Na Česko se valí stále více kyberútoků

23. 2. 2021

Sdílet

 Autor: Depositphotos
Česká republika se na žebříčku zemí, které jsou nejčastěji terčem kyberútoků, posunula o 15 příček nahoru. Vyplývá to z Celosvětového indexu dopadu hrozeb společnosti Check Point.

Check Point Research tradičně zveřejnil Celosvětový index dopadu hrozeb. Trojan Emotet stihl napáchat další škody, než byl 27. ledna odstaven v důsledku mezinárodní policejní operace. Během ledna měl dopad na 6 % organizací po celém světě a zůstal nejčastěji použitým škodlivým kódem k útokům na podnikové sítě.

Mezinárodní policejní složky převzaly na konci ledna kontrolu nad infrastrukturou Emotetu a plánují hromadně odinstalovat Emotet z infikovaných zařízení 25. dubna. Přesto byl Emotet i nadále malware s největším dopadem na světové i České organizace. Spamové kampaně šířící Emotet využívaly vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.

Emotet byl poprvé odhalen v roce 2014 a byl pravidelně aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.

„Emotet je jednou z nejničivějších variant malwaru, takže převzetí kontroly nad jeho infrastrukturou je velkým úspěchem,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Bohužel můžeme očekávat, že se nevyhnutelně objeví nové hrozby, které jej nahradí. Organizace proto musí používat robustní bezpečnostní systémy a preventivní řešení, aby hrozby nepronikly k uživatelům. Důležitou součástí komplexní ochrany je i vzdělávání zaměstnanců, aby dokázali identifikovat nebezpečné e-maily a nejrůznější triky kyberzločinců.“

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se dále posouvala mezi méně bezpečné země, o 15 míst až na 35. příčku. Slovensko se také posouvalo nežádoucím směrem, o 8 příček, přesto mu v lednu patřila až 70. pozice.

Na prvním místě v Indexu hrozeb skončil nově Katar, který na druhou pozici odsunul Bhútán. Mezi nejnebezpečnější země nejvýrazněji poskočila Dominikánská republika, o 26 příček až na 10. pozici. Opačným směrem se nejvíce posunul Nepál, kterému v prosinci patřila 13. pozice a v lednu až 59. místo.

 

Top 3 - malware:

Emotet zůstal i v lednu na čele žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 6 % organizací. Následovaly škodlivé kódy Phorpiex a Trickbot, které ovlivnily shodně 4 % společností.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
  3. ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

 

Top 3 - mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a změna v lednu nebyla ani na třetím místě, které obhájil modulární backdoor Triada.

  1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
  2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↔ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

 

Top 3 - zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 43 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ s dopaden na 41 % organizací.

  1. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

 

bitcoin školení listopad 24

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet znovu ukázal, o jak nebezpečný malware jde. V České republice dominoval a měl dopad na čtvrtinu všech společností. Lze očekávat, že po jeho odstavení využijí pád „krále“ ostatní škodlivé kódy a jeho místo zaplní. Český žebříček byl tentokrát plný tradičních malwarů bez nových hrozeb a větších překvapení. Dopad Dridexu ve světě sice lehce klesl, ale v České republice ho růst posunul ze 3. místa na 2. Qbot zažíval pokles ve světě i v ČR, přesto se udržel v Top 3.

 

Top malwarové rodiny v České republice – leden 2020

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

Emotet

Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní.  Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.

6,38 %

25,40 %

Dridex

Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.

3,28 %

10,48 %

Qbot

Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.

1,90 %

6,67 %

Phorpiex

Phorpiex je červ zaměřený na platformu Windows. Vytváří samospustitelné soubory na přenosných zařízeních, aby se dále šířil, a zároveň se přidává do seznamu autorizovaných aplikací, aby tak obešel systémový firewall.

3,92 %

4,44 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

3,23 %

4,44 %

Trickbot

Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.

3,67 %

3,81 %

RigEK

RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.

1,74 %

3,81 %

FormBook

FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

2,79 %

3,17 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15 - 69 dolarů za uživatelskou licenci.

0,25 %

2,86 %

xHelper

Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

0,91 %

1,90 %