Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že zlodějský malware FormBook je nejrozšířenějším malwarem, naopak bankovní trojan Qbot vypadl z Top 10
PRAHA – 21. září 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v srpnu nejrozšířenějším malwarem FormBook.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží na bezpečnější 80. pozici, Slovensko v srpnu také nezaznamenalo výraznější posun a patřila mu 63. příčka. Na první místo se posunula Etiopie, která se v posledních měsících drží dlouhodobě mezi nejnebezpečnějšími zeměmi. Mezi méně bezpečné země se posunula Nigérie, které v červenci patřila 83. pozice a v srpnu 23., a Bahrajn, který z 81. příčky vyskočil až na 32. místo.
Bankovní trojan Qbot patřil řadu měsíců mezi nejrozšířenější škodlivé kódy, ale jeho provozovatelé přes léto nebyli aktivní, takže vypadl z Top 10. Naopak trojan pro vzdálený přístup Remcos se vyhoupl až na 6. příčku a letos se do Top 10 dostal vůbec poprvé.
FormBook byl poprvé odhalen v roce 2016 a jedná se o zlodějský malware, který krade přihlašovací údaje z webových prohlížečů, pořizuje snímky obrazovky, sleduje stisknuté klávesy a může stahovat a spouštět soubory na základě příkazů z řídícího a velícího (C&C) serveru. FormBook byl nyní distribuován také prostřednictvím kampaní s koronavirovou tématikou a pomocí phishingových e-mailů. Check Point v červenci informoval, že nový kmen nazvaný XLoader cílí na uživatele systému MacOS.
„FormBook využívá řadu triků a technik, jak se vyhnout odhalení,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Obvykle se šíří prostřednictvím phishingových e-mailů a příloh, takže nejlepší způsob, jak zabránit infekci, je pečlivě sledovat všechny e-maily, které vypadají podezřele nebo pocházejí od neznámých odesílatelů.“
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl dopad na 4,5 % organizací po celém světě. Na druhou příčku klesl Trickbot s dopadem na 4 % společností, AgentTesla na třetím místě ovlivnil 3 % podniků.
- ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass“ s dopaden na 40 % organizací.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware Snake Keylogger po raketovém vzestupu v červenci v srpnu vypadl z Top 10. Na první příčku se tak posunul FormBook, další škodlivý kód zaměřený na krádeže dat a přihlašovacích údajů. Na české organizace také útočí poměrně výrazně spyware Joker, který v minulosti opakovaně pronikl na Google Play.
| Top malwarové rodiny v České republice – srpen 2021 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 4,45 % | 6,28 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 2,79 % | 3,83 % |
| Joker | Android spyware, který krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc nepozorovaně přihlásí oběť k prémiovým službám na reklamních webových stránkách. | 0,18 % | 3,01 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 2,54 % | 2,73 % |
| Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. | 4,21 % | 2,73 % |
| AsyncRat | Asyncrat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů. | 0,57 % | 1,37 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. | 2,07 % | 1,09 % |
| Nanocore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 1,03 % | 1,09 % |
| Kryptik | Kryptik je trojan zaměřený na platformu Windows. Krade systémové informace a odesílá je na vzdálený server. V infikovaném systému může stahovat a spouštět další škodlivé soubory. | 0,34 % | 0,82 % |
| Neshta | Neshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů. | 0,72 % | 0,82 % |
| Glupteba | Glupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet. | 2,18 % | 0,82 % |
| Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. | 0,17 % | 0,82 % |
| Scrinject | Scrinject je trojan, který útočníkům umožňuje vzdálený přístup k infikovanému systému. | 0,61 % | 0,82 % |
| sLoad | sLoad je PowerShell downloader, který nejčastěji šíří malware Ramnit a také sbírá informace o infikovaném systému. sLoad může také pořizovat snímky obrazovky a kontrolovat mezipaměť DNS pro konkrétní domény (např. cílové banky) nebo načítat externí binární soubory. | 0,41 % | 0,82 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.