Echobot po celém světě masivně útočí na internet věcí

17. 9. 2019

Sdílet

 Autor: © Gunnar Assmy - Fotolia.com
Experti varují organizace před novou variantou botnetu Mirai s označením Echobot. Ta masivně útočí na nejrůznější IoT zařízení a zneužívá už více než 50 různých zranitelností.

Echobot podle vědců způsobil prudký nárůst zranitelnosti „Command Injection Over HTTP“, která ovlivnila 34 % organizací po celém světě. Check Point, který Echobot objevil, uvádí, že byl poprvé detekován v polovině května tohoto roku.

Znovu je aktivní i útočná infrastruktura botnetu Emotet, která byla před 2 měsíci odstavená. Emotet byl největší botnet fungující v první polovině roku 2019. I když ještě nebyly detekovány žádné masivní kampaně, je pravděpodobné, že bude Emotet brzy použit ke spuštění spamových kampaní.

Check Point vydal i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se znovu umístila mezi bezpečnějšími zeměmi a patřila jí 87. příčka, což je jen lehký posun o 5 míst oproti červencové 92. pozici. Naopak Slovensko zaznamenalo jeden z největších posunů mezi nebezpečnější země a poskočilo z 85. pozice na 64. příčku.

Na prvním místě se v Indexu hrozeb umístil Katar a na 2. pozici se z 15. místa posunula Čína. Nejvýrazněji se mezi nebezpečné země posunul Izrael, který ze 74. místa poskočil na 43. příčku. Opačným směrem, tedy mezi bezpečnější země, kleslo nejvíce (o 30 příček) Maroko (na 52. místo).

V srpnu dominovaly škodlivým kódům opět kryptominery a Top 3 zůstalo beze změny. XMRig obsadil první místo a ovlivnil 7 % organizací. Těsně následovaly JSEcoin a Dorkbot, oba škodlivé kódy měly dopad na 6 % společností po celém světě.

  1. XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. JSEcoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
  3. Dorkbot - IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v srpnu hackerský nástroj Lotoor. Na druhé příčce zůstal adware AndroidBauts a na třetí místo se vrátil modulární backdoor Triada.

  1. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  2. AndroidBauts – Adware zaměřený na uživatele systému Android, který odesílá informace o IMEI, IMSI, GPS poloze a další informace o zařízení a umožňuje instalovat aplikace a zástupce třetích stran na mobilních zařízeních.
  3. Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 39 % organizací. Těsně následovala zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla na druhém místě dopad také na 39 % společností. MVPower DVR Remote Code Execution na třetím místě ovlivnila 38 % organizací po celém světě.

bitcoin školení listopad 24

  1. SQL Injection (různé techniky) - Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  3. MVPower DVR Remote Code Execution – Zranitelnost umožňující vzdálené spuštění kódu byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul ze druhé červencové příčky kryptominer JSEcoin. Z prvního místo na třetí klesl kryptominer XMRig, když jej ještě předskočil pokročilý RAT AgentTesla. Zajímavostí také je výrazně větší dopad malwarů JSEcoin a AgentTesla v ČR, než je celosvětový průměr.

 

Top malwarové rodiny v České republice – srpen 2019

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

JSEcoin

JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

7,14 %

19,20 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 - 69 dolarů za uživatelskou licenci.

5,20 %

18,84 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

7,26 %

9,06 %

Emotet

Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank.

3,42 %

5,43 %

Chir

Chir je malwarová rodina, která kombinuje funkce červa a viru.

0,78 %

3,99 %

Dorkbot

IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.

5,66 %

3,99 %

Cryptoloot

Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

3,32 %

3,62 %

Trickbot

Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii.

5,40 %

3,26 %

Jaktinier

Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem.

0,54 %

2,54 %

Parite

Parite je polymorfní virus, který infikuje spustitelné soubory (EXE a SCR) na infikovaném stroji a na síťovém disku. Vkládá škodlivý DLL soubor do dočasného adresáře Windows a ovlivňuje proces explorer.exe.

0,54 %

2,54 %