Emotet padl, malwaru nyní kraluje Trickbot
Celosvětový index dopadu hrozeb společnosti Check Point hlásí, že na čelo žebříčku se po pádu Emotetu dostal poprvé trojan Trickbot, který byl v minulosti spojován mimo jiné právě s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká
republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce
posunula směrem k bezpečnějším místům, o 17 příček na 52. pozici. Slovensko
se naopak mírně posunulo mezi méně bezpečné státy, přesto mu v únoru patřila
až 64. pozice. Na prvním místě v Indexu hrozeb skončila nově Srí Lanka. Druhé
místo mezi nejméně bezpečnými státy patří Bhútánu a na třetí příčku poskočil o
15 míst Uzbekistán. Pro Kolumbii nebyl únor dobrým měsícem, ze 45. místa se
dostala až na 7. příčku, a vůbec nejvýrazněji, o 39 míst, se posunulo Norsko,
kterému v února patřila 46. pozice. Naopak mezi bezpečnější státy nejvíce poskočila
Nigérie, které v lednu patřila 14. pozice a v únoru až 69. místo.
Check Point upozorňuje, že po lednovém odstavení botnetu Emotet používají
kyberzločinecké skupiny nové techniky a škodlivé kódy, jako je Trickbot. V
průběhu února byl Trickbot šířen prostřednictvím spamových kampaní zaměřených
na právnické a pojišťovací organizace. Útočníci se snažili přimět uživatele,
aby stáhli do svých počítačů soubor ve formátu .zip, který obsahoval škodlivý
JavaScript soubor. Jakmile uživatel soubor otevře, dojde k pokusu o
stažení dalšího škodlivého obsahu ze vzdáleného serveru.
Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 %
organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších
kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS),
předního poskytovatele zdravotní péče v USA. UHS bylo obětí ransomwarového
útoku Ryuk a ušlé zisky a náklady v souvislosti s útokem se vyšplhaly
až na 67 milionů dolarů. Trickbot byl použit ke krádeži dat ze systémů UHS a také
k následnému infikování systému ransomwarem.
„Zločinci budou i nadále využívat existující hrozby a nástroje a Trickbot
je populární vzhledem ke své všestrannosti. Navíc se osvědčil při předchozích
útocích,“ říká Petr Kadrmas, Security
Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point. „Jak
jsme předpokládali, i když byla odstraněna jedna velká hrozba, neznamená to, že
by organizace měly polevit ve své ochraně, protože další nebezpečné hrozby
číhají na svou šanci.“
Top 3 - malware:
Pád Emotetu využil bankovní trojan Trickbot, který se posunul na první
místo v žebříčku nejčastěji použitých škodlivých kódů k útokům na
podnikové sítě. Dopad měl na více než 3 % organizací po celém světě. Následovaly
škodlivé kódy XMRig a Qbot, které ovlivnily shodně 3 % společností.
1. ↑ Trickbot – Trickbot je bankovní trojan, který
je neustále vylepšován, takže je flexibilní a lze jej využít jako součást
víceúčelových kampaní.
2.
↑ XMRig – XMRig je open-source CPU mining software
využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
3.
↑ Qbot – Qbot je bankovní trojan, který byl poprvé
detekován v roce 2008 a jehož cílem jsou krádeže bankovních přihlašovacích
údajů a špehování stisknutých kláves. Qbot se většinou šíří nevyžádanými
e-maily a využívá nejrůznější techniky, jak se vyhnout odhalení.
Top 3 - mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na
podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal
xHelper a na třetí místo vyskočil FurBall.
1. ↔ Hiddad – Android malware, který
přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho
hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým
bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi
získat citlivá uživatelská data.
2. ↔ xHelper – Škodlivá aplikace pro
Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování
dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se
před uživatelem a mobilními antivirovými programy a znovu se nainstalovat,
pokud ji uživatel odinstaluje.
3. ↑ FurBall – FurBall je Android MRAT
(Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená
na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je
aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky
v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o
poloze a podobně.
Top 3 - zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti.
Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především
zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem
na 48 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers
Remote Code Execution (CVE-2020-13756)“ s dopadem na 46 % společností a Top 3
uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 45 %
organizací.
1. ↑ Web Server Exposed Git Repository
Information Disclosure - Úspěšné zneužití této
zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2.
↔ HTTP Headers
Remote Code Execution (CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění
libovolného kódu na počítači oběti.
3.
↓ MVPower DVR Remote
Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena
v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a
spustit libovolný kód v daném routeru prostřednictvím speciálně
vytvořeného požadavku.
Check Point analyzoval i malware útočící na
podnikové sítě v České republice. Odstavení Emotetu mělo výrazný dopad i
na český žebříček, který doznal řady změn. Na první příčku poskočil backdoor
Qbot, který oproti lednu zdvojnásobil svůj dopad na tuzemské organizace. Na
druhé a třetí pozici jsou dva škodlivé kódy, které ve světě neútočí tak výrazně
jako v České republice. Bankovní trojan Zloader zasáhl přes 6 % českých
společností a exploit kit RigEK více než 5 % firem. Naopak Trickbot, který je
na čele celosvětového žebříčku, je v ČR až na 4. příčce.
|
Top malwarové rodiny
v České republice – únor
2020
|
|
Malwarová rodina
|
Popis
|
Dopad ve světě
|
Dopad v ČR
|
|
Qbot
|
Qbot je backdoor
patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří
spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást
důležité informace.
|
2,94 %
|
12,03 %
|
|
Zloader
|
Zloader navazuje na
bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve
webových prohlížečích a další citlivé informace od zákazníků bank a
finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému
systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné
transakce.
|
0,71 %
|
6,33 %
|
|
RigEK
|
RigEK byl poprvé
použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní
dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory
k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi,
Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na
vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití
zranitelných plug-inů.
|
1,46 %
|
5,38 %
|
|
Trickbot
|
Trickbot je varianta
malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se
především na uživatele bankovních služeb převážně v Austrálii a U.K. a v
poslední době také v Indii, Singapuru a Malajsii.
|
3,17 %
|
3,80 %
|
|
XMRig
|
XMRig je open-source
CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl
detekován v květnu 2017.
|
3,08 %
|
3,48 %
|
|
xHelper
|
Škodlivá aplikace
pro Android, která byla poprvé detekována v březnu 2019. Používá se ke
stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je
schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se
nainstalovat, pokud ji uživatel odinstaluje.
|
0,91 %
|
1,58 %
|
|
FurBall
|
FurBall je Android
MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50
napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017
a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat
zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory,
informace o poloze a podobně.
|
0,73 %
|
0,95 %
|
|
Neshta
|
Neshta je trojan,
který byl poprvé odhalen v roce 2010. Mění informace v registrech a v
nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření.
Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných
souborů.
|
0,80 %
|
0,95 %
|
|
FormBook
|
FormBook je škodlivý
kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé
byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I
když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti.
FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů,
vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může
stahovat a spouštět soubory na základě pokynů z C&C serveru.
|
2,33 %
|
0,95 %
|
|
CpuMiner-Multi
|
CpuMiner-Multi je
kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele
nebo provádět jiné škodlivé aktivity.
|
0,74 %
|
0,95 %
|
|
Turla
|
Turla je backdoor
zaměřený na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný
počítač.
|
0,83 %
|
0,95 %
|
|
GuLoader
|
GuLoader je downloader,
který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména
pro stahování škodlivého kódu Parallax RAT, ale následně se používal
k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a
Agent Tesla.
|
0,47 %
|
0,95 %
|
|
Arkei
|
Arkei je trojan
zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů
k virtuálním peněženkám.
|
0,76 %
|
0,95 %
|
Online mapa kybernetických
hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě
probíhají kybernetické útoky. Využívá pro to informací z Check Point
ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými
hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě
senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy
webových stránek a 600 milionů souborů a každý den identifikuje více než 250
milionů škodlivých aktivit.
Zveřejněno: 18. 03. 2021
