Kyberzločinci oprašují staré triky

11. 6. 2019. (redaktor: František Doupal, zdroj: Check Point)
Check Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého se bankovní trojan Trickbot poprvé po téměř dvou letech vrátil do Top 10 škodlivých kódů použitých k útokům na podnikové sítě. Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 19 míst mezi bezpečnější země a v dubnu jí patřila 140. příčka. Slovensko se také drží mezi bezpečnějšími zeměmi (132. místo).

Na prvním místě se v Indexu hrozeb umístil nově Mosambik. Ostrov Man se v březnu posunul z 31. pozice na 147. příčku a jednalo se o největší pohyb mezi bezpečnější země, naopak v dubnu se ostrov Man zase rekordně vyhoupl o 107 míst zpět mezi méně bezpečné země. Výrazně se mezi nebezpečné země zapsal také Irák, který poskočil o 70 míst až na 42. příčku. Černá Hora se oproti tomu z březnové 36. pozice dostala na bezpečnější 119. místo.

Víceúčelové bankovní trojany, jako je Trickbot, jsou oblíbeným nástrojem kyberzločinců, kteří touží po finančním zisku. Vzestup Trickbot kampaní je spojený s termínem amerického daňového přiznání. Spamová kampaň šíří excelový soubor, které stáhne Trickbot do počítače oběti a šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.

Zatímco tři nejčastější varianty malwaru, používané v dubnu k útokům na podnikové sítě, byly kryptominery, zbylých sedm škodlivých kódů v Top 10 byly víceúčelové trojany. Ukazuje to posun v taktice, kterou zločinci využívají k maximalizaci svých finančních zisků z kampaní po zavření několika populárních služeb těžících kryptoměny a po poklesu hodnot kryptoměn v uplynulém roce.

„V dubnu se do Top 10 dostaly škodlivé kódy Trickbot a Emotet. Špatnou zprávou to je nejenom kvůli tomu, že jsou oba botnety využívány ke krádežím soukromých dat a přihlašovacích údajů, ale také protože šíří ransomware Ryuk. Ryuk se zaměřuje na aktiva, jako jsou databáze a záložní servery, a požaduje výkupné ve výši až přes milion dolarů. Jelikož se tyto škodlivé kódy neustále mění a vyvíjí, je důležité mít robustní ochranu s pokročilou prevencí hrozeb,“ řekl Daniel Šafář, country manager regionu CZR ve společnosti Check Point.

Top 3 - malware:

  1. Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
  1. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. ↑ Jsecoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu modulární backdoor Triada. Na druhém místě zůstal hackerský nástroj Lotoor a malware Hiddad klesl na třetí příčku.

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  2. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. Hiddad - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla celosvětově dopad na 44 % organizací. Poprvé po 12 měsících klesla zranitelnost Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow z první příčky na druhou pozici, dopad měla na 40 % organizací po celém světě. Zranitelnost Apache Struts2 Content-Type Remote Code Execution na třetím místě ovlivnila také 38 % společností.

Top 3 - zranitelnosti:

  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  2. ↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  1. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul z březnové páté příčky kryptominer Cryptoloot. Naopak kryptominer JSEcoin klesl z pozice jedničky na třetí míst, přitom v březnu zcela dominoval a měl dopad na téměř 38 % českých společností. Kryptominery sice podobně jako ve světě ovládly přední příčky, ale oproti předchozím měsícům jejich pozice slábne a do žebříčku významně pronikají další hrozby.

Štítky: 
Malware, Bezpečnost, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Česko bylo v květnu terčem organizovaného spamového útoku

18. 6. 2025. (redaktor: František Doupal, zdroj: Eset)
Do popředí pravidelné statistiky malwaru pro operační systém Windows v Česku se v květnu vyšplhaly tři škodlivé kódy, které podle bezpečnostních expertů útočníci využili v organizovaném spamovém útoku na české uživatele a uživatelky. Cílem útočníků bylo pravděpodobně podpořit šíření infostealeru Formbook, který je využívaný ke krádežím přihlašovacích údajů, především hesel. Čtěte více

Hrozby pro Android: V dubnu se nejvíce šířil adware maskovaný za kultovní hry

29. 5. 2025. (redaktor: František Doupal, zdroj: Eset)
Na základě dat z dubnové statistiky nejčastějších kybernetických hrozeb společnosti Eset pro platformu Android jsou v zemích EU mezi útočníky opět nejvíce oblíbené populární mobilní hry, které šíří adware. Jak ale bezpečnostní experti upozorňují, i přes pokles v počtu detekcí se nadále budeme setkávat s falešnými verzemi jinak placených služeb, které útočníci nabízejí zdarma. Čtěte více

Nedostatky na perimetru sítě oslabují kybernetickou odolnost

23. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Podle studie Threat Report: Cybercrime on Main Street 2025 společnosti Sophos zůstává ransomware největší hrozbou, zejména pro malé a středně velké podniky. V současné chvíli ransomware těží především ze zastaralých nebo špatně nakonfigurovaných síťových zařízení, která jsou pro kyberzločince hlavní vstupní branou. Čtěte více

Nejoblíbenější zbraní kyberútočníků byl v Česku v únoru infostealer Agent.AES

19. 3. 2025. (redaktor: František Doupal, zdroj: Eset)
Nejčastějším škodlivým kódem pro platformu Windows v Česku byl v únoru infostealer Agent.AES (známý také jako Snake Keylogger). Bezpečnostní experti jej detekovali ve čtvrtině všech zachycených případů. Tento malware zaznamenává stisky kláves na klávesnici napadeného počítače a stejně jako řada dalších infostealerů dokáže odcizit například přihlašovací údaje, hesla a uživatelská data. Čtěte více