Česká republika se dále posouvá mezi země, které čelí většímu množství kyberútoků

Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje, že trojan Emotet dominoval, i když byl na konci ledna v důsledku mezinárodní operace odstaven.

PRAHA – 23. února 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Trojan Emotet stihl napáchat další škody, než byl 27. ledna odstaven v důsledku mezinárodní policejní operace. Během ledna měl dopad na 6 % organizací po celém světě a zůstal nejčastěji použitým škodlivým kódem k útokům na podnikové sítě.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se dále posouvala mezi méně bezpečné země, o 15 míst až na 35. příčku. Slovensko se také posouvalo nežádoucím směrem, o 8 příček, přesto mu v lednu patřila až 70. pozice. Na prvním místě v Indexu hrozeb skončil nově Katar, který na druhou pozici odsunul Bhútán. Mezi nebezpečnější země nejvýrazněji poskočila Dominikánská republika, o 26 příček až na 10. pozici. Opačným směrem se nejvíce posunul Nepál, kterému v prosinci patřila 13. pozice a v lednu až 59. místo.

Mezinárodní policejní složky převzaly na konci ledna kontrolu nad infrastrukturou Emotetu a plánují hromadně odinstalovat Emotet z infikovaných zařízení 25. dubna. Přesto byl Emotet i nadále malware s největším dopadem na světové i České organizace. Spamové kampaně šířící Emotet využívaly vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.

Emotet byl poprvé odhalen v roce 2014 a byl pravidelně aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.

„Emotet je jednou z nejničivějších variant malwaru, takže převzetí kontroly nad jeho infrastrukturou je velkým úspěchem,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Bohužel můžeme očekávat, že se nevyhnutelně objeví nové hrozby, které jej nahradí. Organizace proto musí používat robustní bezpečnostní systémy a preventivní řešení, aby hrozby nepronikly k uživatelům. Důležitou součástí komplexní ochrany je i vzdělávání zaměstnanců, aby dokázali identifikovat nebezpečné e-maily a nejrůznější triky kyberzločinců.“

Top 3 – malware:

Emotet zůstal i v lednu na čele žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 6 % organizací. Následovaly škodlivé kódy Phorpiex a Trickbot, které ovlivnily shodně 4 % společností.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
  3. ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a změna v lednu nebyla ani na třetím místě, které obhájil modulární backdoor Triada.

  1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↔ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 43 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ s dopaden na 41 % organizací.

  1. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet znovu ukázal, o jak nebezpečný malware se jedná. V České republice dominoval a měl dopad na čtvrtinu všech společností. Lze očekávat, že po jeho odstavení využijí pád „krále“ ostatní škodlivé kódy a jeho místo zaplní. Český žebříček byl tentokrát plný tradičních malwarů bez nových hrozeb a větších překvapení. Dopad Dridexu ve světě sice lehce klesl, ale v České republice ho růst posunul ze 3. místa na 2. Qbot zažíval pokles ve světě i v ČR, přesto se udržel v Top 3.

Top malwarové rodiny v České republice – leden 2020
Malwarová rodinaPopisDopad ve světěDopad v ČR
EmotetEmotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní.  Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.6,38 %25,40 %
DridexBankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.3,28 %10,48 %
QbotQbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.1,90 %6,67 %
PhorpiexPhorpiex je červ zaměřený na platformu Windows. Vytváří samospustitelné soubory na přenosných zařízeních, aby se dále šířil, a zároveň se přidává do seznamu autorizovaných aplikací, aby tak obešel systémový firewall.3,92 %4,44 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.3,23 %4,44 %
TrickbotTrickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.3,67 %3,81 %
RigEKRigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.1,74 %3,81 %
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.2,79 %3,17 %
AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci.0,25 %2,86 %
xHelperŠkodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.0,91 %1,90 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.