Česká republika byla v lednu 5. nejnebezpečnější evropskou zemí
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v lednu vrátil zlodějský malware Vidar, který útočil aktivně i v České republice, a ještě zvýšil riziko krádeží dat.
„V lednu se infostealer Vidar šířil prostřednictvím
falešných domén napodobujících společnost AnyDesk. Malware využíval
napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele
na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti
AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé
informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a
bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní
společnosti Check Point Software Technologies. „Výzkumníci také odhalili
rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe
šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou
tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a
otevření trojan infikoval napadené zařízení a kradl citlivé informace.“
Výzkumný tým zároveň upozorňuje, že největšímu množství
kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a
vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem
kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a
patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce
nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k
bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo
už několik měsíců po sobě Mongolsko.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové
sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé
příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě.
1. ↔ Qbot –
backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také
vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně
krade citlivé informace.
2. ↑ LokiBot
– zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží
ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke
kryptoměnovým peněženkám a FTP serverům.
3. ↑
AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý
je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači
oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást
přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a
e-mailového klienta Microsoft Outlook)
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na mobilní
zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth.
1. ↔ Anubis
– bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je
vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves,
nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých
aplikací dostupných v obchodě Google.
2. ↔ Hiddad
– malware pro Android, který se maskuje za známé aplikace v obchodech třetích
stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke
klíčovým bezpečnostním údajům uvnitř operačního systému.
3. ↑ AhMyth
– trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se
prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi
a na různých webových stránkách. Když si uživatel nainstaluje některou z
infikovaných aplikací, může malware krást citlivé informace ze zařízení a
sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a
aktivovat fotoaparát.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané
zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat
zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure”
s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote
Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost
„MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací.
1. ↔ Web Server
Exposed Git Repository Information Disclosure – Úspěšné zneužití této
zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↑ HTTP
Headers Remote Code Execution
(CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Vzdálený
útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na
počítači oběti.
3. ↑ MVPower
DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu,
byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu
a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného
požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v
České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat
další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce
oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může
to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla,
Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si
na zlodějské malwary pozor, protože jejich útoků neustále přibývá.
Top
malwarové rodiny v České republice – leden 2023
|
Malwarová rodina
|
Popis
|
Dopad ve světě
|
Dopad v ČR
|
Qbot
|
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další
malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele,
případně může krást citlivé informace.
|
6,50 %
|
7,36 %
|
AgentTesla
|
AgentTesla je pokročilý RAT, který krade hesla a funguje jako
keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat
stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky
obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google
Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla
se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou
licenci.
|
4,69 %
|
5,58 %
|
FormBook
|
FormBook je škodlivý kód, který krade informace a zaměřuje se na
operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na
nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi
dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých
webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává
stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z
C&C serveru.
|
3,96 %
|
5,58 %
|
Vidar
|
Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován
na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách
a dalších citlivých informací z webových prohlížečů a digitálních peněženek.
Vidar se prodává na různých online fórech a používá se také ke stahování
ransomwaru GandCrab.
|
2,14 %
|
5,08 %
|
Remcos
|
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří
se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou
připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení
systému Microsoft Windows a spouštět malware s pokročilými právy.
|
1,21 %
|
3,30 %
|
Emotet
|
Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván
jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a
škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se
škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout
detekci.
|
3,44 %
|
3,05 %
|
Pony
|
Pony je infoStealer, který primárně krade přihlašovací údaje z
infikovaných platforem Windows a odesílá je na řídící a velící server. Pony
umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a
instalovat další malware a dokonce infikovat další počítače (funguje jako
botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby.
|
0,56 %
|
3,05 %
|
GhOst
|
Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na
platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný
počítač.
|
0,75 %
|
2,79 %
|
XMRig
|
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny
Monero. Poprvé byl detekován v květnu 2017.
|
3,46 %
|
2,54 %
|
LokiBot
|
LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení
se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací,
webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je
PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně
unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017
obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i
ransomwarové funkce.
|
5,50 %
|
1,78 %
|
GuLoader
|
GuLoader je downloader, který je masivně používán od prosince 2019. Na
začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale
následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire,
FormBook a Agent Tesla.
|
2,04 %
|
1,78 %
|
Doplňkový obrázek: Pixabay
Zveřejněno: 28. 02. 2023