České organizace nejčastěji ohrožoval malware schopný převzít kontrolu nad počítačem

27. 11. 2023. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v říjnu celosvětově nejrozšířenějším škodlivým kódem zlodějský malware FormBook. Na druhou pozici se posunul NJRat, který se používá zejména k útokům na vládní agentury a organizace na Blízkém východě.

Odborníci také varují před malspamovými kampaněmi, které šíří pokročilý RAT AgentTesla. Nebezpečné soubory jsou rozesílány e-maily a mají koncovku .GZ nebo .zip. Název souboru často souvisí s objednávkami a zásilkami. Jakmile uživatel soubor otevře a AgentTesla se nainstaluje do počítače, je schopen sledovat stisknuté klávesy, získat přístup k souborovému systému nebo krást data a posílat je na řídící server.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v říjnu posunula o šest míst mezi bezpečnější země na aktuální 47. pozici. Slovensko se posunulo o pět míst na 52. příčku. Na prvním, tedy nejnebezpečnějším, místě je dlouhodobě Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v říjnu opět FormBook, který měl dopad na tři procenta organizací. NJRat na druhé příčce zasáhl dvě procenta společností, stejně jako Remcos na třetím místě.

  1. ↔ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  2. ↑ NJRat – njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd.
  3. ↓ Remcos – Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

Top 3 - mobilní malware:

Bankovní trojan Anubis byl v říjnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

  1. Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
  1. AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  2. Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Zyxel ZyWALL Command Injection” s dopadem na 42 % organizací. Následovala zranitelnost „Command Injection Over HTTP“ s dopadem také na 42 % společností, Top 3 uzavírá zranitelnost „Web Servers Malicious URL Directory Traversal“ se shodným dopaden.

  1. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Úspěšné zneužití této zranitelnosti by vzdáleným útočníkům umožnilo spustit v napadeném systému libovolné příkazy operačního systému.
  2. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.
  3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.

Situace v ČR

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Backdoor Jorik, který umožňuje kyberzločincům na dálku ovládat infikované počítače, se druhý měsíc za sebou stal nejrozšířenějším malwarem použitým k útokům na české organizace.Remcos, NanoCore a AgentTesla na druhé až čtvrté pozici ukazují nebezpečnost trojanů pro vzdálený přístup. Všechny tři hrozby lze využít například ke krádežím dat nebo špehování. AgentTesla se dokonce prodává za pouhých 15–69 dolarů za uživatelskou licenci a potvrzuje tak vzestup kyberzločinu jako služby. Hackerem se bohužel nyní mohou stát i amatéři bez technických znalostí,“ uvedl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Štítky: 
Bezpečnost, Malware, Check Point

Podobné články

Nová aliance All4Cyber chce bojovat proti kybernetickým hrozbám

30. 5. 2024. (redaktor: František Doupal, zdroj: All4Cyber)
V době, kdy se otázka kybernetické bezpečnosti stává stále zásadnějším momentem každodenní reality jednotlivců i organizací, vstupuje na český trh aliance All4Cyber. Zakládajícími členy All4Cyber jsou renomované společnosti Antesto, CNS, DATASYS, DATRON, IdStory a TeskaLabs. Čtěte více

ESET vydal zprávu o aktivitách státy podporovaných útočníků. Nejvíce operací bylo spojeno s Ruskem

27. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Nejnovější zpráva společnosti ESET, APT Activity Report, shrnuje zásadní aktivity útočných skupin, které byly sledovány bezpečnostními experty společnosti od října 2023 do konce března 2024. Hlavními cíli většiny útočných kampaní byly vládní organizace. Skupiny napojené na Rusko se zaměřily na špionáž v Evropské unii a pokračovaly také v útocích proti Ukrajině. Čtěte více

Útočníci zneužívali tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS

24. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Čtvrtletní zpráva HP Wolf Security Threat Insights odhaluje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Čtěte více

Průměrná česká společnost nyní čelí v průměru více než 2 000 útoků týdně

23. 5. 2024. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point Software Technologies upozorňuje, že od začátku letošního roku vidíme další prudký nárůst kyberútoků. V dubnu čelily české společnosti v průměru enormním 2 000 kyberútokům týdně. Přitom průměr za první tři měsíce byl „pouze“ 1 570 kyberútoků týdně na jednu českou organizaci. Čtěte více