Trojan Emotet se v červnu odmlčel, ale je pravděpodobné, že se vrátí ještě nebezpečnější

24. 7. 2019. (redaktor: František Doupal, zdroj: Check Point)
Výzkumný tým společnosti Check Point potvrdil, že v současnosti největší fungující botnet Emotet byl odstaven a během většiny června nebyly zaznamenány žádné nové kampaně. Emotet patřil do Top 5 škodlivých kódů během první poloviny roku 2019 a byl distribuován v masivních spamových kampaních.

Výzkumníci společnosti Check Point se domnívají, že infrastruktura Emotetu by mohla být offline kvůli údržbě a upgradu a jakmile budou servery připravené a znovu spuštěné, vrátí se Emotet s novými, vylepšenými schopnostmi.

„Emotet byl od roku 2014 používán hlavně jako bankovní trojan. Ale od minulého roku sledujeme, že je využíván jako botnet v masivních spamových kampaních a slouží k distribuci dalších malwarů. A i když byla jeho infrastruktura po většinu června neaktivní, stále mu patřila 5. pozice v našem malwarovém indexu, což ukazuje rozsah jeho využití. Navíc je pravděpodobné, že se vrátí s novými funkcemi,“ řekl Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Jakmile je Emotet nainstalován na stroji oběti, může jej využít k dalšímu šíření prostřednictvím spamových kampaní nebo třeba ke stažení jiných škodlivých kódů (jako je Trickbot, který infikuje celou hostitelskou síť nechvalně známým ransomwarem Ryuk).“

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se sice znovu celkově umístila mezi bezpečnějšími zeměmi, ale posunula se o 30 míst mezi ty méně bezpečné na 110. příčku. V podobné situaci bylo i Slovensko, které poskočilo ze 126. pozice na 93. příčku. Na prvním místě se v Indexu hrozeb potřetí za sebou umístil Mosambik. Nejvýrazněji se mezi nebezpečné země posunul Nepál, který ze 138. místa poskočil až na 8. příčku. Výrazně se mezi nebezpečné země také posunula Jižní Korea, která poskočila o 91 míst až na 46. příčku.

Top 3 - malware:

V červnu dominovaly škodlivým kódům opět kryptominery. XMRig se posunul na první místo a ovlivnil 4 % organizací. Těsně následovaly JSEcoin a Cryptoloot, oba škodlivé kódy měly dopad na 3 % společností po celém světě.

  1. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. ↑ JSEcoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
  3. ↓ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v červnu opět hackerský nástroj Lotoor. Modulární backdoor Triada se posunul ze 3. pozici na 2. příčku a nově se do Top 3 dostal trojan Ztorg.

  1. ↔ Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  2. ↑ Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  3. ↑ Ztorg - Trojské koně z rodiny Ztorg získávají zvýšená oprávnění na zařízeních se systémem Android a instalují se do systémového adresáře. Malware je schopen instalovat do zařízení jakoukoliv jinou aplikaci.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 52 % organizací. Zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla na druhém místě dopad na 43 % společností a CVE-2015-8562 na třetím místě ovlivnila 41 % organizací po celém světě.

  1. ↔ SQL Injection (různé techniky) - Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. Joomla Object Injection Remote Command Execution (CVE-2015-8562) - Zranitelnost v platformách Joomla umožňující vzdálené spuštění příkazu. Zranitelnost je způsobena nedostatečným ověřováním vstupních objektů, což může vést ke vzdálenému spuštění kódu. Útočník tak může na dálku zneužít tuto zranitelnost odesláním škodlivého požadavku oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je nadále kryptominer Cryptoloot, ale jeho dopad ve světě i v ČR mírně klesl. V posledních měsících pozorujeme v oblasti malwaru v ČR větší vyrovnanost, není zde žádný jasně dominující škodlivý kód, jako jsme mohli vidět třeba na začátku letošního roku. První tři příčky sice zůstaly v červnu beze změny, ale druhá polovina žebříčku doznala výrazných změn a téměř kompletně se obměnila.

Štítky: 
Bezpečnost, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Kyberzločinci zneužívají nové zranitelnosti o 43 % rychleji než v 1. pololetí loňského roku

20. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Studie FortiGuard Labs Global Threat Landscape Report za 2. pololetí 2023 zdůrazňuje potřebu, aby dodavatelé dodržovali osvědčenou praxi ve zveřejňování zranitelností a aby podniky zlepšily kybernetickou hygienu a správu oprav softwaru. Čtěte více

Nová služba Acronis MDR přináší integrovanou obnovou po útoku a další možnosti

14. 5. 2024. (redaktor: František Doupal, zdroj: Acronis)
Nová služba Acronis Managed Detection and Response (MDR), dostupná poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud, umožňuje nabízet bezpečnostní monitoring, rychlou detekci, investigaci, eliminaci hrozeb, reakci na incidenty a nápravu kybernetických útoků na profesionální úrovni bez nutnosti udržovat kvalifikovaný tým a specializovanou sadu nástrojů. Čtěte více

Platby výkupného za ransomware vzrostly za poslední rok na pětinásobek

10. 5. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podle výroční zprávy State of Ransomware 2024 společnosti Sophos se průměrná výše výkupného za poslední rok zvýšila na pětinásobek. Organizace, které zaplatily výkupné, uvádějí průměrnou platbu ve výši dvou milionů dolarů, oproti 400 000 dolarů v průzkumu z roku 2023. Výkupné je ale pouze částí celkových nákladů. Čtěte více

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více