64. příčku. Na prvním místě se v Indexu hrozeb umístil Katar a na 2. pozici se z 15. místa posunula Čína. Nejvýrazněji se mezi nebezpečné země posunul Izrael, který ze 74. místa poskočil na 43. příčku. Opačným směrem, tedy mezi bezpečnější země, kleslo nejvíce (o 30 příček) Maroko (na 52. místo).
V srpnu jsme také viděli, že je znovu aktivní útočná infrastruktura botnetu Emotet, která byla před 2 měsíci odstavena. Emotet byl největší botnet fungující v první polovině roku 2019. I když ještě nebyly detekovány žádné masivní kampaně, je pravděpodobné, že bude Emotet brzy použit ke spuštění spamových kampaní.
„Echobot byl poprvé detekován v polovině května a jedná se o novou variantu nechvalně známého IoT botnetu Mirai. Vidíme jeho prudký vzestup, protože zneužívá více než 50 různých zranitelností. Echobot měl dopad na 34 % společností po celém světě, což ukazuje, jak je důležité, aby organizace měly nejnovější záplaty a aktualizace pro sítě, software i IoT zařízení,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.
Top 3 – malware:
V srpnu dominovaly škodlivým kódům opět kryptominery a Top 3 zůstalo beze změny. XMRig znovu obsadil první místo a ovlivnil 7 % organizací. Těsně následovaly JSEcoin a Dorkbot, oba škodlivé kódy měly dopad na 6 % společností po celém světě.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↔ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
- ↔ Dorkbot – IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v srpnu opět hackerský nástroj Lotoor. Na druhé příčce zůstal adware AndroidBauts a na třetí místo se vrátil modulární backdoor Triada.
- ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- ↔ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.
- ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 39 % organizací. Těsně následovala zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla na druhém místě dopad také na 39 % společností. MVPower DVR Remote Code Execution na třetím místě ovlivnila 38 % organizací po celém světě.
- ↔ SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
- ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
- ↔ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul ze druhé červencové příčky kryptominer JSEcoin. Z prvního místo na třetí klesl kryptominer XMRig, když jej ještě předskočil pokročilý RAT AgentTesla. Zajímavostí také je výrazně větší dopad malwarů JSEcoin a AgentTesla v ČR, než je celosvětový průměr.
| Top malwarové rodiny v České republice – srpen 2019 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| JSEcoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. | 7,14 % | 19,20 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. | 5,20 % | 18,84 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 7,26 % | 9,06 % |
| Emotet | Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. | 3,42 % | 5,43 % |
| Chir | Chir je malwarová rodina, která kombinuje funkce červa a viru. | 0,78 % | 3,99 % |
| Dorkbot | IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. | 5,66 % | 3,99 % |
| Cryptoloot | Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. | 3,32 % | 3,62 % |
| Trickbot | Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. | 5,40 % | 3,26 % |
| Jaktinier | Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. | 0,54 % | 2,54 % |
| Parite | Parite je polymorfní virus, který infikuje spustitelné soubory (EXE a SCR) na infikovaném stroji a na síťovém disku. Vkládá škodlivý DLL soubor do dočasného adresáře Windows a ovlivňuje proces explorer.exe. | 0,54 % | 2,54 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.