Výzkumný tým Check Point Research varuje také před zranitelností „MVPower DVR Remote Code Execution“, která měla v březnu dopad na 30 % společností
PRAHA – 22. dubna 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. V březnu významně útočil bankovní trojan Dridex, který byl poprvé detekován v roce 2011. Nárůst malwaru Dridex byl způsoben několika spamovými kampaněmi obsahujícími škodlivou excelovou přílohu, která stahuje Dridex do počítače oběti. Znovu se tak ukazuje, jak rychle kyberzločinci mění témata svých útoků, aby maximalizovali šanci na infikování co největšího počtu zařízení. Dridex je sofistikovaný bankovní malware, který se zaměřuje na platformu Windows a šíří se pomocí spamových kampaní. Na infikovaných počítačích krade přihlašovací údaje k bankovnictví a osobní data, aby získal přístup k dalším finančním informacím. Malware byl v uplynulých deseti letech průběžně aktualizován a vylepšován.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se drží mezi bezpečnějšími zeměmi, patřila jí 90. příčka, což je posun o 3 místa oproti únorové 93. pozici. Slovensko se naopak dále posouvá mezi nebezpečnější země, v březnu jí patřila 35. příčka, což je posun o 9 míst oproti únorové 44. příčce. Na první místo se v Indexu hrozeb posunul ze 12. pozice Katar. Mezi nebezpečnější země se nejvýrazněji posunul Kazachstán, z 96. místa na 20. pozici, a Litva se posunula o 33 příček na 7. místo. Opačným směrem, tedy mezi bezpečnější země, se posunula Černá Hora, které v únoru patřila 10. pozice a v březnu 48.
„Dridex, který se poprvé dostal mezi top malwarové rodiny, ukazuje, jak rychle kyberzločinci mění své metody,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Jedná se o velmi sofistikovaný malware a je potřeba prověřovat i e-maily s přílohami, které na první pohled vypadají jako od důvěryhodného zdroje. Útočníci se v posledních týdnech snaží své techniky přizpůsobit a zneužít všemi možnými způsoby nárůst práce z domova. Organizace by měly vzdělávat zaměstnance, aby poznali škodlivý spam. Zásadní je také používat bezpečnostní řešení, která si poradí nejen se známými, ale i s neznámými hrozbami.“
Top 3 – malware:
XMRig byl i v březnu nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 5 % organizací po celém světě. JSEcoin na druhém místě ovlivnil 4 % společností a Dridex na třetím místě 3 %.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
- ↑ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v březnu znovu xHelper. Na druhou příčku se posunul adware AndroidBauts a na třetí místo poskočil hackerský nástroj Lotoor.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↑ AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje na mobilních zařízeních instalovat aplikace a zástupce třetích stran.
- ↑ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili znovu zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 30 % organizací. Následovala nově zranitelnost PHP php-cgi Query String Parameter Code Execution, která měla dopad na 29 % společností, a na třetí místo klesla zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346), která ovlivnila 27 % organizací.
- ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↑ PHP php-cgi Query String Parameter Code Execution – Zranitelnost v PHP umožňující vzdálené spuštění kódu. Zranitelnost je způsobena chybami v PHP při analyzování a filtrování řetězců dotazů. Vzdálený útočník může tento problém zneužít odesláním speciálně vytvořených HTTP požadavků. Úspěšné zneužití umožňuje útočníkovi spustit libovolný kód na cílovém zařízení.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Podobně jako po celém světě i v České republice masivně útočil bankovní trojan Dridex, který v ČR dokonce vyskočil až na 1. místo. Celkově březnové top malwarové rodiny hodně kopírují únorový žebříček a nedošlo, až na raketový vzestup Dridexu, k žádným dramatickým změnám. Celkově u všech škodlivých kódů klesl dopad na organizace, hrozby byly tedy více rozptýlené. Na čele žebříčku se i nadále drží kryptominer XMRig a malware Trickbot. Emotet z únorové první příčky klesl na dělené druhé až čtvrté místo.
| Top malwarové rodiny v České republice – březen 2020 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Dridex | Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. | 3,33 % | 6,25 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 5,02 % | 3,62 % |
| Trickbot | Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. | 3,31 % | 3,62 % |
| Emotet | Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 2,22 % | 3,62 % |
| Lokibot | Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. | 2,01 % | 2,96 % |
| xHelper | Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. | 1,43 % | 2,96 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. | 2,12 % | 2,96 % |
| RigEK | Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. | 1,85 % | 2,63 % |
| JSEcoin | JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. | 3,52 % | 1,97 % |
| Ursnif | Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. | 0,92 % | 1,64 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 2,5 miliardy webových stránek a 500 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.