Check Point Research tradičně zveřejnil Celosvětový index dopadu hrozeb. Trojan Emotet stihl napáchat další škody, než byl 27. ledna odstaven v důsledku mezinárodní policejní operace. Během ledna měl dopad na 6 % organizací po celém světě a zůstal nejčastěji použitým škodlivým kódem k útokům na podnikové sítě.
Mezinárodní policejní složky převzaly na konci ledna kontrolu nad infrastrukturou Emotetu a plánují hromadně odinstalovat Emotet z infikovaných zařízení 25. dubna. Přesto byl Emotet i nadále malware s největším dopadem na světové i České organizace. Spamové kampaně šířící Emotet využívaly vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.
Emotet byl poprvé odhalen v roce 2014 a byl pravidelně aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.
„Emotet je jednou z nejničivějších variant malwaru, takže převzetí kontroly nad jeho infrastrukturou je velkým úspěchem,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Bohužel můžeme očekávat, že se nevyhnutelně objeví nové hrozby, které jej nahradí. Organizace proto musí používat robustní bezpečnostní systémy a preventivní řešení, aby hrozby nepronikly k uživatelům. Důležitou součástí komplexní ochrany je i vzdělávání zaměstnanců, aby dokázali identifikovat nebezpečné e-maily a nejrůznější triky kyberzločinců.“
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se dále posouvala mezi méně bezpečné země, o 15 míst až na 35. příčku. Slovensko se také posouvalo nežádoucím směrem, o 8 příček, přesto mu v lednu patřila až 70. pozice.
Na prvním místě v Indexu hrozeb skončil nově Katar, který na druhou pozici odsunul Bhútán. Mezi nejnebezpečnější země nejvýrazněji poskočila Dominikánská republika, o 26 příček až na 10. pozici. Opačným směrem se nejvíce posunul Nepál, kterému v prosinci patřila 13. pozice a v lednu až 59. místo.
Top 3 - malware:
Emotet zůstal i v lednu na čele žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 6 % organizací. Následovaly škodlivé kódy Phorpiex a Trickbot, které ovlivnily shodně 4 % společností.
- ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
- ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
Top 3 - mobilní malware:
Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a změna v lednu nebyla ani na třetím místě, které obhájil modulární backdoor Triada.
- ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.
Top 3 - zranitelnosti:
Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 43 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ s dopaden na 41 % organizací.
- ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet znovu ukázal, o jak nebezpečný malware jde. V České republice dominoval a měl dopad na čtvrtinu všech společností. Lze očekávat, že po jeho odstavení využijí pád „krále“ ostatní škodlivé kódy a jeho místo zaplní. Český žebříček byl tentokrát plný tradičních malwarů bez nových hrozeb a větších překvapení. Dopad Dridexu ve světě sice lehce klesl, ale v České republice ho růst posunul ze 3. místa na 2. Qbot zažíval pokles ve světě i v ČR, přesto se udržel v Top 3.
|
Top malwarové rodiny v České republice – leden 2020 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Emotet |
Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. |
6,38 % |
25,40 % |
|
Dridex |
Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. |
3,28 % |
10,48 % |
|
Qbot |
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. |
1,90 % |
6,67 % |
|
Phorpiex |
Phorpiex je červ zaměřený na platformu Windows. Vytváří samospustitelné soubory na přenosných zařízeních, aby se dále šířil, a zároveň se přidává do seznamu autorizovaných aplikací, aby tak obešel systémový firewall. |
3,92 % |
4,44 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
3,23 % |
4,44 % |
|
Trickbot |
Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. |
3,67 % |
3,81 % |
|
RigEK |
RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. |
1,74 % |
3,81 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
2,79 % |
3,17 % |
|
AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15 - 69 dolarů za uživatelskou licenci. |
0,25 % |
2,86 % |
|
xHelper |
Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. |
0,91 % |
1,90 % |
PŘEDPLATNÉ
ČLÁNKY DO MAILU