Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. V květnu šířily spamové kampaně bankovní trojan Ursnif, který tak zdvojnásobil svůj dopad na organizace po celém světě.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula pouze o 1 místo a patřila jí 75. příčka, zatímco Slovensko se posunulo o 15 příček mezi bezpečnější země, přesto mu i v květnu patřila nebezpečnější 58. pozice. První místo v Indexu hrozeb patřilo Kataru, který odsunul na druhou pozici Afghánistán. Mezi nebezpečnější země se nejvýrazněji posunula Namibie, z 91. místa na 37. pozici. Opačným směrem, tedy mezi bezpečnější země, se posunulo Pobřeží slonoviny, kterému v dubnu patřila 33. pozice a v květnu 90.
Bankovní trojan Ursnif se zaměřuje na počítače se systémem Windows a je schopen krást důležité finanční informace, přihlašovací údaje k e-mailu a další citlivá data. Malware se šíří spamovými kampaněmi se škodlivou excelovou nebo wordovou přílohou. Zajímavé je, že nová vlna útoků trojanu Ursnif, který se poprvé dostal do Top 10 škodlivých kódů, přichází v době, kdy končí jedna jeho oblíbená varianta, Dreambot. Dreambot byl poprvé odhalen v roce 2014 a byl vytvořen na základě uniklého zdrojového kódu Ursnif. V březnu byl odstaven řídící server Dreambotu a nebyly detekovány žádné nové vzorky.
Malwaru ovšem i nadále kraluje jiný bankovní trojan, Dridex. Žebříček mobilního malwaru nečekaně ovládl nový Android malware, který generuje podvodné příjmy z kliknutí na reklamy, což ukazuje, jak se zločinci snaží zpeněžit útoky na mobilní zařízení.
„Mezi nejvýraznější škodlivé kódy patřily v květnu bankovní trojany Dridex, AgentTesla a Ursnif. Je tedy zřejmé, že kyberzločinci využívají především malware, který jim umožní zpeněžit data a přihlašovací údaje obětí,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point. „Koronavirové kyberútoky sice klesají, ale v květnu jsme zaznamenali celkový nárůst kybernetických útoků o 16 % v porovnání s březnem a dubnem. Organizace proto musí zůstat ostražité, zejména pokud jde o práci z domova, protože hackeři se tento trend snaží zneužít.“
Top 3 – malware:
Dridex byl i v květnu nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě a měl dopad na 4 % organizací po celém světě. XMRig klesl z druhého místa na třetí, naopak Agent Tesla poskočil ze třetí příčky na druhou, oba škodlivé kódy ovlivnily celosvětově přibližně 3 % společností.
1. ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
2. ↑ Agent Tesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
3. ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v květnu nově PreAmo. Na druhou příčku vyskočil mobilní malware Necro, Top 3 uzavírá Hiddad.
1. ↑ PreAmo – PreAmo je malware pro Android, který napodobuje aktivitu uživatelů a kliká na bannery od tří reklamních agentur: Presage, Admob a Mopub.
2. ↑ Necro – Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.
3. ↑ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili znovu zneužívat především zranitelnost MVPower DVR Remote Code Execution s dopadem na 45 % organizací. Druhý měsíc za sebou skončila na druhém místě zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla dopad na 40 % společností, a na třetí místo se posunula zranitelnost Web Server Exposed Git Repository Information Disclosure, která ovlivnila 39 % organizací.
1. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Nejvýrazněji poskočil trojan NetWiredRC, který používají k útokům i kyberskupiny sponzorované státy, jako je například Íránem podporovaná skupina APT33. NetWiredRC se v květnu šířil především prostřednictvím spamových kampaní s infikovaným xls souborem. Na druhé místo klesl bankovní trojan Dridex. Na předních místech se i přes celkový pokles kryptominerů nadále drží XMRig. Oproti dubnu se do Top 10 znovu dostaly špionážní malwary Ursnif, FormBook a Hawkeye a malware Danabot.
| Top malwarové rodiny v České republice – květen 2020 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| NetWiredRC | NetWiredRC je univerzální hrozba, která dokáže krást informace, poskytovat vzdálený přístup a stahovat další malware a používají ji také státy sponzorované skupiny, jako je APT33. | 0,28 % | 10,63 % |
| Dridex | Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. | 3,67 % | 7,64 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 2,72 % | 3,32 % |
| Ursnif | Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server. | 1,83 % | 2,99 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,48 % | 2,99 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 – 69 dolarů za uživatelskou licenci. | 2,73 % | 2,99 % |
| Lokibot | Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. | 1,42 % | 1,66 % |
| Hawkeye | Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“. | 1,11 % | 1,66 % |
| Emotet | Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 1,67 % | 1,66 % |
| Danabot | Danabot cílí na platformu Windows. Malware odesílá informace na řídicí server, stahuje a dešifruje soubor, které má spustit na infikovaném počítači. | 0,91 % | 1,66 % |
