V Česku útočí malware NetWiredRC, který používají i kyberskupiny sponzorované státy

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. V květnu šířily spamové kampaně bankovní trojan Ursnif, který tak zdvojnásobil svůj dopad na organizace po celém světě.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula pouze o 1 místo a patřila jí 75. příčka, zatímco Slovensko se posunulo o 15 příček mezi bezpečnější země, přesto mu i v květnu patřila nebezpečnější 58. pozice. První místo v Indexu hrozeb patřilo Kataru, který odsunul na druhou pozici Afghánistán. Mezi nebezpečnější země se nejvýrazněji posunula Namibie, z 91. místa na 37. pozici. Opačným směrem, tedy mezi bezpečnější země, se posunulo Pobřeží slonoviny, kterému v dubnu patřila 33. pozice a v květnu 90.

Bankovní trojan Ursnif se zaměřuje na počítače se systémem Windows a je schopen krást důležité finanční informace, přihlašovací údaje k e-mailu a další citlivá data. Malware se šíří spamovými kampaněmi se škodlivou excelovou nebo wordovou přílohou. Zajímavé je, že nová vlna útoků trojanu Ursnif, který se poprvé dostal do Top 10 škodlivých kódů, přichází v době, kdy končí jedna jeho oblíbená varianta, Dreambot. Dreambot byl poprvé odhalen v roce 2014 a byl vytvořen na základě uniklého zdrojového kódu Ursnif. V březnu byl odstaven řídící server Dreambotu a nebyly detekovány žádné nové vzorky.

Malwaru ovšem i nadále kraluje jiný bankovní trojan, Dridex. Žebříček mobilního malwaru nečekaně ovládl nový Android malware, který generuje podvodné příjmy z kliknutí na reklamy, což ukazuje, jak se zločinci snaží zpeněžit útoky na mobilní zařízení.

„Mezi nejvýraznější škodlivé kódy patřily v květnu bankovní trojany Dridex, AgentTesla a Ursnif. Je tedy zřejmé, že kyberzločinci využívají především malware, který jim umožní zpeněžit data a přihlašovací údaje obětí,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Koronavirové kyberútoky sice klesají, ale v květnu jsme zaznamenali celkový nárůst kybernetických útoků o 16 % v porovnání s březnem a dubnem. Organizace proto musí zůstat ostražité, zejména pokud jde o práci z domova, protože hackeři se tento trend snaží zneužít.“

Top 3 – malware:
Dridex byl i v květnu nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 4 % organizací po celém světě. XMRig klesl z druhého místa na třetí, naopak Agent Tesla poskočil ze třetí příčky na druhou, oba škodlivé kódy ovlivnily celosvětově přibližně 3 % společností.
1. ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
2. ↑ Agent Tesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
3. ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v květnu nově PreAmo. Na druhou příčku vyskočil mobilní malware Necro, Top 3 uzavírá Hiddad.
1. ↑ PreAmo – PreAmo je malware pro Android, který napodobuje aktivitu uživatelů a kliká na bannery od tří reklamních agentur: Presage, Admob a Mopub.
2. ↑ Necro – Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.
3. ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili znovu zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 45 % organizací. Druhý měsíc za sebou skončila na druhém místě zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla dopad na 40 % společností, a na třetí místo se posunula zranitelnost Web Server Exposed Git Repository Information Disclosure, která ovlivnila 39 % organizací.
1. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Nejvýrazněji poskočil trojan NetWiredRC, který používají k útokům i kyberskupiny sponzorované státy, jako je například Íránem podporovaná skupina APT33. NetWiredRC se v květnu šířil především prostřednictvím spamových kampaní s infikovaným xls souborem. Na druhé místo klesl bankovní trojan Dridex. Na předních místech se i přes celkový pokles kryptominerů nadále drží XMRig. Oproti dubnu se do Top 10 znovu dostaly špionážní malwary Ursnif, FormBook a Hawkeye a malware Danabot.