Nebezpečný botnet Emotet po pětiměsíční odmlce opět útočí

Výzkumný tým Check Point Research varuje před prudkým nárůstem útoků botnetu Emotet. Emotet byl několik měsíců neaktivní, ale nyní opět šíří spamové kampaně a snaží se krást přihlašovací údaje k bankovnictví a šířit se uvnitř infikovaných sítí.

PRAHA – 2. září 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že po pětiměsíční pauze se na první místo v žebříčku škodlivých kódů znovu vrátil Emotet, který měl dopad na 5 % organizací po celém světě.

Emotet, který stojí především za malspamovými kampaněmi, od února postupně utlumoval své aktivity. Znovu začal být aktivní až v červenci a okamžitě mezi škodlivými kódy dominoval. Podobné schéma bylo použito i v roce 2019, kdy Emotet nebyl aktivní přes léto a znovu byl vidět až v září.

V červenci šířil Emotet malspamové kampaně a infikoval oběti TrickBotem a Qbotem, které se používají ke krádežím bankovních přihlašovacích údajů a šíření uvnitř sítí. Některé kampaně obsahovaly škodlivé soubory se jmény jako „form.doc“ nebo „invoice.doc“. Podle výzkumníků takové škodlivé dokumenty umožňují mimo jiné infikovat další zařízení a začlenit je do botnetu.

„Je zajímavé, že Emotet byl několik měsíců téměř neviditelný a opakoval vzorec z roku 2019. Můžeme předpokládat, že vývojáři botnetu aktualizovali jeho funkce a schopnosti, takže by organizace měly vzdělávat zaměstnance, informovat je o malspamových technikách a varovat je před riziky při otevírání e-mailových příloh nebo klikání na odkazy z externích zdrojů. Organizace by také měly nasadit odpovídající preventivní bezpečnostní řešení, které zabrání, aby se takový škodlivý obsah dostal až ke koncovému uživateli,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.

Top 3 – malware:

Emotet v červenci opět vévodil nejpopulárnějším škodlivým kódům, použitým k útokům na podnikové sítě, dopad měl na 5 % organizací po celém světě. Následovaly škodlivé kódy Dridex a AgentTesla, které shodně ovlivnily zhruba 4 % společností.

  1. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↑ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
  3. ↓ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení v červenci nově vévodil xHelper. Na druhou příčku klesl mobilní malware Necro a do Top 3 se vrátil PreAmo.

  1. ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↓ Necro – Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.
  3. ↑ PreAmo – PreAmo je malware pro Android, který napodobuje aktivitu uživatelů a kliká na bannery od tří reklamních agentur: Presage, Admob a Mopub.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 44 % organizací. Na druhé místo z první příčky klesla zranitelnost „OpenSSL TLS DTLS Heartbeat Information Disclosure“, která měla dopad na 42 % společností, a na třetí místo se posunula zranitelnost „Command Injection Over HTTP Payload“, která ovlivnila 38 % organizací.

  1. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. ↑ Command Injection Over HTTP Payload – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě se na první místo posunul Emotet. Celkově žádný škodlivý kód nezaznamenal nějaký dramatický vzestup, naopak se jednotlivé hrozby neobvykle vyrovnávaly. Na čele žebříčku se i přes pokles vlivu drží Dridex a AgentTesla a do Top 10 se vrátil NanoCore. Poprvé se v českém žebříčku prosadil i malware Smforw, který nepozorovaně přeposílá příchozí SMS na vzdálený server.

Top malwarové rodiny v České republice – červenec 2020
Malwarová rodinaPopisDopad ve světěDopad v ČR
EmotetEmotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní.  Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.5,45 %3,82 %
DridexDridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.4,00 %3,82 %
AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci.3,89 %3,82 %
NanoCoreNanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.1,27 %3,82 %
TrickbotTrickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.3,31 %3,50 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.2,54 %3,18 %
xHelperŠkodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.0,84 %1,59 %
SmforwVarianty malwaru Smforw nepozorovaně přeposílají příchozí SMS na vzdálený server.0,32 %1,59 %
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.2,54 %1,27 %
LokibotLokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům.1,13 %1,27 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 2,5 miliardy webových stránek a 500 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.