Viry útočí, Česko je v klidu

5. 6. 2019

Sdílet

 Autor: Fotolia © Bacho Foto
Podle celosvětového indexu dopadu hrozeb, který vytváří společnost Check Point, se v dubnu bankovní trojan Trickbot poprvé po téměř dvou letech vrátil do Top 10 škodlivých kódů použitých k útokům na podnikové sítě. Česko na 140. místě žebříčku nejčastějších cílů útoků.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 19 míst mezi bezpečnější země a v dubnu jí patřila 140. příčka. Slovensko se také drží mezi bezpečnějšími zeměmi (132. místo). Na prvním místě se v Indexu hrozeb umístil nově Mosambik. Ostrov Man se v březnu posunul z 31. pozice na 147. příčku a jednalo se o největší pohyb mezi bezpečnější země, naopak v dubnu se ostrov Man zase rekordně vyhoupl o 107 míst zpět mezi méně bezpečné země. Výrazně se mezi nebezpečné země zapsal také Irák, který poskočil o 70 míst až na 42. příčku. Černá Hora se oproti tomu z březnové 36. pozice dostala na bezpečnější 119. místo.

Víceúčelové bankovní trojany, jako je Trickbot, jsou oblíbeným nástrojem kyberzločinců, kteří touží po finančním zisku. Vzestup Trickbot kampaní je spojený s termínem amerického daňového přiznání. Spamová kampaň šíří excelový soubor, které stáhne Trickbot do počítače oběti a šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.

Zatímco tři nejčastější varianty malwaru, používané v dubnu k útokům na podnikové sítě, byly kryptominery, zbylých sedm škodlivých kódů v Top 10 byly víceúčelové trojany. Ukazuje to posun v taktice, kterou zločinci využívají k maximalizaci svých finančních zisků z kampaní po zavření několika populárních služeb těžících kryptoměny a po poklesu hodnot kryptoměn v uplynulém roce.

„V dubnu se do Top 10 dostaly škodlivé kódy Trickbot a Emotet. Špatnou zprávou to je nejenom kvůli tomu, že jsou oba botnety využívány ke krádežím soukromých dat a přihlašovacích údajů, ale také protože šíří ransomware Ryuk. Ryuk se zaměřuje na aktiva, jako jsou databáze a záložní servery, a požaduje výkupné ve výši až přes milion dolarů. Jelikož se tyto škodlivé kódy neustále mění a vyvíjí, je důležité mít robustní ochranu s pokročilou prevencí hrozeb,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.

 

Top 3 - malware:

  1. Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
  1. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. ↑ Jsecoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

 

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu modulární backdoor Triada. Na druhém místě zůstal hackerský nástroj Lotoor a malware Hiddad klesl na třetí příčku.

 

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  2. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. Hiddad - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

 

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla celosvětově dopad na 44 % organizací. Poprvé po 12 měsících klesla zranitelnost Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow z první příčky na druhou pozici, dopad měla na 40 % organizací po celém světě. Zranitelnost Apache Struts2 Content-Type Remote Code Execution na třetím místě ovlivnila také 38 % společností.

 

Top 3 - zranitelnosti:

  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  2. ↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  1. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.

 

bitcoin školení listopad 24

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul z březnové páté příčky kryptominer Cryptoloot. Naopak kryptominer JSEcoin klesl z pozice jedničky na třetí míst, přitom v březnu zcela dominoval a měl dopad na téměř 38 % českých společností. Kryptominery sice podobně jako ve světě ovládly přední příčky, ale oproti předchozím měsícům jejich pozice slábne a do žebříčku významně pronikají další hrozby.

 

Top malwarové rodiny v České republice – duben 2019

Malwarová rodina

Popis

Dopad ve světě

Dopad v ČR

Cryptoloot

Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.

5,49 %

8,92 %

XMRig

XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

4,08 %

6,56 %

JSEcoin

JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

3,93 %

5,51 %

Emotet

Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank.

3,62 %

5,25 %

Dorkbot

IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.

3,31 %

4,99 %

Spelevo

Exploit kit poskytující různé bankovní trojany.

0,47 %

3,15 %

Trickbot

Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K a v poslední době také v Indii, Singapuru a Malajsii.

2,09 %

2,10 %

Chir

Chir je malwarová rodina, která kombinuje funkce červa a viru.

0,20 %

1,84 %

sLoad

PowerShell downloader, který nejčastěji šíří škodlivý kód Ramnit.

0,59 %

1,84 %

Ramnit

Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor.

2,27 %

1,57 %

Nivdort

Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.

1,72 %

1,57 %

Lokibot

Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům.

1,74 %

1,57 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 - 69 dolarů za uživatelskou licenci.

2,21 %

1,57 %

Pony

Pony je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Známý je také jako Pony Stealer, Pony Loader, FareIT a další. Pony je známý od roku 2011 a od roku 2013 je jeho zdrojový kód veřejný, což umožňuje vyvíjet decentralizované verze. Kromě krádeží umožňuje útočníkům sledovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače, což z něj dělá botnet.

1,74 %

1,57 %

Hawkeye

Hawkeye je malware, který krade informace a primárně byl vytvořen pro krádeže přihlašovacích údajů. Průběžně byl Hawkeye vylepšován, aby mohl fungovat jako keylogger nebo krást hesla od e-mailu a webového prohlížeče nebo udělat screenshot obrazovky a tak dále. Často se prodává jako „malware jako služba“.

1,48 %

1,57 %

Sality

Sality je rodina škodlivých kódů infikujících soubory. Šíří se infikováním .exe a .scr souborů a pomocí vyměnitelných disků a síťových sdílených složek. Systémy infikované Sality mohou komunikovat přes síť peer-to-peer (P2P) sítě a šířit spam.

1,87 %

1,57 %