Check Point Research zveřejnil pravidelný Celosvětový index dopadu hrozeb, podle kterého byla v květnu největší hrozbou pro české organizace nová verze malwaru GuLoader. Více než 16 % českých organizací ohrožoval GuLoader, který kyberzločinci používají ke stahování dalších hrozeb, zejména zlodějských malwarů, a také k maskování před antiviry. Nejnovější verze navíc využívá sofistikovanou techniku nahrazení kódu v legitimním procesu, což ještě ztěžuje jeho detekci. Plně zašifrované pokyny jsou nepozorovaně uloženy v renomovaných veřejných cloudových službách, včetně Google Disku. Vzhledem k jedinečné kombinaci šifrování, specifického formátu a oddělení jednotlivých složek hrozby jsou škodlivé aktivity pro řadu antivirů neviditelné. Jedná se tak o velmi nebezpečnou hrozbu pro uživatele i pro společnosti.
Na téměř 15 % českých organizací útočil také dlouhodobě známý zlodějský malware FormBook, který krade informace a je prodáván na nelegálních hackerských fórech. Často je také šířen právě malwarem GuLoader. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z řídícího a velícího serveru.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v květnu posunula o 3 místa mezi méně bezpečné země a obsadila 35. pozici. Podobně se posunulo i Slovensko, a to o 5 míst směrem k nebezpečnějším zemím na aktuální 54. příčku.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Top 3 – malware
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v květnu Qbot, který měl dopad na 6 % organizací. FormBook na druhé příčce zasáhl 5 % společností a AgentTesla na třetím místě ohrožoval 3 % organizací.
1. ↑ Qbot – Backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
2. ↑ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
3. ↓ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 – mobilní malware
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly mobilní malwary AhMyth a Hiddad.
1. ↑ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
2. ↓ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
3. ↔ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice.
Top 3 – ČR
1. Guloader – GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a AgentTesla.
2. FormBook (viz výše)
3. NanoCore – NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.
