Česká republika se dále posouvá mezi nebezpečné země

3. 1. 2023. (redaktor: František Doupal, zdroj: Check Point)
Výzkumný tým společnostiCheck Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v listopadu vrátil agresivní trojan Emotet, který je jedním z nejnebezpečnějších malwarů. V červenci svoje aktivity nečekaně utlumil, ale v listopadu se vrátil ve velkém stylu a hned byl druhým nejrozšířenějším malwarem.

Emotet byl původně bankovní trojan, ale vzhledem k jeho všestrannosti se postupně vyvinul v distributora dalších malwarů a je efektivně používán i v kombinaci s ransomwarem. Běžně se šíří prostřednictvím phishingových kampaní a k opětovnému vzestupu mohly přispět i malspamové kampaně, které byly určené k distribuci bankovního trojanu IcedID.

Poprvé od července 2021 se na třetí místo žebříčku nejčastějších malwarů dostal trojan Qbot, který krade bankovní přihlašovací údaje a sleduje stisknuté klávesy.

„Qbot je používán k finančně motivovaným útokům. Umožňuje krást finanční data, bankovní přihlašovací údaje a informace z webových prohlížečů. Jakmile Qbot infikuje systém, hackeři nainstalují backdoor, který umožňuje ransomwarové útoky a kyberzločinci mohou použít taktiku dvojitého vydírání, protože kromě zašifrovaných dat vyhrožují zveřejněním ukradených finančních informací. V listopadu využil Qbot zero-day zranitelnost v systému Windows, která útočníkům poskytla plný přístup k infikovaným sítím, řekl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu znovu posunula mezi méně bezpečné země a patřila jí celosvětově 30. pozice. Naopak Slovensko se posunulo o devět míst směrem k bezpečnějším zemím na aktuálně 68. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu AgentTesla, který měl v globálním měřítku dopad na 6 % organizací. Na druhou příčku se posunul Emotet a na třetí Qbot.

  1. ↔ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
  2. ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  3. ↑ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hydra a AlienBot.

  1. Anubis –bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. ↔ Hydra –bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
  3. AlienBot –malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí, a nakonec zcela ovládne infikované zařízení.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 46 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 45 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 % organizací.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  2. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zcela dominoval malware zaměřený na krádeže hesel, přihlašovacích údajů a dalších cenných informací. Na čele českého žebříčku se nadále drží zlodějský malware SnakeKeylogger, který ještě posílil a v listopadu ohrožoval 16 % organizací. Výrazně přibylo i útoků malwaru AgentTesla, který krade hesla a sleduje stisknuté klávesy. Top 3 uzavírá FormBook, který hackerům umožňuje také krást data.

Top malwarové rodiny v České republice – listopad 2022

SnakeKeylogger (dopad ve světě 3,15 %, dopad v ČR 16,05 %)

Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.

AgentTesla (dopad ve světě 5,89 %, dopad v ČR 12,89 %)

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

FormBook (dopad ve světě 2,63 %, dopad v ČR 6,59 %)

FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

Emotet (dopad ve světě 4,44 %, dopad v ČR 6,59 %)

Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.

Qbot (dopad ve světě 4,34 %, dopad v ČR 4,01 %)

Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.

Remcos (dopad ve světě 1,01 %, dopad v ČR 3,15 %)

Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

XMRig (dopad ve světě 3,13 %, dopad v ČR 2,29 %)

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Esfury (dopad ve světě 1,17 %, dopad v ČR 1,72 %)

Esfury je červ, který umožňuje další útoky na napadený systém. Šíří se prostřednictvím vyměnitelných nebo síťových disků. Jakmile se Esfury dostane do počítače, připojí se ke vzdálené webové stránce a získává odtamtud příkazy. Esfury také změní výchozí stránku internetového prohlížeče a upraví nastavení systému. Navíc může změnit i řadu bezpečnostních nastavení a ukončit nebo zablokovat přístup k velkému počtu procesů. Esfury může přesměrovat vyhledávání na konkrétní reklamní webové stránky, jinak ovlivňovat prohlížení internetu nebo snížit rychlost sítě.

Crackonosh (dopad ve světě 0,66 %, dopad v ČR 1,43 %)

Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.

Štítky: 
Bezpečnost, Malware, Ransomware, Phishing, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více