V březnu řádily bankovní trojany Dridex a IcedID, Česko se posunulo mezi bezpečnější země, Slovensko poskočilo opačným směrem

Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje, že bankovní trojany Dridex a IcedID patřily v březnu k nejrozšířenějším hrozbám. IcedID lákal oběti na koronavirové informace.

PRAHA – 26. dubna 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Upozorňuje, že bankovní trojan IcedID se poprvé zařadil mezi hlavní hrozby útočící na podnikové sítě a na čele žebříčku doplnil další bankovní trojan Dridex.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v uplynulých měsících řadila k nebezpečnějším zemím, ale v březnu se výrazně posunula mezi bezpečnější státy, a to o 35 příček na 87. pozici. Naopak Slovensko zažívá opačný trend a posunulo se mezi méně bezpečné země, z únorové 64. pozice na 44. příčku. Na prvním místě v Indexu hrozeb skončil nově Uzbekistán. Březen byl celkově poměrně turbulentním měsícem a žebříček se výrazně měnil. Například až na druhé místo poskočilo o 47 míst Pobřeží slonoviny, Kambodža se posunula o 78 příček na nebezpečnou 17. pozici a podobně se Bahrajn o 75 míst vyhoupl na nebezpečné 12. místo. Naopak mezi bezpečnější státy se přesunula například Kolumbie, které v únoru patřila 7. pozice a v březnu až 81. místo, stejně tak Čína (ze 17. příčky na 92.).

Bankovní trojan IcedID byl poprvé detekován v roce 2017. V březnu 2021 se šířil prostřednictvím spamových kampaní a zasáhl 11 % organizací po celém světě. Jedna z kampaní využívala k nalákání obětí koronavirové motivy. Většinou se útočníci snažili, aby uživatel otevřel škodlivou e-mailovou přílohu – wordový dokument se škodlivým makrem, který nainstaloval trojan IcedID. Malware se následně snažil z počítače ukrást údaje o účtu, přihlašovací údaje k bankovnictví a další citlivé informace. IcedID také používá k šíření další malware a je využíván v infekční fázi při ransomwarových útocích.

„IcedID není novou hrozbou, ale v poslední době ho hackeři využívají velmi aktivně. Ukazuje se, že kyberzločinci i nadále přizpůsobují své techniky a snaží se zneužívat koronavirou pandemii,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point. „IcedID je velmi rafinovaný trojan, který se umí maskovat před odhalením a zároveň krade finanční data. Organizace musí využívat komplexní bezpečnostní systémy, které zastaví hrozby už v předinfekční fázi. Důležité je také vzdělávat zaměstnance, aby poznali případné škodlivé e-maily a další triky zločinců.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v březnu Dridex. Dopad měl na více než 16 % organizací po celém světě. Na druhou příčku se posunul bankovní trojan IcedID s dopadem na 11 % společností a Lokibot na třetím místě ovlivnil 9 % podniků.

  1. ↑ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
  2. IcedID – IcedID je bankovní trojan, který k šíření používá spamové kampaně a využívá k maskování a krádežím finančních dat řadu technik, například process injection nebo steganography.
  3. ↑ Lokibot – Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a na třetím FurBall.

  1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↔ FurBall – FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45 % organizací. Druhé místo obsadila zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 44 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ také s dopaden na 44 % organizací.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  2. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. I když backdoor Qbot nepatří celosvětově mezi nejrozšířenější škodlivé kódy, v České republice vládne už druhý měsíc za sebou. Trickbot v březnu útočil ještě aktivněji než v únoru, takže se posunul na druhou příčku. Naopak Zloader, únorové číslo 2, v březnu vypadl z čela žebříčku, podobně jako trojka RigEK nebo šestka xHelper. Nově se ale mezi nejagresivnější hrozby dostal bankovní trojan IcedID, i když jeho aktivita v České republice zaostává za celosvětovým průměrem, podobně jako u dalšího bankovního trojanu Dridex. Novinkou v českém žebříčku je kromě IcedID také botnet Cutwail.

Top malwarové rodiny v České republice – březen 2020
Malwarová rodinaPopisDopad ve světěDopad v ČR
QbotQbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.6,53 %10,89 %
TrickbotTrickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.4,04 %5,73 %
IcedIDIcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem).11,18 %3,72 %
DridexBankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.16,40 %3,72 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.3,28 %3,44 %
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.2,95 %2,01 %
CutwailBotnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.0,12 %1,43 %
ArkeiArkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám.0,92 %1,43 %
AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.6,83 %1,15 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.