Botnet Phorpiex znovu útočí a šíří nový ransomware Avaddon

Výzkumný tým Check Point Research varuje před prudkým nárůstem útoků botnetu Phorpiex, který malspamovými kampaněmi šíří nový ransomware Avaddon

PRAHA – 17. července 2020 Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým v červnu odhalil novou vlnu útoků botnetu Phorpiex, který šířil ransomware Avaddon, novou variantu ransomwaru jako služba (RaaS). Phorpiex se posunul o 13 míst až na 2. příčku mezi všemi škodlivými kódy použitými k útokům na podnikové sítě. Oproti květnu tak Phorpiex v celosvětovém měřítku zdvojnásobil svůj dopad.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 7 míst mezi nebezpečnější země a v červnu jí patřila 68. příčka. Slovensko se také dále posouvalo mezi méně bezpečné země, a to o 11 příček na 47. pozici. V Top 3 překvapivě nedošlo oproti květnu k žádné změně, takže první místo v Indexu hrozeb znovu patřilo Kataru, druhá příčka Afghánistánu a třetí Myanmaru. Mezi nebezpečnější země se nejvýrazněji posunuly Bermudy, z 87. místa na 46. pozici. Opačným směrem, tedy mezi bezpečnější země, se nejvíce posunula Namibie, které v květnu patřila 37. pozice a v červnu 93., a Zambie s posunem o 55 míst na 77. příčku.

Jak již dříve výzkumný tým společnosti Check Point uvedl, Phorpiex je známý masivními malspamovými kampaněmi, které využívají sexuální vydírání (sextortion) a distribuují další škodlivé kódy. Nejnovější kampaň se snaží nalákat uživatele k otevření Zip souboru v příloze e-mailu. Pokud uživatel na soubor klikne, aktivuje se ransomware Avaddon, zašifruje data v počítači a požaduje výkupné za dešifrování souborů. Check Point v roce 2019 odhalil více než milion počítačů se systémem Windows infikovaných Phorpiexem. Odhaduje se, že tento botnet generuje kyberezločincům zisky v hodnotě přibližně 500 000 dolarů ročně.

„V minulosti byl Phorpiex, známý také jako Trik, využíván k distribuci malwarů, jako jsou GandCrab, Pony nebo Pushdo, nebo k těžbě kryptoměn a k podvodům se sexuálním vydírání. Nyní se používá k šíření nové ransomwarové kampaně,“ říká Petr Kadrmas, Security Engineering ve společnosti Check Point. „Organizace musí vzdělávat zaměstnance, aby poznali malspamové kampaně, a zároveň je nutné používat preventivní bezpečnostní řešení, které zastaví hrozby ještě před tím, než mohou způsobit nějaké škody.“

Top 3 – malware:

Dridex v květnu dominoval, v červnu vypadl z Top 3 a nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě se nově stal AgentTesla, který měl dopad na 3 % organizací po celém světě. Těsně následovaly škodlivé kódy Phorpiex a XMRig, které shodně ovlivnily zhruba 2 % společností.

  1. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
  2. ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
  3. ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Top 3 – mobilní malware:

I mezi mobilním malwarem klesl PreAmo z první květnové příčky mimo Top 3. Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení tak v červnu nově vévodil Necro. Na druhou příčku se posunul mobilní malware Hiddad, Top 3 uzavírá Lotoor.

  1. ↑ Necro – Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.
  2. ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  3. ↑ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili nově zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure s dopadem na 45 % organizací. Na druhé místo z první příčky klesla zranitelnost MVPower DVR Remote Code Execution, která měla dopad na 44 % společností, a na třetím místě se stejně jako v květnu umístila zranitelnost Web Server Exposed Git Repository Information Disclosure, která ovlivnila 38 % organizací.

  1. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  2. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  3. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se opět vrátil bankovní trojan Dridex. Naopak květnová kometa, trojan NetWiredRC využívaný k útokům i kyberskupinami sponzorovanými státy, klesl na 3. pozici. Pokročilý RAT Agent Tesla, který krade hesla a přihlašovací údaje, zdvojnásobil dopad na české organizace a posunul se na druhou pozici. Všechny 3 škodlivé kódy v Top 3 mají výrazně větší dopad na české organizace než je celosvětový průměr. Mezi nejčastěji použité škodlivé kódy patři nadále i kryptominer XMRig.

Top malwarové rodiny v České republice – červen 2020
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Dridex Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. 2,16 % 7,86 %
Agent Tesla Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. 3,46 % 6,29 %
NetWiredRC NetWiredRC je univerzální hrozba, která dokáže krást informace, poskytovat vzdálený přístup a stahovat další malware a používají ji také státy sponzorované skupiny, jako je APT33. 0,95 % 4,72 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 2,32 % 3,52 %
Emotet Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní.  Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 1,60 % 1,89 %
Ursnif Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. 0,78 % 1,57 %
Trickbot Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. 1,79 % 0,63 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. 0,73 % 0,63 %
GhOst Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. 0,32 % 0,63 %
Phorpiex Phorpiex je červ zaměřený na platformu Windows. Vytváří samospustitelné soubory na přenosných zařízeních, aby se dále šířil, a zároveň se přidává do seznamu autorizovaných aplikací, aby tak obešel systémový firewall. 2,34 % 0,63 %
RigEK RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. 0,87 % 0,63 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 2,5 miliardy webových stránek a 500 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.