Botnet Emotet po tříměsíční odmlce znovu šíří spamové kampaně

Výzkumný tým společnosti Check Point upozorňuje, že nechvalně známý botnet byl znovu aktivován a šíří útočné kampaně

PRAHA – 7. listopadu 2019 Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje organizace, že botnet Emotet začal po tříměsíční odmlce znovu šířit několik nových spamových kampaní. Botnet byl deaktivován v červnu 2019 a útočná infrastruktura byla znovu aktivována v průběhu srpna.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se znovu umístila mezi bezpečnějšími zeměmi a patřila jí 88. příčka, což je minimální posun o 1 místo oproti srpnové 87. pozici. Slovensko se posunulo také mezi bezpečnější země a poskočilo z 64. pozice na 73. příčku. Na prvním místě se v Indexu hrozeb nově umístily Maledivy (posun o 4 pozice). Naopak Katar klesl z 1. příčky na 19. místo. Výrazný posun mezi nebezpečnější země zaznamenala Ukrajina, posun o 24 míst na 12. pozici. Opačným směrem, tedy mezi bezpečnější země, klesl nejvíce (o 30 příček) Honduras (na 51. místo).

Některé ze spamových kampaní Emotet obsahovaly e-maily s odkazem na stažení škodlivého wordovského souboru a některé obsahovaly přímo škodlivý dokument. Při otevírání souboru byla oběť vyzvána k povolení makra, které pak nainstalovalo malware Emotet do počítače oběti. Emotet byl v září pátým nejčastějším malwarem na světě.

„Není jasné, proč byl botnet Emotet 3 měsíce neaktivní, ale můžeme předpokládat, že vývojáři aktualizovali jeho funkce a schopnosti. Je důležité, aby organizace varovaly zaměstnance před riziky phishingových e-mailů a otevíráním e-mailových příloh nebo kliknutím na odkazy, které nepocházejí z důvěryhodného zdroje nebo kontaktu. Společnosti by také měly nasadit nejnovější generaci anti-malwarových řešení, která může automaticky extrahovat podezřelý obsah z e-mailů, ještě než se dostane ke koncovým uživatelům,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.

Top 3 – malware:

V září dominovaly škodlivým kódům opět kryptominery. Do čela žebříčku se posunul kryptominer JSEcoin, který ovlivnil 8 % společností po celém světě. Na druhou příčku klesl krypominer XMRig, který měl podobně jako AgentTesla na třetím místě dopad na 7 % organizací.

  1. ↑ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
  2. ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↑ AgenTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v září opět hackerský nástroj Lotoor. Na druhé příčce zůstal adware AndroidBauts a na třetí místo se vrátil malware Hiddad.

  1. ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  2. ↔ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.
  3. ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 37 % organizací, která se na první příčku posunula ze srpnové třetí pozice. Těsně následovala zranitelnost Linux System Files Information Disclosure, která měla na druhém místě dopad na 35 % společností, podobně jako Web Server Exposed Git Repository Information Disclosure na třetím místě.

  1. ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↑ Linux System Files Information Disclosure – Operační systém Linux obsahuje systémové soubory s citlivými informacemi. V případě nesprávné konfigurace mohou útočníci vzdáleně zobrazit informace o těchto souborech.
  3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul ze druhé srpnové příčky AgentTesla. Jeho dopad na české organizace zůstal podobný jako v srpnu, ale lehký ústup zaznamenal kryptominer JSEcoin, který tak klesl na druhou příčku. Na třetí pozici zůstal kryptominer XMRig. Velmi výrazně se do žebříčku zapsal malware Hawkeye, který krade přihlašovací údaje a další informace, a vyhoupl se až na dělenou čtvrtou příčku, na které je i tradiční trojan Emotet. Druhá polovina žebříčku se téměř kompletně obměnila oproti srpnu.

Top malwarové rodiny v České republice – září 2019
Malwarová rodina Popis Dopad ve světě Dopad v ČR
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. 6,59 % 17,27 %
JSEcoin JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. 7,74 % 16,91 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 7,37 % 8,27 %
Hawkeye Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“. 3,03 % 7,55  %
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 5,33 % 7,55 %
Phoenix Ransomware, který je mutací ransomwaru HiddenTear.  2,58 % 5,04 %
Cryptoloot Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. 4,49 % 3,60 %
Chir Chir je malwarová rodina, která kombinuje funkce červa a viru. 0,87 % 3,60 %
Nanocore NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. 1,31 % 2,52 %
Lokibot Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. 3,12 % 2,52 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 5,62 % 2,52 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.