Trickbot stojí i za rychlým vzestupem Emotetu, kterému propůjčuje svou infrastrukturu.
Check Point zveřejnil svůj pravidelný Celosvětový index dopadu hrozeb, podle kterého zůstal v listopadu nejrozšířenějším malwarem modulární botnet a bankovní trojan Trickbot. Znovuoživený Emotet vyskočil na sedmou pozici.
Výzkumný tým také upozorňuje, že největšímu množství kyberútoků čelily v listopadu opět vzdělávací a výzkumné organizace, následovaly komunikační společnosti a Top 3 uzavírá vládní a vojenský sektor. Například ve východní Evropě byly terčem především konzultační společnosti.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v listopadu jí patřila 84. pozice, což je minimální posun oproti říjnové 82. příčce. Slovensko se lehce, o 6 míst, posunulo mezi méně bezpečné země na 56. pozici.
Přestože byl na začátku roku Emotet odstaven v důsledku rozsáhlé mezinárodní policejní operace, v listopadu se opět objevil na scéně a hned se stal sedmým nejpoužívanějším malwarem. Žebříček ovládl pošesté Trickbot, který stojí právě i za rychlým vzestupem Emotetu, kterému propůjčuje svou infrastrukturu. Emotet se šíří prostřednictvím phishingových e-mailů s nebezpečnými soubory formátu Word, Excel nebo Zip. E-maily se snaží nalákat na žhavá témata, jako jsou aktuální události, faktury nebo falešné firemní informace. V poslední době se Emotet začal šířit také prostřednictvím škodlivých balíčků Windows App Installer, které se vydávají za software Adobe.
Top 3 – malware
1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
2. ↑ Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (webové prohlížeče, Microsoft Outlook…).
3. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z řídicího serveru.
Top 3 – mobilní malware
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově AlienBot. xHelper klesl na druhou příčku, a naopak FluBot vysokočil do Top 3.
1. ↑ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
2. ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vyskočil zlodějský malware FormBook, který oproti říjnu zvýšil svou aktivitu o 630 %. FormBook nejčastěji útočil na komunikační společnosti a vládní a vojenský sektor. Celkově měl dopad na více než 10 % českých podnikových sítí. Nebezpečnost zlodějských škodlivých kódů potvrzují i na druhém a třetím místě Agent Tesla a LokiBot. Celkově listopad přinesl vzestup nových hrozeb a z říjnového Top 10 zbyly v žebříčku jen 3 škodlivé kódy.
LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce.
