PRAHA – 11. ledna 2025 — Výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), průkopníka a globálního lídra v oblasti kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Zpráva upozorňuje na rychlý vzestup malwaru Androxgh0st, který je nově propojen s botnetem Mozi a zaměřuje se i na IoT zařízení a na kritickou infrastrukturu.
Kritická infrastruktura, zahrnující energetické sítě, dopravní systémy nebo třeba zdravotnické sítě, je častým terčem kyberútoků, protože narušení bezpečnosti těchto systémů může vést k chaosu, obrovským finančním škodám nebo ohrozit lidské životy. V případě úspěšného útoku mohou kyberzločinci žádat vysoké výkupné nebo získat velmi cenná data.
Výzkumníci zjistili, že Androxgh0st zneužívá zranitelnosti napříč platformami, včetně zařízení internetu věcí a webových serverů, klíčových součástí kritické infrastruktury. Androxgh0st převzal taktiku botnetu Mozi a používá vzdálené spouštění kódu a krádeže přihlašovacích údajů, aby v napadeném systému zůstal dlouhodobě bez odhalení, což mu umožňuje provádět řadu škodlivých aktivit, jako jsou DDoS útoky a krádeže dat. Botnet proniká do kritických infrastruktur prostřednictvím neopravených zranitelností. Integrace schopností Mozi a Androxgh0st významně rozšířila dosah, což umožňuje infikovat více IoT zařízení a ovládat širší škálu cílů. Tyto útoky pak vytvářejí kaskádové efekty napříč odvětvími a zvyšují riziko pro vlády, podniky a jednotlivce závislé na těchto infrastrukturách.
Nejrozšířenějším mobilním malwarem zůstává Joker, který krade SMS zprávy, kontakty a informace o zařízeních a současně oběti bez jejich souhlasu přihlašuje k prémiovým službám. Mobilní bankovní trojan Anubis na druhém místě získal nové velmi nebezpečné funkce, včetně vzdáleného přístupu, sledování stisknutých kláves a vyděračských útoků.
„Vzestup malwaru Androxgh0st a jeho propojení s botnetem Mozi ukazuje, že kyberzločinci neustále vyvíjejí své taktiky. Organizace se proto musí rychle přizpůsobit a používat komplexní bezpečnostní opatření, která dokáží tyto pokročilé hrozby identifikovat a neutralizovat dříve, než stihnou způsobit nějaké škody,“ upozorňuje Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu posunula o 2 příčky mezi méně bezpečné země, nově jí patří 43. pozice. Naopak Slovensko se nadále drží na bezpečnějším 81. místě. První, tedy nejnebezpečnější, pozici obsadila Etiopie.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v listopadu znovu Androxgh0st, který měl dopad na 5 % společností po celém světě. Na druhém místě je nebezpečný downloader FakeUpdates a na třetím zlodějský a špionážní malware AgentTesla.
- ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty zaměřené na vyhledávání a krádež různých informací.
- ↓ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↔ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 – mobilní malware:
Bankovní trojan Joker byl v listopadu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a Necro.
- ↔ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
- ↑ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
- ↓ Necro – Necro je trojan dropper pro Android, který dokáže stahovat další malware, zobrazovat nevyžádanou reklamu a krást peníze přihlašováním k placeným službám.
Top 3 – ransomwarové skupiny:
Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v listopadu RansomHub, který byl zodpovědný za 16 % zveřejněných útoků. Skupina Akira měla na svědomí 6 % zveřejněných ransomwarových útoků, stejně jako KillSec3 na třetím místě.
- RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
- Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
- KillSec3 – KillSec je rusky mluvící hackerská skupina, která vznikla v říjnu 2023. Skupina provozuje ransomware jako službu a nabízí také řadu dalších útočných kybernetických služeb, včetně DDoS útoků. Z přehledu obětí vyplývá velmi vysoký počet cílů v Indii a neobvykle nízký podíl amerických obětí ve srovnání s podobnými skupinami. Mezi hlavní cíle patří zdravotnictví a státní správa.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Androxgh0st potvrzuje svou sílu a i pro české organizace se jedná o největší hrozbu. Naopak trojan BMANAGER je celosvětově méně výrazný, ale v Česku jsou jeho útoky velmi rozšířené a organizace by se měly mít na pozoru, protože hrozí krádeže dat a přihlašovacích údajů. Zlodějské malwary jsou celkově velmi rozšířenou hrozbou a potvrzují to i Torpig a Makoob, které se poprvé dostaly do Top 10 malwarových rodin. Naopak nebezpečný downloader FakeUpdates, v globálním žebříčku druhý nejrozšířenější malware, v Česku oslabil,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
| Top malwarové rodiny v České republice – listopad 2024 |
| Malwarová rodina |
Popis |
Dopad v ČR |
Dopad ve světě |
| Androxgh0st |
Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty zaměřené na vyhledávání a krádež různých informací. |
7,25 % |
5,18 % |
| BMANAGER |
BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat. |
5,53 % |
0,80 % |
| FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
4,58 % |
2,98 % |
| Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. |
2,67 % |
2,41 % |
| CrimsonRAT |
CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity. |
2,48 % |
0,45 % |
| Torpig |
Trojan, který krade informace a sbírá citlivá data a bankovní přihlašovací údaje z infikovaného systému a odesílá je na vzdálený server. Počítače infikované Torpigem také vytvářejí masivní botnet. |
2,29 % |
0,62 % |
| TechJourney |
TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru. |
2,29 % |
0,16 % |
| FakeUpdates |
FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. |
1,72 % |
5,12 % |
| AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
1,53 % |
3,10 % |
| Makoob |
Makoob je trojan, který umožňuje získat kontrolu nad infikovanými systémy a krást data nebo instalovat další škodlivé komponenty. |
1,53 % |
0,60 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
