Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies zaznamenal v květnu pád trojanu Dridex, který je používán například při ransomwarových útocích, současně došlo k vzestupu hrozby Trickbot
PRAHA – 25. června 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Trickbot vystřídal na čele žebříčku hrozeb trojan Dridex, který byl v posledních měsících jedním z nejoblíbenějších malwarů a souvisel s ním i celosvětový nárůst ransomwaru. Zatím není jasné, proč Dridex tak výrazně oslabil, ale podle posledních zpráv gang Evil Corp, který Dridex distribuoval, změnil svůj přístup, aby se vyhnul sankcím amerického ministerstva financí.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Oproti turbulentnímu dubnu tentokrát nedošlo k tak dramatickým změnám. Česká republika se posunula o pouhé 2 příčky na 72. pozici. Ovšem Slovensko v květnu poskočilo o 27 příček až na nebezpečnější 40. příčku. Na první místo se ze 2. pozice posunul Katar. Mezi bezpečnější země se nejvýrazněji, o 50 míst, posunula Nigérie, které v květnu patřila 66. pozice.
Botnet a bankovní trojan Trickbot dokáže krást finanční data, přihlašovací údaje, osobní informace a také se může šířit uvnitř sítě nebo spustit útok ransomwaru, zejména nechvalně známého ransomwaru Ryuk. Hackeři hrozbu neustále vyvíjí a aktualizují a rozšiřují i možnosti distribuce, takže je často využíván v rámci víceúčelových kampaní. Trickbot sílí zejména od lednového pádu botnetu Emotet. Americké ministerstvo spravedlnosti aktuálně obvinilo ženu z Lotyšska za podíl na vytvoření a šíření právě malwaru Trickbot.
„Hodně se mluví o ransomwarových útocích, ale ransomware není zdaleka jedinou hrozbou. Celkově vidíme obrovskou vlnu kyberútoků,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Je pozitivní, že v rámci boje proti Trickbotu byla vznesena první obvinění, ale ještě nás čeká dlouhá cesta v řešení tohoto problému. Organizace musí znát rizika a implementovat odpovídající řešení. Důležité je změnit přístup a útoky nejenom detekovat, ale především jim předcházet. Se správnými technologiemi lze zabránit většině útoků, a to i těm nejpokročilejším, aniž by došlo k narušení běžného chodu podniku.“
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v květnu Trickbot, který měl dopad na 8 % organizací po celém světě. Na druhou příčku se posunul XMRig s dopadem na 3 % společností a FormBook na třetím místě ovlivnil shodně 3 % podniků.
- ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ FormBook – FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval backdoor Triada a Android malware Hiddad.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.
- ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 48 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 47,5 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 46 % organizací.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Trickbot potvrdil svůj vzestup a také v ČR se stal nejrozšířenější hrozbou. Překvapivě jsou na čele žebříčku i škodlivé kódy, které ve světě patřily spíše k těm méně významným. Na druhé místo vyskočil bankovní trojan Zloader a na třetí se vyhoupl botnet Cutwail. Naopak dubnové číslo 1, backdoor Qbot, se tentokrát vůbec neprosadil.
| Top malwarové rodiny v České republice – květen 2021 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. | 8,28 % | 10,62 % |
| Zloader | Zloader navazuje na bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve webových prohlížečích a další citlivé informace od zákazníků bank a finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné transakce. | 0,66 % | 6,49 % |
| Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. | 0,17 % | 5,01 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 2,49 % | 3,54 % |
| Arkei | Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. | 0,93 % | 2,65 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,20 % | 2,06 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,59 % | 2,06 % |
| Dridex | Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. | 0,44 % | 1,47 % |
| sLoad | sLoad je PowerShell downloader, který nejčastěji šíří malware Ramnit a také sbírá informace o infikovaném systému. sLoad může také pořizovat snímky obrazovky a kontrolovat mezipaměť DNS pro konkrétní domény (např. cílové banky) nebo načítat externí binární soubory. | 0,23 % | 1,18 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. | 1,10 % | 1,18 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.