České organizace nejčastěji ohrožují zlodějské malwary a spolupráce kybergangů
Qbot k šíření nově používá phishingové e-maily se souborem Microsoft OneNote, který sice vypadá neškodně, ale ve skutečnosti do počítače nainstaluje malware, který potom může z infikovaného systému krást citlivé informace, včetně přihlašovacích údajů a bankovních dat. Uživatelé by proto měli být při otevírání příloh velmi opatrní a měli by používat preventivní bezpečnostní technologie.
Podobnou techniku šíření jako Qbot používá i Emotet, který tak reagoval na blokování maker společností Microsoft. V nejnovější kampani útočníci rozesílají spam se souborem OneNote, který po otevření Emotet stáhne a nainstaluje. Útočníci následně začnou z infikovaného počítače krást data, která často používají i k dalšímu šíření a cíleným útokům.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika v březnu opět patřila mezi nebezpečné země, obsadila 25. pozici. Naopak Slovensko se nadále řadí mezi bezpečnější země, třetí měsíc za sebou se umístilo na 73. příčce. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko. Největší skok mezi nebezpečné země udělala Chile, která se posunula o 29 míst až na 12. pozici.
„I když se velké technologické společnosti snaží zastavit kyberzločince v co nejranější fázi, jako se o to pokusil zákazem maker Microsoft, útočníci si vždy najdou nové způsoby. Emotet a Qbot jsou sofistikované hrozby, a není proto překvapením, že se jim opatření podařilo obejít. Uživatelé se musí ujistit, že používají odpovídající zabezpečení e-mailů, neměli by stahovat podezřelé a neočekávané soubory a ke zprávám i obsahu by měli přistupovat se zdravou nedůvěrou,“ uvedl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Top 3 - malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v březnu Qbot, který měl dopad na 10 % organizací. Emotet na druhé příčce zasáhl čtyři procenta společností, stejně jako třetí FormBook.
- ↔ Qbot – Backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
- ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↓ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
Top 3 - mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl trojan AhMyth, následovaly bankovní trojan Anubis a Android malware Hiddad.
- ↑ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
- ↓Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
- ↓ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
Top 3 - zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 44 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 43 % společností, Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 40 % organizací.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Situace v ČR
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Backdoor Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů, se vrátil na první příčku a oproti únoru téměř zdvojnásobil svou sílu. Na druhé místo vyskočil v březnu malware AgentTesla, který krade hesla a sleduje stisknuté klávesy, ačkoli v únoru nebyl ani v Top 10. GuLoader na třetím místě je alarmujícím příkladem, jak kyberzločinecké gangy spolupracují. GuLoader totiž dokáže stahovat do infikovaných systémů další nebezpečné hrozby, příkladem jsou FormBook nebo AgentTesla.
Top malwarové rodiny v České republice – březen 2023 | |||
Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. | 10,30 % | 10,43 % |
AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 3,70 % | 9,16 % |
GuLoader | GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a AgentTesla. | 3,10 % | 9,16 % |
LokiBot | LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. | 1,50 % | 7,38 % |
Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. | 2,20 % | 4,83 % |
XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,50 % | 4,33 % |
Tofsee | Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. | 1,70 % | 4,07 % |
NanoCore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 1,50 % | 3,82 % |
FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 3,90 % | 3,82 % |
AveMaria | Malware AveMaria je RAT (Remote Access Trojan), který umožňuje vzdáleně ovládat počítač oběti a krást informace. | 1,20 % | 3,82 % |
