Výzkumný tým Check Point Research upozorňuje na prudký nárůst zneužití zranitelnosti „Command Injection Over HTTP“, která měla dopad na 33 % organizací po celém světě
PRAHA – 3. února 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým upozorňuje, že Emotet byl třetí měsíc za sebou hlavní malwarovou hrozbou a šířil se pomocí celé řady spamových kampaní, včetně e-mailů zaměřených na Gretu Thunberg a vánoční tématiku. E-maily v obou kampaních obsahovaly škodlivý dokument Microsoft Word, který se po otevření pokusil stáhnout Emotet do počítače oběti. Emotet se primárně používá k ransomwarovým útokům a dalším škodlivým kampaním.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi méně bezpečné země a patřila jí 69. příčka, což je posun o 18 míst oproti listopadové 87. pozici. Slovensko se naopak posunulo opačným směrem a poskočilo z 59. pozice na 75. příčku. Na první místo se v Indexu hrozeb posunula Čína. Ze třetí příčky na druhou se posunulo Mongolsko a Bývalá jugoslávská republika Makedonie obsadila 3. místo. Výrazný posun mezi nebezpečnější země zaznamenala Nikaragua s posunem o 42 míst na 5. pozici. Opačným směrem, tedy mezi bezpečnější země, klesly Bermudy (z 1. listopadového místa na prosincové 31.).
V prosinci došlo také k významnému nárůstu pokusů o zneužití zranitelnosti „Command Injection Over HTTP“, která měla dopad na 33 % organizací po celém světě. Zranitelnost se posunula z listopadové 5. pozice až na čelo nejčastěji zneužívaných zranitelností. V případě úspěšného zneužití bylo možné zařízení využít jako součást DDoS botnetu. Škodlivý soubor používaný při útoku obsahoval řadu odkazů na zneužitelné zranitelnosti v IoT zařízeních od různých výrobců, včetně D-Link, Huawei a RealTek, s cílem využít tato zařízení jako součást botnetů.
„Během uplynulých tří měsíců patřily mezi nejčastější hrozby všestranné a víceúčelové škodlivé kódy, jako jsou Emotet a xHelper. Kyberzločincům totiž poskytují více možností, jak útoky zpeněžit, protože je lze použít k distribuci ransomwaru nebo k šíření dalších spamových kampaní,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Cílem zločinců je infikovat co největší počet organizací a zařízení, aby následné útoky byly ještě lukrativnější a škodlivější. Je proto důležité, aby organizace vzdělávaly své zaměstnance a informovaly je o rizicích otevírání e-mailových příloh, stahování souborů nebo klikání na odkazy, které nepocházejí z důvěryhodných zdrojů.“
Top 3 – malware:
Emotet zůstal nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 13 % organizací po celém světě. XMRig na druhém místě ovlivnil 7 % společností, stejně jako Trickbot na třetím místě.
- ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↔ Trickbot – Trickbot je bankovní trojan, který je neustále aktualizován a rozšiřován o nové funkce, schopnosti a distribuční vektory, což umožňuje jeho flexibilitu a distribuci v rámci víceúčelových kampaní.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v prosinci znovu xHelper. Na druhé příčce zůstal malware Guerrilla a na třetí místo vystoupal malware Hiddad.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
- ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost Command Injection Over HTTP s dopadem na 33 % organizací. Následovala zranitelnost MVPower DVR Remote Code Execution, která měla na dopad na 32 % společností. Zranitelnost Web Server Exposed Git Repository Information Disclosure na třetím místě ovlivnila 29 % organizací.
- ↑ Command Injection Over HTTP – Zranitelnost Command Injection over HTTP může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval trojan Ursnif, který se šířil ve spamové kampani zaměřené na Českou republiku a měl dopad na téměř 18 % tuzemských společností. Spam obsahoval i částečně lokalizovaný předmět e-mailu a šířil škodlivý soubor „Dôvodová správa c.1 (####-####).doc“(místo znaků # byly číslice). Výrazně útočil na české organizace opět Emotet, který ovlivnil více než 16 % společností, o jeho nebezpečnosti jsme se mohli přesvědčit při útocích například na nemocnici v Benešově nebo na OKD.
| Top malwarové rodiny v České republice – prosinec 2019 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Ursnif | Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. | 0,79 % | 17,98 % |
| Emotet | Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. | 12,60 % | 16,10 % |
| Trickbot | Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii. | 6,98 % | 9,36 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 7,44 % | 8,24 % |
| xHelper | Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. | 1,92 % | 3,00 % |
| Rig EK | Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. | 2,82 % | 2,25 % |
| Fraud | Trojan, který může upravovat například systémové soubory. | 0,19 % | 2,25 % |
| GhOst | Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. | 0,52 % | 2,25 % |
| Jaktinier | Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. | 0,51 % | 2,25 % |
| Tofsee | Tofsee je trickler, který cílí na platformu Windows. Tento malware se pokouší stáhnout a spustit další škodlivé soubory v cílových systémech. Může stáhnout a zobrazit uživateli obrázek ve snaze skrýt skutečný účel. | 0,68 % | 2,25 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.