„V lednu se infostealer Vidar šířil prostřednictvím falešných domén napodobujících společnost AnyDesk. Malware využíval napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Výzkumníci také odhalili rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a otevření trojan infikoval napadené zařízení a kradl citlivé informace.“
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě.
1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
2. ↑ LokiBot – zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.
3. ↑ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth.
1. ↔ Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
2. ↔ Hiddad – malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
3. ↑ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací.
1. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla, Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si na zlodějské malwary pozor, protože jejich útoků neustále přibývá.
|
Top malwarové rodiny v České republice – leden 2023 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Qbot |
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. |
6,50 % |
7,36 % |
|
AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
4,69 % |
5,58 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
3,96 % |
5,58 % |
|
Vidar |
Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů a digitálních peněženek. Vidar se prodává na různých online fórech a používá se také ke stahování ransomwaru GandCrab. |
2,14 % |
5,08 % |
|
Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. |
1,21 % |
3,30 % |
|
Emotet |
Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. |
3,44 % |
3,05 % |
|
Pony |
Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. |
0,56 % |
3,05 % |
|
GhOst |
Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. |
0,75 % |
2,79 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
3,46 % |
2,54 % |
|
LokiBot |
LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. |
5,50 % |
1,78 % |
|
GuLoader |
GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. |
2,04 % |
1,78 % |
Doplňkový obrázek: Pixabay
Zveřejněno: 28. 02. 2023
ViewSonic uvádí řadu laserových projektorů s vysokou svítivostí až 8500 ANSI lm pro velké prostory
Společnost CyberPower představuje nového servisního partnera pro Českou republiku a Slovensko
QNAP představuje nákladově efektivní 10Gb stolní zařízení NAS TS-432X/TS-632X
QNAP 100GbE switch QSW-M7308R-4X přechází na správu L3 Lite
