Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že nejrozšířenějším malwarem je znovu Trickbot a na vzestupu je i trojan pro vzdálený přístup njRAT
PRAHA – 20. října 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v září na čelo nejrozšířenějších malwarů vrátil Trickbot.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v září jí patřila 87. pozice. Slovensko stejně jako v srpnu i v září obsadilo 63. příčku. Na prvním, tedy nejnebezpečnějším, místě byla znovu Etiopie. Mezi méně bezpečné země se výrazně posunula Uruguay, které v srpnu patřila 91. pozice a v září 23. Naopak Rumunsko kleslo z 18. příčky na 44.
Trickbot je bankovní trojan, který dokáže krást finanční informace, přihlašovací údaje a osobní data a také se může šířit uvnitř sítě a spouštět ransomwarové útoky. Na popularitě získal zejména po lednovém odstavení Emotetu. Jeho schopnosti, funkce a možnosti šíření jsou neustále vylepšovány, takže je flexibilní a dobře využitelný v rámci víceúčelových kampaní. Mezi nejrozšířenější škodlivé kódy se poprvé dostal také trojan pro vzdálený přístup njRAT, který nahradil již neaktivní Phorpiex.
„Trickbot se sice stal opět nejrozšířenějším malwarem, ale v rámci amerického vyšetřování byl jeden ze členů Trickbot gangu zatčen,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vznesena byla i další obvinění, takže věříme, že dominance kybergangu bude oslabena. Ale jako vždy je před námi ještě dlouhá cesta. Navíc varujeme před meziročním nárůstem kyberútoků o více než 40 %. Většině útoků, ne-li všem, je možné zabránit, ale organizace nesmí otálet s implementací preventivních bezpečnostních řešení a technologií.“
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v září Trickbot, který měl dopad na 4 % organizací po celém světě. Na druhou příčku klesl FormBook s dopadem na 3 % společností. XMRig na třetím místě ovlivnil také 3 % podniků.
- ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↓ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↔ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 44 % organizací. Druhé místo obsadila zranitelnost „Command Injection Over HTTP“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ také s dopaden na 43 % organizací.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↑ Command Injection Over HTTP – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
- ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook lehce oslabil, naopak posílil, stejně jako v celosvětovém měřítku, Trickbot. Mezi nejrozšířenějšími škodlivými kódy se drží i kryptominer XMRig a v září byl velmi aktivní také bankovní trojan Dridex. Zajímavostí v českém žebříčku je také trojan Badur, který je jinak ve světě velmi nevýrazný.
| Top malwarové rodiny v České republice – září 2021 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 3,14 % | 4,58 % |
| Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. | 4,09 % | 4,58 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 2,87 % | 3,15 % |
| Dridex | Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. | 0,75 % | 3,15 % |
| Badur | Badur je trojan, který využívá bota herní platformy Steam, přidává lidi do přátel a odesílá jim zkrácený odkaz, který obsahuje malware maskovaný jako spořiče obrazovky. Po spuštění vytvoří backdoor, který umožní škodlivému programu proniknout do systému. Malware se snaží krást přihlašovací údaje do služby Steam a následně převzít kontrolu nad účtem. | 0,06 % | 2,29 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 2,59 % | 2,01 % |
| NanoCore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 0,88 % | 1,15 % |
| AZOrult | AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako je například RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. | 0,66 % | 0,86 % |
| Maze | Maze je ransomware objevený v polovině roku 2019 a byl prvním ransomwarem, který používal strategii dvojitého vydírání. Hackeři vytvořili speciální webovou stránku, kde začali zveřejňovat ukradená data obětí, které odmítly zaplatit výkupné. Tuto strategii následně začaly využívat i další kyberzločinecké skupiny. | 0,72 % | 0,86 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. | 2,20 % | 0,86 % |
| Asyncrat | Asyncrat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů. | 0,60 % | 0,86 % |
| njRAT | njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd. | 1,00 % | 0,86 % |
| Kryptik | Kryptik je trojan zaměřený na platformu Windows. Krade systémové informace a odesílá je na vzdálený server. V infikovaném systému může stahovat a spouštět další škodlivé soubory. | 0,44 % | 0,86 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.