Výzkumný tým společnosti Check Point upozorňuje, že nechvalně známý botnet byl znovu aktivován a šíří útočné kampaně
PRAHA – 7. listopadu 2019 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje organizace, že botnet Emotet začal po tříměsíční odmlce znovu šířit několik nových spamových kampaní. Botnet byl deaktivován v červnu 2019 a útočná infrastruktura byla znovu aktivována v průběhu srpna.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se znovu umístila mezi bezpečnějšími zeměmi a patřila jí 88. příčka, což je minimální posun o 1 místo oproti srpnové 87. pozici. Slovensko se posunulo také mezi bezpečnější země a poskočilo z 64. pozice na 73. příčku. Na prvním místě se v Indexu hrozeb nově umístily Maledivy (posun o 4 pozice). Naopak Katar klesl z 1. příčky na 19. místo. Výrazný posun mezi nebezpečnější země zaznamenala Ukrajina, posun o 24 míst na 12. pozici. Opačným směrem, tedy mezi bezpečnější země, klesl nejvíce (o 30 příček) Honduras (na 51. místo).
Některé ze spamových kampaní Emotet obsahovaly e-maily s odkazem na stažení škodlivého wordovského souboru a některé obsahovaly přímo škodlivý dokument. Při otevírání souboru byla oběť vyzvána k povolení makra, které pak nainstalovalo malware Emotet do počítače oběti. Emotet byl v září pátým nejčastějším malwarem na světě.
„Není jasné, proč byl botnet Emotet 3 měsíce neaktivní, ale můžeme předpokládat, že vývojáři aktualizovali jeho funkce a schopnosti. Je důležité, aby organizace varovaly zaměstnance před riziky phishingových e-mailů a otevíráním e-mailových příloh nebo kliknutím na odkazy, které nepocházejí z důvěryhodného zdroje nebo kontaktu. Společnosti by také měly nasadit nejnovější generaci anti-malwarových řešení, která může automaticky extrahovat podezřelý obsah z e-mailů, ještě než se dostane ke koncovým uživatelům,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.
Top 3 – malware:
V září dominovaly škodlivým kódům opět kryptominery. Do čela žebříčku se posunul kryptominer JSEcoin, který ovlivnil 8 % společností po celém světě. Na druhou příčku klesl krypominer XMRig, který měl podobně jako AgentTesla na třetím místě dopad na 7 % organizací.
- ↑ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
- ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ AgenTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v září opět hackerský nástroj Lotoor. Na druhé příčce zůstal adware AndroidBauts a na třetí místo se vrátil malware Hiddad.
- ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- ↔ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.
- ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 37 % organizací, která se na první příčku posunula ze srpnové třetí pozice. Těsně následovala zranitelnost Linux System Files Information Disclosure, která měla na druhém místě dopad na 35 % společností, podobně jako Web Server Exposed Git Repository Information Disclosure na třetím místě.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↑ Linux System Files Information Disclosure – Operační systém Linux obsahuje systémové soubory s citlivými informacemi. V případě nesprávné konfigurace mohou útočníci vzdáleně zobrazit informace o těchto souborech.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul ze druhé srpnové příčky AgentTesla. Jeho dopad na české organizace zůstal podobný jako v srpnu, ale lehký ústup zaznamenal kryptominer JSEcoin, který tak klesl na druhou příčku. Na třetí pozici zůstal kryptominer XMRig. Velmi výrazně se do žebříčku zapsal malware Hawkeye, který krade přihlašovací údaje a další informace, a vyhoupl se až na dělenou čtvrtou příčku, na které je i tradiční trojan Emotet. Druhá polovina žebříčku se téměř kompletně obměnila oproti srpnu.
| Top malwarové rodiny v České republice – září 2019 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. | 6,59 % | 17,27 % |
| JSEcoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. | 7,74 % | 16,91 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 7,37 % | 8,27 % |
| Hawkeye | Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“. | 3,03 % | 7,55 % |
| Emotet | Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. | 5,33 % | 7,55 % |
| Phoenix | Ransomware, který je mutací ransomwaru HiddenTear. | 2,58 % | 5,04 % |
| Cryptoloot | Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. | 4,49 % | 3,60 % |
| Chir | Chir je malwarová rodina, která kombinuje funkce červa a viru. | 0,87 % | 3,60 % |
| Nanocore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 1,31 % | 2,52 % |
| Lokibot | Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. | 3,12 % | 2,52 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 5,62 % | 2,52 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.