Trojan Dridex jedničkou mezi kyberhrozbami

Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Upozorňuje, že trojan Dridex je znovu na čele žebříčku kybernetických hrozeb a jeho vzestup souvisí s epidemií ransomwarových útoků.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 13 příček mezi méně bezpečné země, přesto jí patřila až 74. pozice. Slovensko poskočilo o 23 příček směrem ke klidnějším vodám na 67. příčku. Celkově byl duben ale poměrně neklidný a žebříčkem výrazně zamíchal. Na první příčku vyskočila z 58. pozice Etiopie. Čína se posunula dokonce o 86 příček až na 6. místo a Kolumbie z 81. březnového místa na 8. pozici. Zajímavé je, že obě země patřily v únoru mezi nebezpečné státy, v březnu se naopak velmi výrazně posunuly mezi bezpečné země a nyní se situace znovu otočila. Naopak Albánie patřila v březnu mezi nebezpečné země (5. místo) a v dubnu jí patřila až 106. pozice, což je jeden z nejvýraznějších posunů v historii žebříčku.

Dridex je používán v počáteční fázi ransomwarových útoků. Hackeři stále častěji využívají dvojité vydírání, kdy ještě před zašifrováním dat ukradnou citlivé informace a vyhrožují, že v případě nezaplacení výkupného vše zveřejní. Nově sledujeme dokonce trojité vydírání, kdy se útočníci navíc snaží kontaktovat i obchodní partnery nebo novináře. Výzkumný tým Check Point Research uvedl, že počet ransomwarových útoků vzrostl v České republice od začátku roku o 256 % a odhaduje se, že ransomwarové útoky stály v roce 2020 organizace po celém světě přibližně 20 miliard dolarů, tedy téměř o 75 % více než v roce 2019.

AgentTesla je aktivní od roku 2014 a nyní se poprvé umístil na 2. místě v žebříčku kyberhrozeb. Špehuje uživatele, sleduje stisknuté klávesy a obsah systémové schránky, pořizuje snímky obrazovky a krade přihlašovací údaje k různým programům, včetně prohlížečů Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook.

„Po celém světě sledujeme epidemii ransomwarových útoků, takže není překvapením, že první místo obsadila hrozba, která s tímto trendem souvisí. V průměru každých 10 sekund se nějaká organizace na světě stane obětí ransomwarového útoku,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vlády čelí výzvám, že musí dělat v boji s ransomwarem více. Každopádně všechny organizace musí nasadit odpovídající bezpečnostní řešení a vzdělávat zaměstnance, aby zvýšili šanci na rozpoznání škodlivých zpráv, které šíří Dridex a další malware, používaný v počáteční fázi ransomwarových útoků.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu znovu Dridex. Dopad měl na 15 % organizací po celém světě. Na druhou příčku se posunul AgentTesla s dopadem na 12 % společností a Trickbot na třetím místě ovlivnil 8 % podniků.

1.       Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.

2.       ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizuje snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

3.       ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

 

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl xHelper. Na druhou příčku se posunul backdoor Triada a Hiddad klesl na třetí místo.

1.       xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

2.       Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

3.       Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

 

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45,5 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 44 % organizací.

1.       ↑ Web Server Exposed Git Repository Information Disclosure Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

2.       ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

3.       ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

 

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Český žebříček byl tentokrát bez větších překvapení. Backdoor Qbot se navzdory klesajícímu celosvětovému dopadu drží v Česku na špici. Trickbot posiloval svoji pozici v ČR i ve světě a výrazný vzestup zaznamenal také AgentTesla, který v Česku poskočil z 9. místa na třetí. Dopad krytptominerů se v ČR dlouhodobě drží na dvojnásobku celosvětového průměru a potvrzuje to na 4. příčce XMRig. Duben přinesl také vzestup škodlivých kódů zaměřených na krádeže informací.

 

Top malwarové rodiny v České republice – duben 2020

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

Qbot

Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.

3,01 %

9,06 %

Trickbot

Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost.

8,48 %

6,95 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

11,99 %

5,14 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

3,08 %

2,72 %

Cutwail

Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.

0,14 %

2,72 %

Dridex

Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.

15,03 %

2,42 %

NanoCore

NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.

2,10 %

2,42 %

FormBook

FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

2,56 %

1,21 %

IcedID

IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem).

0,50 %

1,21 %

Arkei

Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám.

0,86 %

1,21 %

 

Zveřejněno: 26. 05. 2021 | Počet zobrazení: 453x