Trojan Dridex jedničkou mezi kyberhrozbami, jeho vzestup souvisí i s nárůstem ransomwarových útoků.
Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že trojan Dridex, který je často používán při ransomwarových útocích, je druhý měsíc za sebou jedničkou v žebříčku hrozeb použitých k útokům na podnikové sítě
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 13 příček mezi méně bezpečné země, přesto jí patřila až 74. pozice. Slovensko poskočilo o 23 příček směrem ke klidnějším vodám na 67. příčku. Celkově byl duben ale poměrně neklidný a žebříčkem výrazně zamíchal. Na první příčku vyskočila z 58. pozice Etiopie. Čína se posunula dokonce o 86 příček až na 6. místo a Kolumbie z 81. březnového místa na 8. pozici. Zajímavé je, že obě země patřily v únoru mezi nebezpečné státy, v březnu se naopak velmi výrazně posunuly mezi bezpečné země a nyní se situace znovu otočila. Naopak Albánie patřila v březnu mezi nebezpečné země (5. místo) a v dubnu jí patřila až 106. pozice, což je jeden z nejvýraznějších posunů v historii žebříčku.
Dridex je používán v počáteční fázi ransomwarových útoků. Hackeři stále častěji využívají dvojité vydírání, kdy ještě před zašifrováním dat ukradnou citlivé informace a vyhrožují, že v případě nezaplacení výkupného vše zveřejní. Nově sledujeme dokonce trojité vydírání, kdy se útočníci navíc snaží kontaktovat i obchodní partnery nebo novináře. Výzkumný tým Check Point Research uvedl, že počet ransomwarových útoků vzrostl v České republice od začátku roku o 256 % a odhaduje se, že ransomwarové útoky stály v roce 2020 organizace po celém světě přibližně 20 miliard dolarů, tedy téměř o 75 % více než v roce 2019.
AgentTesla je aktivní od roku 2014 a nyní se poprvé umístil na 2. místě v žebříčku kyberhrozeb. Špehuje uživatele, sleduje stisknuté klávesy a obsah systémové schránky, pořizuje snímky obrazovky a krade přihlašovací údaje k různým programům, včetně prohlížečů Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook.
„Po celém světě sledujeme epidemii ransomwarových útoků, takže není překvapením, že první místo obsadila hrozba, která s tímto trendem souvisí. V průměru každých 10 sekund se nějaká organizace na světě stane obětí ransomwarového útoku,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vlády čelí výzvám, že musí dělat v boji s ransomwarem více. Každopádně všechny organizace musí nasadit odpovídající bezpečnostní řešení a vzdělávat zaměstnance, aby zvýšili šanci na rozpoznání škodlivých zpráv, které šíří Dridex a další malware, používaný v počáteční fázi ransomwarových útoků.“
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu znovu Dridex. Dopad měl na 15 % organizací po celém světě. Na druhou příčku se posunul AgentTesla s dopadem na 12 % společností a Trickbot na třetím místě ovlivnil 8 % podniků.
- ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizuje snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
- ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl xHelper. Na druhou příčku se posunul backdoor Triada a Hiddad klesl na třetí místo.
- ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.
- ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45,5 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 44 % organizací.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Český žebříček byl tentokrát bez větších překvapení. Backdoor Qbot se navzdory klesajícímu celosvětovému dopadu drží v Česku na špici. Trickbot posiloval svoji pozici v ČR i ve světě a výrazný vzestup zaznamenal také AgentTesla, který v Česku poskočil z 9. místa na třetí. Dopad krytptominerů se v ČR dlouhodobě drží na dvojnásobku celosvětového průměru a potvrzuje to na 4. příčce XMRig. Duben přinesl také vzestup škodlivých kódů zaměřených na krádeže informací.
Top malwarové rodiny v České republice – duben 2020 | |||
Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. | 3,01 % | 9,06 % |
Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. | 8,48 % | 6,95 % |
AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 11,99 % | 5,14 % |
XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,08 % | 2,72 % |
Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. | 0,14 % | 2,72 % |
Dridex | Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. | 15,03 % | 2,42 % |
NanoCore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 2,10 % | 2,42 % |
FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,56 % | 1,21 % |
IcedID | IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem). | 0,50 % | 1,21 % |
Arkei | Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. | 0,86 % | 1,21 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
Zdroj: CheckPoint