Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v srpnu nejrozšířenějším malwarem FormBook. Na čele žebříčku nahradil dlouhodobou jedničku Emotet.
FormBook je zlodějský malware, který krade přihlašovací údaje, pořizuje snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a stahuje a spouští soubory podle příkazů z řídícího serveru (C&C). Na hackerských fórech je prodáván relativně levně coby MaaS (malware jako služba) a využívá řadu pokročilých technik, aby se vyhnul odhalení.
V srpnu jsme viděli také nárůstu útoků malwaru GuLoader, který se používá ke stahování a instalaci trojských koňů pro vzdálený přístup a zlodějských malwarů, jako jsou Netwire, FormBook a AgentTesla. Šíří se prostřednictvím masivních e‑mailových phishingových kampaní, které lákají oběti ke stažení a otevření škodlivého souboru.
Check Point varuje také před útoky mobilního malwaru Joker. Jakmile se dostane do zařízení, může krást SMS zprávy, seznamy kontaktů a informace o zařízení, může dokonce přihlásit oběť k placeným prémiovým službám. Nárůst útoků částečně souvisí i s nedávno odhalenými kampaněmi, při kterých číhal na uživatele v některých aplikacích na Google Play.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou nově zdravotnické organizace, což je znepokojivý trend.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu lehce posunula mezi bezpečnější země a patřila jí celosvětově 34. pozice. Slovensko se po neklidném červenci také posunulo o 8 míst směrem k bezpečnějším zemím a patřilo mu 68. místo. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.
„Srpen přinesl řadu změn. Viděli jsme pád dříve dominantního Emotetu a také vzestup Jokera, který je třetím nejrozšířenějším mobilním malwarem. Je to znovu důrazná připomínka, jak rychle se prostředí hrozeb může změnit a jak důležité je sledovat nejnovější hrozby a trendy. Zásadní je proto prevence napříč sítěmi, koncovými body i cloudem,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl v globálním měřítku dopad na 5 % organizací Na druhé příčce se umístil AgentTesla s dopadem na 4 % společností a XMRig na třetím místě ovlivnil celosvětově 2 % organizací.
- ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
- ↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly Anubis a Joker.
- ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↔ Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
- ↑ Joker – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Apache Log4j Remote Code Execution” s dopadem na 44 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s podobným dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „Web Servers Malicious URL Directory Traversal“ s dopaden na 39 % organizací.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↓ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet měl v uplynulých měsících dominantní pozici a byl jasnou jedničkou, ovšem v srpnu následoval propad, čehož využil zlodějský malware FormBook, který se posunul na čelo žebříčku. Botnet Cutwail sice celosvětově není nijak výrazný, ale pro české organizace se jedná o nebezpečnou hrozbu. Riziko špionáže a krádeže dat zvýrazňuje na druhém místě Snake Keylogger a na čtvrtém AgentTesla.
| Top malwarové rodiny v České republice – srpen 2022 |
| Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
| FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
5,10 % |
12,64 % |
| Snake Keylogger |
Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. |
1,00 % |
6,32 % |
| Cutwail |
Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. |
0,00 % |
5,49 % |
| AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
4,70 % |
4,12 % |
| Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. |
1,00 % |
3,85 % |
| GuLoader |
GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. |
2,10 % |
2,20 % |
| GhOst |
Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. |
0,00 % |
1,92 % |
| Emotet |
Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. |
2,10 % |
1,92 % |
| Tofsee |
Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. |
1,00 % |
1,92 % |
| AZORult |
AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. |
0,00 % |
1,37 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
Sledujte novinky o bezpečnostním týmu Check Point Research:
Sledujte novinky o společnosti Check Point Software Technologies:
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
