Koronavirus tématem spamových kampaních šířících nebezpečný malware Emotet

Emotet útočil agresivně i v České republice, využíval globální i lokální kampaně a dále šířil ransomware a další škodlivé kódy

PRAHA – 18. února 2020 Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že Emotet byl hlavní malwarovou hrozbou již čtvrtý měsíc za sebou a v lednu se šířil zejména pomocí spamových kampaní s tématikou koronaviru. Emotet byl v lednu také nejčastěji použitým škodlivým kódem v České republice.

Emotet zaměřoval spamové kampaně na oblasti, kde se šíří koronavirus, ale také plošně v e-mailech nabízel podrobnější informace o viru, aby nalákal oběti k otevření přílohy nebo ke kliknutí na odkazy a následně došlo k pokusu o jeho stažení do počítače. Emotet se primárně používá k distribuci ransomwaru nebo jiných škodlivých kampaní.

V lednu došlo také k nárůstu pokusů o zneužití zranitelnosti „MVPower DVR Remote Code Execution“, která měla dopad na 45 % organizací po celém světě. V případě úspěšného zneužití mohou útočníci spustit na cílovém zařízení libovolný kód.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi bezpečnější země a patřila jí 89. příčka, což je posun o 20 míst oproti prosincové 69. pozici. Slovensko se naopak výrazně posunulo opačným směrem a poskočilo ze 75. pozice na 47. příčku. Na první místo se v Indexu hrozeb posunul Afghánistán. Čína klesla z 1. příčky na 18. pozici.

„Stejně jako minulý měsíci i v lednu byly nejčastějšími škodlivými kódy univerzální hrozby, jako jsou Emotet, XMRig a Trickbot. Celosvětově měly tyto tři hrozby dopad na 30 % organizací, v České republice dokonce na více než 50 %,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Organizace musí vzdělávat zaměstnance a naučit je, jak identifikovat spam, který se obvykle používá k šíření těchto hrozeb. Ale zároveň je potřeba využívat zabezpečení, které aktivně zabrání těmto hrozbám v infikování sítě a následným ransomwarovým útokům nebo krádežím dat.“

Top 3 – malware:

Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 13 % organizací po celém světě. XMRig na druhém místě ovlivnil 10 % společností a Trickbot na třetím místě 7 %.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vévodil v lednu znovu xHelper. Na druhé příčce zůstal malware Guerrilla a na třetí místo vyskočil adware AndroidBauts.

  1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↔ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
  3. ↑ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje na mobilních zařízeních instalovat aplikace a zástupce třetích stran.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 45 % organizací. Následovala zranitelnost Web Server Exposed Git Repository Information Disclosure, která měla dopad na 44 % společností. Zranitelnost PHP DIESCAN information disclosure na třetím místě ovlivnila 42 % organizací.

  1. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. ↑ PHP DIESCAN information disclosure – Zranitelnost PHP stránek, která by v případě úspěšného zneužití umožnila útočníkům získat ze serveru citlivé informace.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se velmi agresivně vrátil Emotet, který ovlivnil téměř 32 % společností, o jeho nebezpečnosti jsme se mohli přesvědčit při útocích například na nemocnici v Benešově nebo na OKD. V České republice útočil Emotet v rámci řady globálních kampaní, ale také využil například kampaň zaměřenou přímo na Českou republiku, kdy byl škodlivý .doc soubor distribuován v e-mailech s předmětem jako „Upomínka na zaplacení dluhu“. Tradičně se na čele žebříčku drží malware Trickbot a kryptominer XMRig, ale v lednu mezi top škodlivé kódy pronikla i řada nových trojanů, zejména IcedID, Vebzenpak nebo Ostap.

Top malwarové rodiny v České republice – leden 2020
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Emotet Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. 10,98 % 31,79 %
Trickbot Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. 7,38 % 10,71 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 10,35 % 10,36 %
IcedID IcedID je bankovní trojan, který krade informace, jako jsou přihlašovací údaje, a ukradená data odesílá na vzdálený server. 0,74 % 7,50 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. 3,40 % 3,93 %
xHelper Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. 1,87 % 3,21 %
Vebzenpak Trojan, který krade uživatelská data a odesílá je útočníkům. Navíc může do systému umožnit přístup dalším škodlivým kódům, aniž by o tom uživatel věděl, nebo poškodit či smazat důležité systémové soubory nebo programy. 0,85 % 2,86 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 3,14 % 2,50 %
Lokibot Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. 1,93 % 2,14 %
Ostap Ostap je trojan, který krade, poškozuje nebo maže osobní data, aniž by o tom uživatel věděl. 0,32 % 2,14 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. 1,18 % 2,14 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.