Botnet Emotet v listopadu oslabil, ale rychle se šíří nová mobilní hrozba, varuje výzkumný tým Check Point Research

Výzkumný tým Check Point Research upozorňuje, že mobilní trojan xHelper se šíří tak rychle, že se posunul na 8. místo mezi škodlivými kódy a jedná se v současnosti o největší hrozbu pro mobilní zařízení.

PRAHA – 30. prosince 2019 Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že poprvé po více než třech letech se do Top 10 škodlivých kódů dostal mobilní trojan.

Mobilní trojan xHelper byl poprvé detekován v březnu 2019 a jedná se o víceúčelový trojan zaměřený na uživatele systému Android, který může stáhnout další škodlivé aplikace a zobrazovat škodlivé reklamy. xHelper je schopný se sám přeinstalovat, i když jej uživatel odinstaluje. Během posledních šesti měsíců byl kód malwaru neustále aktualizován, takže se dokáže vyhnout mobilním antivirovým řešením. V celkovém žebříčku škodlivých kódů vyskočil xHelper až na 8. místo.

Botnet Emotet udržel první příčku a byl nejčastěji použitým škodlivým kódem k útokům na podnikové sítě. V listopadu ovšem ovlivnil pouze 9 % organizací po celém světě, zatímco v říjnu to bylo 14 %.

„Emotet i xHelper jsou všestranné, víceúčelové škodlivé kódy, které lze přizpůsobit potřebám zločinců a mohou být použité pro distribuci ransomwaru, šíření spamových kampaní nebo šíření malvertisingu. Ukazuje se, že se zločinci snaží využívat nejrůznější taktiky pro finanční zisk a nesledují jediný trend, jako je kryptomining, který dominoval v roce 2018,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Proto je nezbytné, aby organizace používaly nejnovější generace antimalwarových řešení napříč sítěmi i mobilními zařízeními a chránily všechny podnikové koncové body. Měly by také vzdělávat zaměstnance a informovat je o rizicích otevírání e-mailových příloh nebo kliknutí na odkazy, které nepochází z důvěryhodného zdroje.“

Top 3 – malware:

Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 9 % organizací po celém světě. XMRig na druhém místě ovlivnil 7 % společností a Trickbot na třetím místě měl dopad na 6 % organizací.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v listopadu xHelper. Na druhou příčku klesl malware Guerrilla a z druhé na třetí místo klesl hackerský nástroj Lotoor.

  1. ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↓ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
  3. ↓ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili znovu zneužívat především techniky SQL Injection s dopadem na 39 % organizací. Následovala zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla na dopad na 34 % společností. Zranitelnost MVPower DVR Remote Code Execution na třetím místě ovlivnila 33 % organizací.

  1. ↔ SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
  2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. ↔ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Ze 6. příčky se na vrcholek žebříčku vyhoupl bankovní malware Trickbot. I když v říjnu nebyl ani v Top 10, poskočil na druhou příčku FormBook, který se zaměřuje na krádeže přihlašovacích údajů a dalších dat. A celosvětový vzestup potvrdil mobilní malware xHelper i v České republice, když obsadil třetí místo s výrazným dopadem na tuzemské organizace.

Top malwarové rodiny v České republice – listopad 2019
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Trickbot Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. 6,20 % 6,83 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 5,03 % 6,14 %
xHelper Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. 2,18 % 5,80 %
Magecart Magecart je typ útoku, při kterém je do webových stránek online obchodů a dodavatelů těchto systémů vsunut škodlivý JavaScript kód a cílem je krádež platebních údajů. 1,89 % 5,12 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 6,90 % 5,12 %
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 9,00 % 4,78 %
Fallout EK Fallout EK je využíván v malvertisingových kampaních a k šíření ransomwaru. 1,29 % 2,73 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. 1,42 % 2,39 %
Ramnit Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor. 2,89 % 2,05 %
GhOst Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. 0,60 % 2,05 %
Guerrilla Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele. 1,58 % 2,05 %
Hawkeye Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“. 0,69 % 2,05 %
Jaktinier Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. 0,70 % 2,05 %
AndroidBauts Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních. 0,33 % 2,05 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.