Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
Výzkumníci také varují před vzkříšením Qbota pouhé čtyři měsíce poté, co americké a mezinárodní donucovací orgány v srpnu 2023 v rámci operace Duck Hunt zlikvidovaly jeho infrastrukturu. Qbot byl v prosinci používán zejména k útokům na pohostinství. Hackeři se například vydávali za daňový úřad a rozesílali škodlivé e-maily s PDF přílohou s vloženými URL adresami propojenými s instalačním programem společnosti Microsoft. Ten po aktivaci spustil „neviditelnou“ verzi Qbota, která využívá vloženou DLL knihovnu. Před srpnovým zásahem Qbot dominoval Indexu hrozeb a deset měsíců po sobě patřil mezi tři nejrozšířenější malwary. Další měsíce ukáží, jestli znovu získá takovou sílu jako dříve.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v prosinci drobně posunula, o 4 místa, mezi méně bezpečné země na aktuální 45. pozici. Naopak Slovensko se posunulo o 11 míst na bezpečnější 64. příčku. Mezi bezpečnější země se nejvýrazněji, o 45 míst, posunul Uzbekistán, kterému v prosinci patřila 104. pozice. Na prvním, tedy nejnebezpečnějším, místě je dlouhodobě Mongolsko.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v prosinci downloader FakeUpdates. Následovaly malwary FormBook a NanoCore.
- ↑ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↓ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↑ NanoCore – NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.
Top 3 – mobilní malware:
Bankovní trojan Anubis byl v prosinci nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.
- ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
- ↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
- ↑ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Apache Log4j Remote Code Execution” a „Web Servers Malicious URL Directory Traversal“ s dopadem na 46 % společností, na třetím místě je s dopadem na 43 % organizací po celém světě zranitelnost „Zyxel ZyWALL Command Injection“.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
- ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Úspěšné zneužití této zranitelnosti by vzdáleným útočníkům umožnilo spustit v napadeném systému libovolné příkazy operačního systému.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. V prosinci útočil drtivě zejména trojan NanoCore, který dokáže pořizovat snímky obrazovky, těžit kryptoměny nebo vzdáleně ovládat infikovaný počítač. V listopadu přitom nepatřil ani do Top 10. Nadále je velmi nebezpečný i backdoor Jorik, který také umožňuje kyberzločincům na dálku ovládat infikované počítače. Na čele žebříčku se tradičně drží i zlodějský malware AgentTesla, který se na darknetových fórech prodává za pouhých 15–69 dolarů za uživatelskou licenci. Alarmující je i celosvětový vzestup Qbota a to necelé čtyři měsíce po likvidaci jeho infrastruktury. Je to opět důrazná připomínka, jak rychle se kyberzločinci umí přizdobit. Organizace se při své ochraně musí zaměřit na preventivní bezpečnostní technologie, aby zůstaly krok před kyberzločinci,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.