České organizace nejčastěji ohrožuje zlodějský malware FormBook

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že celosvětově nejrozšířenějším malwarem je znovu Trickbot, na sedmou příčku vyskočil Emotet a nejčastějším terčem hackerů byly nadále vzdělávací a výzkumné společnosti

PRAHA – 29. prosince 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého zůstal v listopadu nejrozšířenějším malwarem modulární botnet a bankovní trojan Trickbot. Znovuoživený Emotet vyskočil na sedmou pozici.

Výzkumný tým také upozorňuje, že největšímu množství kyberútoků čelily v listopadu opět vzdělávací a výzkumné organizace, následovaly komunikační společnosti a Top 3 uzavírá vládní a vojenský sektor. Například ve východní Evropě byly terčem především konzultační společnosti.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v listopadu jí patřila 84. pozice, což je minimální posun oproti říjnové 82. příčce. Slovensko se lehce, o 6 míst, posunulo mezi méně bezpečné země na 56. pozici. Na prvním, tedy nejnebezpečnějším, místě se umístil Mauricius. Mezi méně bezpečné země se nejvýrazněji posunula Kambodža, které v říjnu patřila 110. pozice a v listopadu 21., a také Ruská federace, z 68. příčky na 28. Naopak Uganda klesla z 12. příčky na 51.

Přestože byl na začátku roku Emotet odstaven v důsledku rozsáhlé mezinárodní policejní operace, v listopadu se opět objevil na scéně a hned se stal sedmým nejpoužívanějším malwarem. Žebříček ovládl pošesté Trickbot, který stojí právě i za rychlým vzestupem Emotetu, kterému propůjčuje svou infrastrukturu.

Emotet se šíří prostřednictvím phishingových e-mailů s nebezpečnými soubory formátu Word, Excel nebo Zip. E-maily se snaží nalákat na žhavá témata, jako jsou aktuální události, faktury nebo falešné firemní informace. V poslední době se Emotet začal šířit také prostřednictvím škodlivých balíčků Windows App Installer, které se vydávají za software Adobe.

„Emotet je jedním z nejúspěšnějších botnetů v historii a je zodpovědný za vzestup cílených ransomwarových útoků v posledních letech,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Listopadový návrat botnetu Emotet je znepokojivý, protože může vést k dalšímu nárůstu ransomwaru. Emotet získal velmi rychle silnou pozici, protože využívá infrastrukturu Trickbotu. Šíří se hlavně prostřednictvím phishingových e-mailů se škodlivými přílohami, takže je zásadní, aby organizace vzdělávaly své zaměstnance a naučily je rozpoznat kybernetické hrozby. A pokud si chce stáhnout software Adobe, měli byste jako v případě jiných aplikací využívat pouze oficiální cesty.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu Trickbot, který měl dopad na 5 % organizací po celém světě. Na druhou příčku se posunul Agent Tesla s dopadem na 4 % společností. FormBook na třetím místě ovlivnil také 4 % podniků.

  1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  2. ↑ Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
  3. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově AlienBot. xHelper klesl na druhou příčku, a naopak FluBot vysokočil do Top 3.

  1. ↑ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  2. ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 44 % organizací, což je významný propad oproti říjnovým 60 %. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 43,7 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 % organizací.

  1. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Na různých webových serverech existuje „directory traversal“ zranitelnost, jejíž úspěšné zneužití umožňuje neověřeným vzdáleným útočníkům zveřejnit nebo získat přístup k libovolným souborům na zranitelném serveru.
  2. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vyskočil zlodějský malware FormBook, který oproti říjnu zvýšil svou aktivitu o 630 %. FormBook nejčastěji útočil na komunikační společnosti a vládní a vojenský sektor. Celkově měl dopad na více než 10 % českých podnikových sítí. Nebezpečnost zlodějských škodlivých kódů potvrzují i na druhém a třetím místě Agent Tesla a LokiBot. Celkově listopad přinesl vzestup nových hrozeb a z říjnového Top 10 zbyly v žebříčku jen 3 škodlivé kódy. 

Top malwarové rodiny v České republice – listopad 2021
Malwarová rodinaPopisDopad ve světěDopad v ČR
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.3,61 %10,28 %
Agent TeslaAgent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.3,82 %4,44 %
LokiBotLokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce.0,80 %2,78 %
TrickbotTrickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace. Poslední fází je ransomwarový útok na celou společnost.4,52 %2,50 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.2,13 %1,94 %
EmotetEmotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.1,72 %1,39 %
StrratStrrat je RAT (trojan pro vzdálenou správu), který může sledovat stisknuté klávesy, krást přihlašovací údaje uložené v prohlížečích a vzdáleně ovládat infikované počítače s operačním systémem Windows.0,36 %1,39 %
GluptebaGlupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet.2,31 %1,11 %
NetWiredRCNetWiredRC je backdoor schopný získat systémové informace a krást přihlašovací údaje.0,19 %0,83 %
ValyriaValyria je backdoor zaměřený na platformu Windows. Použit byl k cíleným útokům v několika asijských zemích a má podobnost s kampaní „MuddyWater“. Valyria se do infikovaného systému dostane pomocí dokumentu Microsoft Word s povolenými makry a načte se a spustí pomocí VB skriptu. Malware může krást systémové informace a odesílat je na vzdálený server. Může také spouštět příkazy, jako je restartování/ čištění systému, pořizovat snímky obrazovky a odesílat zašifrované informace na řídicí server. Valyria také dokáže spustit libovolný příkaz PowerShell a odeslat výsledek spuštění zpět na vzdálený řídicí server. Kromě toho používá řadu technik, jak zůstat na infikovaném systému co nejdelší dobu bez povšimnutí.0,41 %0,83 %
AZORultAZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.0,54 %0,83 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.