České organizace čelí nejčastěji útokům zlodějského malwaru NanoCore

9. 2. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

Výzkumníci také varují před vzkříšením Qbota pouhé čtyři měsíce poté, co americké a mezinárodní donucovací orgány v srpnu 2023 během operace Duck Hunt zlikvidovaly jeho infrastrukturu. Qbot byl v prosinci používán zejména k útokům na pohostinství. Hackeři se například vydávali za daňový úřad a rozesílali škodlivé e-maily s PDF přílohou s vloženými URL adresami propojenými s instalačním programem společnosti Microsoft. Ten po aktivaci spustil „neviditelnou“ verzi Qbota, která využívá vloženou DLL knihovnu. Před srpnovým zásahem Qbot dominoval Indexu hrozeb a deset měsíců po sobě patřil mezi tři nejrozšířenější malwary. Další měsíce ukáží, jestli znovu získá takovou sílu jako dříve.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v prosinci drobně posunula (o čtyři místa) mezi méně bezpečné země na aktuální 45. pozici. Naopak Slovensko se posunulo o 11 míst na bezpečnější 64. příčku. Mezi bezpečnější země se nejvýrazněji, o 45 míst, posunul Uzbekistán, kterému v prosinci patřila 104. pozice. Na prvním, tedy nejnebezpečnějším, místě je dlouhodobě Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v prosinci downloader FakeUpdates. Následovaly malwary FormBook a NanoCore.

  1. ↑ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
  2. ↓ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  3. ↑ NanoCore – NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.

Top 3 - mobilní malware:

Bankovní trojan Anubis byl v prosinci nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

  1. Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
  1. AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  2. Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Apache Log4j Remote Code Execution” a „Web Servers Malicious URL Directory Traversal“ s dopadem na 46 % společností, na třetím místě je s dopadem na 43 % organizací po celém světě zranitelnost „Zyxel ZyWALL Command Injection“.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) - Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) -Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) -Úspěšné zneužití této zranitelnosti by vzdáleným útočníkům umožnilo spustit v napadeném systému libovolné příkazy operačního systému.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. V prosinci útočil drtivě zejména trojan NanoCore, který dokáže pořizovat snímky obrazovky, těžit kryptoměny nebo vzdáleně ovládat infikovaný počítač. V listopadu přitom nepatřil ani do Top 10. Nadále je velmi nebezpečný i backdoor Jorik, který také umožňuje kyberzločincům na dálku ovládat infikované počítače. Na čele žebříčku se tradičně drží i zlodějský malware AgentTesla, který se na darknetových fórech prodává za pouhých 15–69 dolarů za uživatelskou licenci. Alarmující je i celosvětový vzestup Qbota, a to necelé čtyři měsíce po likvidaci jeho infrastruktury. Je to opět důrazná připomínka, jak rychle se kyberzločinci umí přizpůsobit. Organizace se při své ochraně musí zaměřit na preventivní bezpečnostní technologie, aby zůstaly krok před kyberzločinci,“ uvedl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – prosinec 2023

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

NanoCore

NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.

15,86 %

1,45 %

Jorik

Jorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem.

6,19 %

0,33 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

2,32 %

1,05 %

FormBook

FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

1,74 %

2,02 %

Tofsee

Tofsee je Trickler, který je zaměřen na platformu Windows. Jedná se o víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. Může také stahovat a spouštět další škodlivé soubory v napadených systémech.

1,35 %

0,44 %

AZORult

AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.

0,77 %

0,34 %

Barys

Barys je trojan downloader, který útočníkům umožňuje stahovat a nahrávat soubory do počítače oběti. Rozesílán je prostřednictvím spamových kampaní nebo je ukryt v instalátorech bezplatných programů, které jsou zveřejněny na podezřelých webových stránkách.

0,77 %

0,23 %

Cryxos

Cryxos je trojan ransomware, který se zaměřuje na platformu Windows. Používá obfuskovaný JavaScript ke kontaktování vzdáleného ovladače, který může reagovat dalšími skripty a soubory. Skripty mohou stahovat další knihovny a spustitelné soubory pro HTTP spolu se souborem PHP, který je zodpovědný za provádění ransomwarových funkcí. Malware nabídne uživateli možnost zaplatit výkupné výměnou za nástroj pro dešifrování souborů.

0,77 %

0,11 %

FakeUpdates

FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

0,77 %

2,32 %

AsyncRat

AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.

0,58 %

1,07 %

Štítky: 
Bezpečnost, Malware, Check Point

Podobné články

Nová aliance All4Cyber chce bojovat proti kybernetickým hrozbám

30. 5. 2024. (redaktor: František Doupal, zdroj: All4Cyber)
V době, kdy se otázka kybernetické bezpečnosti stává stále zásadnějším momentem každodenní reality jednotlivců i organizací, vstupuje na český trh aliance All4Cyber. Zakládajícími členy All4Cyber jsou renomované společnosti Antesto, CNS, DATASYS, DATRON, IdStory a TeskaLabs. Čtěte více

ESET vydal zprávu o aktivitách státy podporovaných útočníků. Nejvíce operací bylo spojeno s Ruskem

27. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Nejnovější zpráva společnosti ESET, APT Activity Report, shrnuje zásadní aktivity útočných skupin, které byly sledovány bezpečnostními experty společnosti od října 2023 do konce března 2024. Hlavními cíli většiny útočných kampaní byly vládní organizace. Skupiny napojené na Rusko se zaměřily na špionáž v Evropské unii a pokračovaly také v útocích proti Ukrajině. Čtěte více

Útočníci zneužívali tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS

24. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Čtvrtletní zpráva HP Wolf Security Threat Insights odhaluje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Čtěte více

Průměrná česká společnost nyní čelí v průměru více než 2 000 útoků týdně

23. 5. 2024. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point Software Technologies upozorňuje, že od začátku letošního roku vidíme další prudký nárůst kyberútoků. V dubnu čelily české společnosti v průměru enormním 2 000 kyberútokům týdně. Přitom průměr za první tři měsíce byl „pouze“ 1 570 kyberútoků týdně na jednu českou organizaci. Čtěte více