Česká republika se dále posouvá mezi nebezpečné země

3. 1. 2023. (redaktor: František Doupal, zdroj: Check Point)
Výzkumný tým společnostiCheck Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v listopadu vrátil agresivní trojan Emotet, který je jedním z nejnebezpečnějších malwarů. V červenci svoje aktivity nečekaně utlumil, ale v listopadu se vrátil ve velkém stylu a hned byl druhým nejrozšířenějším malwarem.

Emotet byl původně bankovní trojan, ale vzhledem k jeho všestrannosti se postupně vyvinul v distributora dalších malwarů a je efektivně používán i v kombinaci s ransomwarem. Běžně se šíří prostřednictvím phishingových kampaní a k opětovnému vzestupu mohly přispět i malspamové kampaně, které byly určené k distribuci bankovního trojanu IcedID.

Poprvé od července 2021 se na třetí místo žebříčku nejčastějších malwarů dostal trojan Qbot, který krade bankovní přihlašovací údaje a sleduje stisknuté klávesy.

„Qbot je používán k finančně motivovaným útokům. Umožňuje krást finanční data, bankovní přihlašovací údaje a informace z webových prohlížečů. Jakmile Qbot infikuje systém, hackeři nainstalují backdoor, který umožňuje ransomwarové útoky a kyberzločinci mohou použít taktiku dvojitého vydírání, protože kromě zašifrovaných dat vyhrožují zveřejněním ukradených finančních informací. V listopadu využil Qbot zero-day zranitelnost v systému Windows, která útočníkům poskytla plný přístup k infikovaným sítím, řekl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu znovu posunula mezi méně bezpečné země a patřila jí celosvětově 30. pozice. Naopak Slovensko se posunulo o devět míst směrem k bezpečnějším zemím na aktuálně 68. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu AgentTesla, který měl v globálním měřítku dopad na 6 % organizací. Na druhou příčku se posunul Emotet a na třetí Qbot.

  1. ↔ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
  2. ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  3. ↑ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hydra a AlienBot.

  1. Anubis –bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. ↔ Hydra –bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
  3. AlienBot –malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí, a nakonec zcela ovládne infikované zařízení.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 46 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 45 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 % organizací.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  2. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zcela dominoval malware zaměřený na krádeže hesel, přihlašovacích údajů a dalších cenných informací. Na čele českého žebříčku se nadále drží zlodějský malware SnakeKeylogger, který ještě posílil a v listopadu ohrožoval 16 % organizací. Výrazně přibylo i útoků malwaru AgentTesla, který krade hesla a sleduje stisknuté klávesy. Top 3 uzavírá FormBook, který hackerům umožňuje také krást data.

Top malwarové rodiny v České republice – listopad 2022

SnakeKeylogger (dopad ve světě 3,15 %, dopad v ČR 16,05 %)

Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.

AgentTesla (dopad ve světě 5,89 %, dopad v ČR 12,89 %)

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

FormBook (dopad ve světě 2,63 %, dopad v ČR 6,59 %)

FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

Emotet (dopad ve světě 4,44 %, dopad v ČR 6,59 %)

Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.

Qbot (dopad ve světě 4,34 %, dopad v ČR 4,01 %)

Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.

Remcos (dopad ve světě 1,01 %, dopad v ČR 3,15 %)

Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

XMRig (dopad ve světě 3,13 %, dopad v ČR 2,29 %)

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Esfury (dopad ve světě 1,17 %, dopad v ČR 1,72 %)

Esfury je červ, který umožňuje další útoky na napadený systém. Šíří se prostřednictvím vyměnitelných nebo síťových disků. Jakmile se Esfury dostane do počítače, připojí se ke vzdálené webové stránce a získává odtamtud příkazy. Esfury také změní výchozí stránku internetového prohlížeče a upraví nastavení systému. Navíc může změnit i řadu bezpečnostních nastavení a ukončit nebo zablokovat přístup k velkému počtu procesů. Esfury může přesměrovat vyhledávání na konkrétní reklamní webové stránky, jinak ovlivňovat prohlížení internetu nebo snížit rychlost sítě.

Crackonosh (dopad ve světě 0,66 %, dopad v ČR 1,43 %)

Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.

Podobné články

Ekonomika SOC: Jaká je návratnost investice do bezpečnostního centra?

28. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Investice do Security Operations Center (SOC) může představovat značné počáteční náklady pro mnoho organizací. V dnešní digitální éře však mohou náklady na kybernetické incidenty rychle narůst. Jak tedy vyčíslit návratnost investice (ROI) do SOC a jaká je skutečná ekonomická hodnota takového centra? Čtěte více

Objem DDoS útoků na české firmy po měsících stagnace vzrostl

28. 3. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita po několika měsících stagnace v únoru trojnásobně narostly. Sice zatím ani zdaleka nedosahují objemu z loňského léta, přesto hrozby a způsobené škody neklesají. Jak totiž trend posledních měsíců jednoznačně ukázal, útoky jsou stále kvalitnější a intenzivnější útoky. Nejvíce útoků přitom již od července loňského roku míří z Ruska. Čtěte více

Podniky k přechodu na MSP služby motivují hlavně výpadky IT

27. 3. 2024. (redaktor: František Doupal, zdroj: Zebra systems)
Podle více než 60 % českých a slovenských prodejců společnosti Zebra systems, distributor je hlavní motivací zákazníků k přechodu na MSP služby nepříjemná zkušenost s výpadky IT provozu. Stále více IT dodavatelů tak nabízí svým zákazníkům vedle tradičních také MSP služby. Čtěte více
Jan Pinta, manažer rozvoje byznysu ve společnosti Thein Security

Všechny typy phishingu pohromadě

26. 3. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Phishing, česky rybaření, je úspěšný nástroj útočníků při chytání oběti za účelem krádeží osobních údajů, přihlašovacích jmen a hesel, údajů z platebních karet i řady dalších věci. Slovo samotné vychází z mechanismu, kdy rybář nahodí digitální udičku a oběť na ni ochotně naskočí. Čtěte více