Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Výzkumníci odhalili nebezpečnou kampaň botnetu Phorpiex. Ten rozesílal miliony phishingových e-mailů s ransomwarem LockBit Black, který využívá jádro z ransomwaru LockBit3, ale s touto ransomwarovou skupinou není spojený.
Původní provozovatelé botnetu Phorpiex ukončili činnost a v srpnu 2021 prodali zdrojový kód. V prosinci 2021 však výzkumný tým kyberbezpečnostní společnosti Check Point objevil novou variantu nazvanou Twizt, která funguje v decentralizovaném peer-to-peer modelu. V dubnu letošního roku nalezla NJCCIC (New Jersey Cybersecurity and Communications Integration Cell) důkazy, že botnet Phorpiex byl využíván k rozesílání milionů phishingových e-mailů. Tyto e-maily obsahovaly přílohy ve formátu ZIP, které po otevření spustily ransomware a zašifrovaly počítač. Kampaň využívala více než 1 500 unikátních IP adres, především z Kazachstánu, Uzbekistánu, Íránu, Ruska a Číny.
Index hrozeb společnosti Check Point zahrnuje také analýzu ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své oběti a vyvíjejí tlak na neplatící cíle. V květnu opět potvrdila svou dominanci skupina Lockbit3, která měla na svědomí 33 % zveřejněných útoků. Na druhou pozici se dostala skupina Inc. Ransom (7 % všech zveřejněných útoků), která se nedávno přihlásila k rozsáhlému kybernetickému útoku na veřejné služby v Leicesteru ve Velké Británii. Skupina údajně ukradla přes 3 terabajty dat a způsobila masivní výpadek systémů.
„Policejním složkám se sice podařilo dočasně narušit provoz kybergangu LockBit3, uvolnit více než 7 000 dešifrovacích klíčů a odhalit několik klíčových osob z vedení skupiny, ale na úplné odstranění hrozby to stále nestačí. LockBit3 je tak nadále nejaktivnější ransomwarovou skupinou, která navíc neustále mění své taktiky,“ upozorňuje Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Ransomware je jednou z nejničivějších kybernetických zbraní. Jakmile útočníci proniknou do sítě a získají informace, možnosti obětí jsou omezené, zejména pokud si nemohou dovolit zaplatit požadované výkupné. Organizace proto musí používat preventivní bezpečnostní řešení a zastavit hrozby včas.“
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v květnu posunula o 8 příček mezi bezpečnější země a nově jí patří 48. pozice. Mezi nejbezpečnější země patří Slovensko, v květnu se umístilo na 100. příčce, což je minimálně změna oproti dubnové 102. pozici. Mezi nebezpečné země se nejvíce posunul Honduras, o 24 míst, až na 34. příčku. První, tedy nejnebezpečnější, pozici obsadilo třetí měsíc za sebou Mongolsko.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunuly komunikační společnosti.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v květnu znovu nebezpečný downloader FakeUpdates, který měl dopad na 7 % společností po celém světě. Následovaly malwary Androxgh0st a Qbot.
- ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
- ↔ Qbot – Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity. Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení, aby ztížil analýzu a vyhnul se detekci.
Top 3 – mobilní malware:
Bankovní trojan Anubis byl v květnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hydra.
- ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
- ↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
- ↑ Hydra – Bankovní trojan určený ke krádeži bankovních přihlašovacích údajů, který po obětech požaduje povolení nebezpečných oprávnění a přístupů při každém vstupu do jakékoli bankovní aplikace.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Command Injection Over HTTP” s dopadem na 50 % společností, následovaly zranitelnosti „Web Servers Malicious URL Directory Traversal“ a „Apache Log4j Remote Code Execution“.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
Top 3 – ransomwarové skupiny:
Check Point analyzoval téměř 200 ransomwarových „stránek hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v květnu LockBit3, který byl zodpovědný za 33 % zveřejněných útoků, což je oproti dubnu výrazný nárůst o 24 procentních bodů. Skupina Inc. Ransom měla na svědomí 7 % zveřejněných ransomwarových útoků a Play na třetím místě 5 %.
- ↔ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.
- ↑ Inc. Ransom – Ransomwarová skupina Inc. Ransom byla poprvé odhalena v červenci 2023 a pomocí spear-phishingových útoků se zaměřuje na zranitelné služby. Hlavními cíli jsou organizace v Severní Americe a Evropě, včetně zdravotnictví, školství a státní správy.
- ↓ Play – Ransomware Play šifruje data a za dešifrování požaduje výkupné.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Je zajímavé, že už několik měsíců za sebou je nejrozšířenější hrozbou pro české organizace backdoor Jorik a navíc ještě sílí, přitom jeho celosvětový dopad je minimální. Pro útočníky jsou ale české cíle evidentně zajímavé. Protože hackeři mohou infikovaný počítač na dálku ovládat, je potřeba být na tuto hrozbu dobře připraven. Podobně jako v dubnu i v květnu jsme viděli velkou aktivitu botnetu Androxgh0st, jehož dopad ještě zesílil o dva procentní body. Na třetí příčku vyskočila nová hrozba, malware CrimsonRAT, který také umožňuje vzdáleně ovládat infikované počítače. Vidíme tedy nový trend, kdy se po zlodějských malwarech dostaly do popředí hrozby zaměřené na kontrolu počítačů obětí,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
| Top malwarové rodiny v České republice – květen 2024 | |||
| Malwarová rodina | Popis | Dopad v ČR | Dopad ve světě |
| Jorik | Jorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem. | 11,92 % | 0,48 % |
| Androxgh0st | Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace. | 5,59 % | 5,19 % |
| CrimsonRAT | CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity. | 3,72 % | 0,44 % |
| FakeUpdates | FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. | 2,61 % | 6,86 % |
| CloudEyE | Downloader, který se zaměřuje na platformu Windows a slouží ke stahování a instalaci škodlivých programů do počítačů obětí. | 2,61 % | 2,19 % |
| TechJourney | TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru. | 2,42 % | 0,18 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 2,05 % | 1,36 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,05 % | 1,46 % |
| Snatch | Snatch je ransomware jako služba (RaaS), který používá techniku dvojitého vydírání. Krade a šifruje data obětí a vyhrožuje jejich zveřejněním, pokud nedojde k zaplacení výkupného. Snatch funguje od roku 2018. | 1,86 % | 0,78 % |
| AsyncRat | AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému. | 1,86 % | 1,53 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
