Hlavní hrozbou nejen pro české organizace je botnet a bankovní trojan Trickbot
Celosvětový index dopadu hrozeb od Check Point Software Technologies upozorňuje na to, že Trickbot vystřídal na čele žebříčku hrozeb trojan Dridex, který byl v posledních měsících jedním z nejoblíbenějších malwarů a souvisel s ním i celosvětový nárůst ransomwaru.
Zatím není jasné, proč Dridex tak výrazně oslabil,
ale podle posledních zpráv gang Evil Corp, který Dridex distribuoval, změnil svůj
přístup, aby se vyhnul sankcím amerického ministerstva financí.
Vydán byl i žebříček zemí, které jsou nejčastěji
terčem kyberútoků. Oproti turbulentnímu dubnu tentokrát nedošlo k tak
dramatickým změnám. Česká republika se posunula o pouhé dvě příčky na 72. pozici.
Slovensko v květnu ale poskočilo o 27 příček až na nebezpečnější 40.
příčku. Na první místo se ze 2. pozice posunul Katar.
Botnet a bankovní trojan Trickbot dokáže krást
finanční data, přihlašovací údaje, osobní informace a také se může šířit uvnitř
sítě nebo spustit útok ransomwaru, zejména nechvalně známého ransomwaru Ryuk. Hackeři
hrozbu neustále vyvíjí a aktualizují a rozšiřují i možnosti distribuce, takže
je často využíván v rámci víceúčelových kampaní. Trickbot sílí zejména od
lednového pádu botnetu Emotet.
„Hodně se mluví o ransomwarových útocích, ale ransomware
není zdaleka jedinou hrozbou. Celkově vidíme obrovskou vlnu kyberútoků,“ říká Tomáš Růžička, SE Team
leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Je
pozitivní, že v rámci boje proti Trickbotu byla vznesena první obvinění,
ale ještě nás čeká dlouhá cesta v řešení tohoto problému. Organizace musí znát
rizika a implementovat odpovídající řešení. Důležité je změnit přístup a útoky
nejenom detekovat, ale především jim předcházet. Se správnými technologiemi lze
zabránit většině útoků, a to i těm nejpokročilejším, aniž by došlo k narušení
běžného chodu podniku.“
Top 3 –
malware:
Škodlivým kódům nejčastěji použitým k útokům na
podnikové sítě vévodil v květnu Trickbot, který měl dopad na 8 %
organizací po celém světě. Na druhou příčku se posunul XMRig s dopadem na 3
% společností a FormBook na třetím místě ovlivnil shodně 3 % podniků.
1.
↑ Trickbot – Trickbot
je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej
využít jako součást víceúčelových kampaní.
2. ↑ XMRig – XMRig je
open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé
byl detekován v květnu 2017.
3. ↑ FormBook – FormBook shromažďuje
přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky,
monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory
na základě pokynů z C&C serveru
Top 3 –
mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na
podniková mobilní zařízení vládl znovu xHelper. Následoval backdoor Triada a Android
malware Hiddad.
1.
↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé
detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a
zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními
antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
2.
↔ Triada – Modulární backdoor pro Android, který uděluje
superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do
systémových procesů.
3.
↔ Hiddad – Android malware, který přebaluje legitimní aplikace
a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování
reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím
obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá
uživatelská data.
Top 3
- zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti.
Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především
zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem
na 48 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code
Execution (CVE-2020-13756)“ s dopadem na 47,5 % společností a Top 3 uzavírá zranitelnost
„MVPower DVR Remote Code Execution“ s dopaden na 46 % organizací.
1. ↔ Web Server Exposed Git Repository Information
Disclosure – Úspěšné
zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o
účtu.
2. ↔ HTTP Headers Remote Code Execution
(CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou
HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu,
byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu
a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného
požadavku.
Zveřejněno: 25. 06. 2021
