Greta a Vánoce tématy spamových kampaní, které šířily malware Emotet, upozorňuje výzkumný tým Check Point Research

Výzkumný tým Check Point Research upozorňuje na prudký nárůst zneužití zranitelnosti „Command Injection Over HTTP“, která měla dopad na 33 % organizací po celém světě

PRAHA – 3. února 2020 Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že Emotet byl třetí měsíc za sebou hlavní malwarovou hrozbou a šířil se pomocí celé řady spamových kampaní, včetně e-mailů zaměřených na Gretu Thunberg a vánoční tématiku. E-maily v obou kampaních obsahovaly škodlivý dokument Microsoft Word, který se po otevření pokusil stáhnout Emotet do počítače oběti. Emotet se primárně používá k ransomwarovým útokům a dalším škodlivým kampaním.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi méně bezpečné země a patřila jí 69. příčka, což je posun o 18 míst oproti listopadové 87. pozici. Slovensko se naopak posunulo opačným směrem a poskočilo z 59. pozice na 75. příčku. Na první místo se v Indexu hrozeb posunula Čína. Ze třetí příčky na druhou se posunulo Mongolsko a Bývalá jugoslávská republika Makedonie obsadila 3. místo. Výrazný posun mezi nebezpečnější země zaznamenala Nikaragua s posunem o 42 míst na 5. pozici. Opačným směrem, tedy mezi bezpečnější země, klesly Bermudy (z 1. listopadového místa na prosincové 31.).

V prosinci došlo také k významnému nárůstu pokusů o zneužití zranitelnosti „Command Injection Over HTTP“, která měla dopad na 33 % organizací po celém světě. Zranitelnost se posunula z listopadové 5. pozice až na čelo nejčastěji zneužívaných zranitelností. V případě úspěšného zneužití bylo možné zařízení využít jako součást DDoS botnetu. Škodlivý soubor používaný při útoku obsahoval řadu odkazů na zneužitelné zranitelnosti v IoT zařízeních od různých výrobců, včetně D-Link, Huawei a RealTek, s cílem využít tato zařízení jako součást botnetů.

„Během uplynulých tří měsíců patřily mezi nejčastější hrozby všestranné a víceúčelové škodlivé kódy, jako jsou Emotet a xHelper. Kyberzločincům totiž poskytují více možností, jak útoky zpeněžit, protože je lze použít k distribuci ransomwaru nebo k šíření dalších spamových kampaní,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Cílem zločinců je infikovat co největší počet organizací a zařízení, aby následné útoky byly ještě lukrativnější a škodlivější. Je proto důležité, aby organizace vzdělávaly své zaměstnance a informovaly je o rizicích otevírání e-mailových příloh, stahování souborů nebo klikání na odkazy, které nepocházejí z důvěryhodných zdrojů.“

Top 3 – malware:

Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 13 % organizací po celém světě. XMRig na druhém místě ovlivnil 7 % společností, stejně jako Trickbot na třetím místě.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v prosinci znovu xHelper. Na druhé příčce zůstal malware Guerrilla a na třetí místo vystoupal malware Hiddad.

  1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↔ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
  3. ↑  Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost Command Injection Over HTTP s dopadem na 33 % organizací. Následovala zranitelnost MVPower DVR Remote Code Execution, která měla na dopad na 32 % společností. Zranitelnost Web Server Exposed Git Repository Information Disclosure na třetím místě ovlivnila 29 % organizací.

  1. ↑ Command Injection Over HTTP – Zranitelnost Command Injection over HTTP může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
  2. ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval trojan Ursnif, který se šířil ve spamové kampani zaměřené na Českou republiku a měl dopad na téměř 18 % tuzemských společností. Spam obsahoval i částečně lokalizovaný předmět e-mailu a šířil škodlivý soubor „Dôvodová správa c.1 (####-####).doc“(místo znaků # byly číslice). Výrazně útočil na české organizace opět Emotet, který ovlivnil více než 16 % společností, o jeho nebezpečnosti jsme se mohli přesvědčit při útocích například na nemocnici v Benešově nebo na OKD.

Top malwarové rodiny v České republice – prosinec 2019
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Ursnif Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. 0,79 % 17,98 %
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 12,60 % 16,10 %
Trickbot Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. 6,98 % 9,36 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 7,44 % 8,24 %
xHelper Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. 1,92 % 3,00 %
Rig EK Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. 2,82 % 2,25 %
Fraud Trojan, který může upravovat například systémové soubory. 0,19 % 2,25 %
GhOst Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. 0,52 % 2,25 %
Jaktinier Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. 0,51 % 2,25 %
Tofsee Tofsee je trickler, který cílí na platformu Windows. Tento malware se pokouší stáhnout a spustit další škodlivé soubory v cílových systémech. Může stáhnout a zobrazit uživateli obrázek ve snaze skrýt skutečný účel. 0,68 % 2,25 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.