Pozor na zlodějský malware, krade citlivá data a přihlašovací údaje, v Česku je druhou nejrozšířenější hrozbou
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého v ČR i ve světě výrazně vzrostl počet útoků malwaru Androxgh0st, který se používá ke krádežím citlivých informací.
Androxgh0st byl poprvé detekován v prosinci 2022. Útočníci s
jeho pomocí zneužívají zranitelnosti jako CVE-2021-3129 a CVE-2024-1709, snaží
se na dálku ovládnout počítač oběti a zároveň se zaměřují na budování botnetu,
který krade data a přihlašovací údaje. Před malwarem varují ve svých zprávách
také FBI a CISA.
Index hrozeb společnosti Check Point zahrnuje také analýzu
200 ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své
oběti a vyvíjejí tlak na neplatící cíle. V dubna byla opět nejaktivnější
skupina Lockbit3, ale od začátku roku klesl počet jejích útoků o 55 % a
celosvětový dopad se snížil z 20 % na 9 %. LockBit3 zaznamenal v poslední době
řadu neúspěchů. V únoru zasadily tvrdý úder skupině FBI, NCA, Europol a další
mezinárodní složky v rámci Operace Cronos, nově byly zveřejněny podrobnosti o
194 subjektech využívajících LockBit3 k ransomwarovým útokům. Odhalen a
demaskován byl i vůdce skupiny. Do Top 3 se znovu vrátila i skupina 8Base,
která se přihlásila například k útoku na IT systémy OSN, ze kterých ukradla
informace o lidských zdrojích a veřejných zakázkách.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem
kyberútoků. Česká republika se v dubnu posunula o osm příček mezi méně bezpečné
země a nově jí patří 40. pozice. Slovensko naopak patří mezi bezpečnější země a
v dubnu se umístila až na 102. příčce. Mezi nebezpečné země se nejvíce posunul
Bahrajn, o 30 míst, až na 36. příčku. První, tedy nejnebezpečnější, pozici
obsadilo druhý měsíc za sebou Mongolsko.
Výzkumný tým zároveň upozorňuje, že největšímu množství
kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a
vojenské subjekty a na třetí místo se posunuly nemocnice a zdravotnické
organizace.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové
sítě vládl v dubnu znovu downloader FakeUpdates, který měl dopad na 6 %
společností po celém světě. Následovaly malwary Androxgh0st a Qbot.
1. ↔
FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce
JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex,
NetSupport, DoppelPaymer a AZORult.
2. ↑
Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux.
Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na
PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako
jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke
sbírání požadovaných informací používá soubory Laravel. Navíc má různé
varianty, které vyhledávají různé informace.
3. ↓ Qbot –
Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé
objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací
údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity.
Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení,
aby ztížil analýzu a vyhnul se detekci.
Top 3 – mobilní malware:
Bankovní trojan Anubis byl v dubnu nejčastěji použitým
malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a
Hiddad.
1. ↔ Anubis
– Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je
vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves,
nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých
aplikací, dostupných v obchodě Google.
2. ↔ AhMyth
– Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se
prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi
a na různých webových stránkách. Když si uživatel nainstaluje některou z
infikovaných aplikací, může malware krást citlivé informace ze zařízení a
sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a
aktivovat fotoaparát.
3. ↑ Hiddad
– Malware pro Android, který se maskuje za známé aplikace v obchodech třetích
stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke
klíčovým bezpečnostním údajům uvnitř operačního systému.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané
zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat
zejména zranitelnosti „Command Injection Over HTTP” s dopadem na 52 %
společností, následovaly zranitelnosti „Web Servers Malicious URL Directory
Traversal“ a „HTTP Headers Remote Code Execution“.
1. ↑ Command
Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Vzdálený útočník může
tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné
zneužití by umožnilo spustit na cílovém počítači libovolný kód.
2. ↓ Web
Servers Malicious URL Directory Traversal
(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
- Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným
souborům na zranitelném serveru.
3. ↔ HTTP
Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828,
CVE-2020-1375) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke
spuštění libovolného kódu na počítači oběti.
Top 3 – ransomwarové skupiny:
Check Point analyzoval téměř 200 ransomwarových „stránek
hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého
vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které
okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled,
přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je v
současnosti hrozbou číslo jedna pro organizace po celém světě.
Nejrozšířenější ransomwarovou skupinou byl v dubnu LockBit3,
který byl zodpovědný za 9 % zveřejněných útoků, což je drobný pokles o tři procentní
body oproti březnu. Skupina Play měla na svědomí 7 % zveřejněných
ransomwarových útoků a BlackBasta na třetím místě 6 %.
1. ↔
Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019.
LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí.
Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.
2. ↔ Play –
Ransomware Play šifruje data a za dešifrování požaduje výkupné.
3. ↑ 8Base –
Ransomwarová skupina 8Base je aktivní minimálně od března 2022. V polovině roku
2023 významně zvýšila svou aktivitu a stala se postrachem mnoha organizací.
8Base používá různé varianty ransomwaru, ale základem je ransomware Phobos.
Útoky jsou obvykle velmi sofistikované a skupina používá taktiku dvojitého
vydírání.
„Analyzovali jsme i malware útočící na podnikové sítě v
České republice. Backdoor Jorik je nadále suverénně nejrozšířenější hrozbou pro
české organizace a v porovnání s celosvětovým dopadem vidíme Českou republiku
jasně jako jeden z primárních cílů. Na druhé místo vyskočil Androxgh0st, který
krade citlivá data, a navíc buduje botnet, který by ještě umocnil sílu a
zrychlil šíření této hrozby. Celkově vidíme silné zastoupení zlodějských
malwarů, přičemž organizace musejí velmi pečlivě střežit svá data a
přihlašovací údaje. Naopak oproti březnu klesl počet útoků malwaru FakeUpdates,
který kyberzločinci používají ke stahování a šíření dalších malwarů a
obchodování s přístupem do infikovaných systémů,“ říká Tomáš Růžička, SE
Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Doplňková fotografie: Pixabay
Zveřejněno: 22. 05. 2024