Emotet padl, malwaru nyní kraluje Trickbot

Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje, že trojan Emotet byl v lednu sice odstaven v důsledku mezinárodní policejní operace, ale volný trůn převzal bankovní trojan Trickbot

PRAHA – 17. března 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Na čelo žebříčku se po pádu Emotetu dostal poprvé trojan Trickbot, který byl v minulosti spojován mimo jiné právě s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce posunula směrem k bezpečnějším místům, o 17 příček na 52. pozici. Slovensko se naopak mírně posunulo mezi méně bezpečné státy, přesto mu v únoru patřila až 64. pozice. Na prvním místě v Indexu hrozeb skončila nově Srí Lanka. Druhé místo mezi nejméně bezpečnými státy patří Bhútánu a na třetí příčku poskočil o 15 míst Uzbekistán. Pro Kolumbii nebyl únor dobrým měsícem, ze 45. místa se dostala až na 7. příčku, a vůbec nejvýrazněji, o 39 míst, se posunulo Norsko, kterému v února patřila 46. pozice. Naopak mezi bezpečnější státy nejvíce poskočila Nigérie, které v lednu patřila 14. pozice a v únoru až 69. místo.

Check Point upozorňuje, že po lednovém odstavení botnetu Emotet používají kyberzločinecké skupiny nové techniky a škodlivé kódy, jako je Trickbot. V průběhu února byl Trickbot šířen prostřednictvím spamových kampaní zaměřených na právnické a pojišťovací organizace. Útočníci se snažili přimět uživatele, aby stáhli do svých počítačů soubor ve formátu .zip, který obsahoval škodlivý JavaScript soubor. Jakmile uživatel soubor otevře, dojde k pokusu o stažení dalšího škodlivého obsahu ze vzdáleného serveru.

Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 % organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS), předního poskytovatele zdravotní péče v USA. UHS bylo obětí ransomwarového útoku Ryuk a ušlé zisky a náklady v souvislosti s útokem se vyšplhaly až na 67 milionů dolarů. Trickbot byl použit ke krádeži dat ze systémů UHS a také k následnému infikování systému ransomwarem.

„Zločinci budou i nadále využívat existující hrozby a nástroje a Trickbot je populární vzhledem ke své všestrannosti. Navíc se osvědčil při předchozích útocích,“ říká Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point. „Jak jsme předpokládali, i když byla odstraněna jedna velká hrozba, neznamená to, že by organizace měly polevit ve své ochraně, protože další nebezpečné hrozby číhají na svou šanci.“

Top 3 – malware:

Pád Emotetu využil bankovní trojan Trickbot, který se posunul na první místo v žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě. Dopad měl na více než 3 % organizací po celém světě. Následovaly škodlivé kódy XMRig a Qbot, které ovlivnily shodně 3 % společností.

  1. Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3. ↑ Qbot – Qbot je bankovní trojan, který byl poprvé detekován v roce 2008 a jehož cílem jsou krádeže bankovních přihlašovacích údajů a špehování stisknutých kláves. Qbot se většinou šíří nevyžádanými e-maily a využívá nejrůznější techniky, jak se vyhnout odhalení.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo vyskočil FurBall.

  1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↑ FurBall – FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 48 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 46 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 45 % organizací.

  1. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Odstavení Emotetu mělo výrazný dopad i na český žebříček, který doznal řady změn. Na první příčku poskočil backdoor Qbot, který oproti lednu zdvojnásobil svůj dopad na tuzemské organizace. Na druhé a třetí pozici jsou dva škodlivé kódy, které ve světě neútočí tak výrazně jako v České republice. Bankovní trojan Zloader zasáhl přes 6 % českých společností a exploit kit RigEK více než 5 % firem. Naopak Trickbot, který je na čele celosvětového žebříčku, je v ČR až na 4. příčce. 

Top malwarové rodiny v České republice – únor 2020
Malwarová rodinaPopisDopad ve světěDopad v ČR
QbotQbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.2,94 %12,03 %
ZloaderZloader navazuje na bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve webových prohlížečích a další citlivé informace od zákazníků bank a finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné transakce.0,71 %6,33 %
RigEKRigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.1,46 %5,38 %
TrickbotTrickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.3,17 %3,80 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.3,08 %3,48 %
xHelperŠkodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.0,91 %1,58 %
FurBallFurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.0,73 %0,95 %
NeshtaNeshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů.0,80 %0,95 %
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.2,33 %0,95 %
CpuMiner-MultiCpuMiner-Multi je kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele nebo provádět jiné škodlivé aktivity.0,74 %0,95 %
TurlaTurla je backdoor zaměřený na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač.0,83 %0,95 %
GuLoaderGuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.0,47 %0,95 %
ArkeiArkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám.0,76 %0,95 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.