Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje, že trojan Emotet byl v lednu sice odstaven v důsledku mezinárodní policejní operace, ale volný trůn převzal bankovní trojan Trickbot
PRAHA – 17. března 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Na čelo žebříčku se po pádu Emotetu dostal poprvé trojan Trickbot, který byl v minulosti spojován mimo jiné právě s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce posunula směrem k bezpečnějším místům, o 17 příček na 52. pozici. Slovensko se naopak mírně posunulo mezi méně bezpečné státy, přesto mu v únoru patřila až 64. pozice. Na prvním místě v Indexu hrozeb skončila nově Srí Lanka. Druhé místo mezi nejméně bezpečnými státy patří Bhútánu a na třetí příčku poskočil o 15 míst Uzbekistán. Pro Kolumbii nebyl únor dobrým měsícem, ze 45. místa se dostala až na 7. příčku, a vůbec nejvýrazněji, o 39 míst, se posunulo Norsko, kterému v února patřila 46. pozice. Naopak mezi bezpečnější státy nejvíce poskočila Nigérie, které v lednu patřila 14. pozice a v únoru až 69. místo.
Check Point upozorňuje, že po lednovém odstavení botnetu Emotet používají kyberzločinecké skupiny nové techniky a škodlivé kódy, jako je Trickbot. V průběhu února byl Trickbot šířen prostřednictvím spamových kampaní zaměřených na právnické a pojišťovací organizace. Útočníci se snažili přimět uživatele, aby stáhli do svých počítačů soubor ve formátu .zip, který obsahoval škodlivý JavaScript soubor. Jakmile uživatel soubor otevře, dojde k pokusu o stažení dalšího škodlivého obsahu ze vzdáleného serveru.
Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 % organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS), předního poskytovatele zdravotní péče v USA. UHS bylo obětí ransomwarového útoku Ryuk a ušlé zisky a náklady v souvislosti s útokem se vyšplhaly až na 67 milionů dolarů. Trickbot byl použit ke krádeži dat ze systémů UHS a také k následnému infikování systému ransomwarem.
„Zločinci budou i nadále využívat existující hrozby a nástroje a Trickbot je populární vzhledem ke své všestrannosti. Navíc se osvědčil při předchozích útocích,“ říká Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point. „Jak jsme předpokládali, i když byla odstraněna jedna velká hrozba, neznamená to, že by organizace měly polevit ve své ochraně, protože další nebezpečné hrozby číhají na svou šanci.“
Top 3 – malware:
Pád Emotetu využil bankovní trojan Trickbot, který se posunul na první místo v žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě. Dopad měl na více než 3 % organizací po celém světě. Následovaly škodlivé kódy XMRig a Qbot, které ovlivnily shodně 3 % společností.
- ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ Qbot – Qbot je bankovní trojan, který byl poprvé detekován v roce 2008 a jehož cílem jsou krádeže bankovních přihlašovacích údajů a špehování stisknutých kláves. Qbot se většinou šíří nevyžádanými e-maily a využívá nejrůznější techniky, jak se vyhnout odhalení.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo vyskočil FurBall.
- ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↑ FurBall – FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 48 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 46 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 45 % organizací.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Odstavení Emotetu mělo výrazný dopad i na český žebříček, který doznal řady změn. Na první příčku poskočil backdoor Qbot, který oproti lednu zdvojnásobil svůj dopad na tuzemské organizace. Na druhé a třetí pozici jsou dva škodlivé kódy, které ve světě neútočí tak výrazně jako v České republice. Bankovní trojan Zloader zasáhl přes 6 % českých společností a exploit kit RigEK více než 5 % firem. Naopak Trickbot, který je na čele celosvětového žebříčku, je v ČR až na 4. příčce.
| Top malwarové rodiny v České republice – únor 2020 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. | 2,94 % | 12,03 % |
| Zloader | Zloader navazuje na bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve webových prohlížečích a další citlivé informace od zákazníků bank a finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné transakce. | 0,71 % | 6,33 % |
| RigEK | RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. | 1,46 % | 5,38 % |
| Trickbot | Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. | 3,17 % | 3,80 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,08 % | 3,48 % |
| xHelper | Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. | 0,91 % | 1,58 % |
| FurBall | FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně. | 0,73 % | 0,95 % |
| Neshta | Neshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů. | 0,80 % | 0,95 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,33 % | 0,95 % |
| CpuMiner-Multi | CpuMiner-Multi je kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele nebo provádět jiné škodlivé aktivity. | 0,74 % | 0,95 % |
| Turla | Turla je backdoor zaměřený na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. | 0,83 % | 0,95 % |
| GuLoader | GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. | 0,47 % | 0,95 % |
| Arkei | Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. | 0,76 % | 0,95 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.