Malware stahující další škodlivé kódy nabírá na síle

30. 1. 2019. (redaktor: František Doupal, zdroj: Check Point)
Společnost Check Point Software zveřejnila Celosvětový index dopadu hrozeb, podle kterého se v prosinci downloader SmokeLoader, který byl poprvé detekován v roce 2011, posunul o 11 míst až na 9. příčku mezi škodlivými kódy použitými k útokům na podnikové sítě. Jeho celosvětový dopad se zvýšil o 20 %, a to zejména v důsledku větší aktivity na Ukrajině a v Japonsku.

SmokeLoader se používá hlavně ke stažení a instalaci dalších škodlivých kódů, jako jsou Trickbot Banker, AZORult Infostealer a Panda Banker.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v prosinci jí patřila 120. příčka. Slovensko se dokonce umístilo až na 135. pozici. Na prvním místě se v Indexu hrozeb nově umístil Afghánistán, který poskočil o 77. míst, což byl vůbec největší posun mezi všemi zeměmi a výrazný skok na čelo nebezpečných zemí.

Kryptominer CoinHive nadále kraluje žebříčku škodlivých kódů. Číslem 1 je už 13. měsíc v řadě a má dopad na 12 % organizací po celém světě. XMRig byl druhým nejčastěji použitým malwarem k útokům na podnikové sítě s celosvětovým dosahem 8 %. JSEcoin na třetím místě měl dopad na sedm procent společností. Organizace jsou i nadále terčem kryptominerů navzdory celkovému poklesu hodnoty kryptoměn.

 Check Point také upozorňuje na vzestup bankovních trojanů. Bankovní trojan Ramnit, který krade přihlašovací údaje a další citlivá data, se vrátil do Top 10 a obsadil 8. příčku.

„SmokeLoader se v prosinci vůbec poprvé dostal do Top 10. Náhlý růst potvrzuje trend a posun směrem k víceúčelovému malwaru. V Top 10 Globálního indexu hrozeb dominují kryptominery a malware, který využívá různé metody k distribuci různých hrozeb. Rozmanitost hrozeb zvýrazňuje nutnost nasazení vícevrstvé kyberbezpečnostní strategie, která ochrání organizace proti stávajícím malwarovým rodinám i zcela novým hrozbám,“ uvedl Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.

Top 3 - malware:

  1. ↔ CoinHive - CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
    1. XMRig - XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
    2. JSEcoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v prosinci opět modulární backdoor Triada. Malware Guerilla se posunul na druhé místo a na třetí příčce se umístil hackerský nástroj Lotoor.

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  2. Guerilla - Malware pro Android zaměřený na podvodná reklamní kliknutí, který může komunikovat vzdáleně s C&C serverem, stahovat další škodlivé plug-iny a agresivně klikat na reklamy bez souhlasu nebo vědomí uživatele.
  3. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti a zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 49 % organizací. Zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla dopad na 42 % organizací po celém světě a zranitelnost PHPMyAdmin Misconfiguration Code Injection na třetím místě ovlivnila 41 % společností.

Top 3 - zranitelnosti:

  1. 1.  Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  2. 2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. 3.  Web servers PHPMyAdmin Misconfiguration Code Injection - Code injection zranitelnost byla objevena v PHPMyAdmin. Zranitelnost způsobuje chyba v konfigurací PHPMyAdmin. Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku HTTP na cíl.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vyskočil ze 7. listopadové příčky kryptominer JSEcoin. Malware těžící kryptoměny celkově ovládl český žebříček, když obsadil prvních pět příček. Silnou pozici nadále drží také Emotet po sérii útočných kampaní z konce roku 2018 a mezi top malwarem se udržel trojan SmokeLoader, který útočníkům umožňuje vzdáleně ovládat infikovaný počítač.

Štítky: 
Bezpečnost, Malware, Ransomware, Smartphony, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více