Botnet Mirai zneužívající IoT zařízení se dále šíří

10. 4. 2020. (redaktor: František Doupal, zdroj: Check Point)
Výzkumný tým společnosti Check Point upozornil, že v únoru došlo k významnému nárůstu zneužití zranitelnosti, která pomáhá šířit botnet Mirai. Mirai infikuje IoT zařízení a lze jej použít k masivním DDoS útokům. Zranitelnost byla 6. nejvíce zneužívanou a dopad měla na 20 % organizací po celém světě, zatímco v lednu to byla jen dvě procenta.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula mezi bezpečnější země a patřila jí 93. příčka, což je posun o 4 místa oproti lednové 89. pozici. Slovensko se naopak drží mezi nebezpečnějšími zeměmi na 44. pozici, jedná se jen o mírný posun oproti lednové 47. příčce. Na první místo se v Indexu hrozeb posunul ze 2. pozice Myanmar. Mezi nebezpečnější země se výrazně posunuly Černá Hora (o více než 41 míst na 10. pozici) a Kambodža (posun o 42 příček na 12. místo).

Výzkumný tým také varuje organizace, že Emotet, v únoru druhý nejoblíbenější malware a nejrozšířenější aktivní botnet, se šířil především dvěma kanály. Phishingová SMS (smishingová) kampaň se zaměřila na uživatele v USA, kde se SMS zprávy maskovaly jako zprávy od oblíbených bank a lákaly oběti ke kliknutí na škodlivý odkaz, který by do zařízení stáhl Emotet. Emotet pro šíření také zneužíval Wi-Fi a snažil se proniknout do dostupných sítí hrubou silou pomocí běžně používaných Wi-Fi hesel. Emotet se primárně používá pro distribuci ransomwaru nebo jiných škodlivých kampaní.

Emotet měl v únoru dopad na 7 % organizací po celém světě, oproti 13 % v lednu, kdy se šířil prostřednictvím spamových kampaní, včetně kampaní s koronavirovou tématikou. Ukazuje se, jak rychle kyberzločinci reagují na aktuální situaci a mění témata útoků, aby útoky byly co nejúspěšnější.

„Podobně jako v lednu představovaly i v únoru hrozby s největším dopadem univerzální škodlivé kódy, jako jsou XMRig a Emotet. Zločinci se, zdá se, snaží vytvořit co největší sítě infikovaných zařízení, která pak mohou zneužívat například k ransomwarovým nebo DDoS útokům,“ uvedl Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Pro šíření těchto hrozeb jsou používány hlavně e-maily a SMS zprávy, takže by organizace měly znovu proškolit zaměstnance a naučit je identifikovat různé typy nebezpečného spamu. Zároveň je potřeba používat pokročilá bezpečnostní řešení, která zabrání hrozbám proniknout do sítě.“

Top 3 – malware:

XMRig se stal v únoru nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 7 % organizací po celém světě. Emotet na druhém místě ovlivnil 6 % společností a JSEcoin na třetím místě 5 %.

  1. XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím phishingového spamu, který obsahuje škodlivé přílohy nebo odkazy.
  3. JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v únoru znovu xHelper. Na druhou příčku se posunul malware Hiddad a na třetí místo klesl mobilní malware Guerrilla.

  1. xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  1. ↓ Guerrilla – Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili znovu zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 31 % organizací. Následovala zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346), která měla dopad na 28 % společností a zranitelnost PHP DIESCAN information disclosure na třetím místě ovlivnila 27 % organizací.

  1. MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. ↔ PHP DIESCAN information disclosure – Zranitelnost PHP stránek, která by v případě úspěšného zneužití umožnila útočníkům získat ze serveru citlivé informace.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet se sice stále drží na první příčce, ale jeho dopad výrazně klesl z lednových téměř 32 % na méně než 10 %. Podobně jsou na tom i Trickbot a XMRig na druhé a třetí příčce, jejichž dopad v ČR klesl v únoru oproti lednu o více než 50 %. Do žebříčku se vrátila i řada staronových škodlivých kódů, celkově byly hrozby tentokrát více rozprostřené.

Štítky: 
Bezpečnost, Check Point

Podobné články

Ekonomika SOC: Jaká je návratnost investice do bezpečnostního centra?

28. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Investice do Security Operations Center (SOC) může představovat značné počáteční náklady pro mnoho organizací. V dnešní digitální éře však mohou náklady na kybernetické incidenty rychle narůst. Jak tedy vyčíslit návratnost investice (ROI) do SOC a jaká je skutečná ekonomická hodnota takového centra? Čtěte více

Objem DDoS útoků na české firmy po měsících stagnace vzrostl

28. 3. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita po několika měsících stagnace v únoru trojnásobně narostly. Sice zatím ani zdaleka nedosahují objemu z loňského léta, přesto hrozby a způsobené škody neklesají. Jak totiž trend posledních měsíců jednoznačně ukázal, útoky jsou stále kvalitnější a intenzivnější útoky. Nejvíce útoků přitom již od července loňského roku míří z Ruska. Čtěte více

Podniky k přechodu na MSP služby motivují hlavně výpadky IT

27. 3. 2024. (redaktor: František Doupal, zdroj: Zebra systems)
Podle více než 60 % českých a slovenských prodejců společnosti Zebra systems, distributor je hlavní motivací zákazníků k přechodu na MSP služby nepříjemná zkušenost s výpadky IT provozu. Stále více IT dodavatelů tak nabízí svým zákazníkům vedle tradičních také MSP služby. Čtěte více
Jan Pinta, manažer rozvoje byznysu ve společnosti Thein Security

Všechny typy phishingu pohromadě

26. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Phishing, česky rybaření, je úspěšný nástroj útočníků při chytání oběti za účelem krádeží osobních údajů, přihlašovacích jmen a hesel, údajů z platebních karet i řady dalších věci. Slovo samotné vychází z mechanismu, kdy rybář nahodí digitální udičku a oběť na ni ochotně naskočí. Čtěte více