Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v ČR i ve světě výrazně vzrostl počet útoků malwaru Androxgh0st, který se používá ke krádežím citlivých informací.
Androxgh0st byl poprvé detekován v prosinci 2022. Útočníci s jeho pomocí zneužívají zranitelnosti jako CVE-2021-3129 a CVE-2024-1709, snaží se na dálku ovládnout počítač oběti a zároveň se zaměřují na budování botnetu, který krade data a přihlašovací údaje. Před malwarem varují ve svých zprávách také FBI a CISA.
Index hrozeb společnosti Check Point zahrnuje také analýzu 200 ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své oběti a vyvíjejí tlak na neplatící cíle. V dubna byla opět nejaktivnější skupina Lockbit3, ale od začátku roku klesl počet jejích útoků o 55 % a celosvětový dopad se snížil z 20 % na 9 %. LockBit3 zaznamenal v poslední době řadu neúspěchů. V únoru zasadily tvrdý úder skupině FBI, NCA, Europol a další mezinárodní složky v rámci Operace Cronos, nově byly zveřejněny podrobnosti o 194 subjektech využívajících LockBit3 k ransomwarovým útokům. Odhalen a demaskován byl i vůdce skupiny. Do Top 3 se znovu vrátila i skupina 8Base, která se přihlásila například k útoku na IT systémy OSN, ze kterých ukradla informace o lidských zdrojích a veřejných zakázkách.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 8 příček mezi méně bezpečné země a nově jí patří 40. pozice. Slovensko naopak patří mezi bezpečnější země a v dubnu se umístila až na 102. příčce. Mezi nebezpečné země se nejvíce posunul Bahrajn, o 30 míst, až na 36. příčku. První, tedy nejnebezpečnější, pozici obsadilo druhý měsíc za sebou Mongolsko.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunuly nemocnice a zdravotnické organizace.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v dubnu znovu downloader FakeUpdates, který měl dopad na 6 % společností po celém světě. Následovaly malwary Androxgh0st a Qbot.
- ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
- ↓ Qbot – Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity. Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení, aby ztížil analýzu a vyhnul se detekci.
Top 3 – mobilní malware:
Bankovní trojan Anubis byl v dubnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.
- ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
- ↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
- ↑ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Command Injection Over HTTP” s dopadem na 52 % společností, následovaly zranitelnosti „Web Servers Malicious URL Directory Traversal“ a „HTTP Headers Remote Code Execution“.
- ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.
- ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Top 3 – ransomwarové skupiny:
Check Point analyzoval téměř 200 ransomwarových „stránek hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je v současnosti hrozbou číslo jedna pro organizace po celém světě.
Nejrozšířenější ransomwarovou skupinou byl v dubnu LockBit3, který byl zodpovědný za 9 % zveřejněných útoků, což je drobný pokles o 3 procentní body oproti březnu. Skupina Play měla na svědomí 7 % zveřejněných ransomwarových útoků a BlackBasta na třetím místě 6 %.
- ↔ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.
- ↔ Play – Ransomware Play šifruje data a za dešifrování požaduje výkupné.
- ↑ 8Base – Ransomwarová skupina 8Base je aktivní minimálně od března 2022. V polovině roku 2023 významně zvýšila svou aktivitu a stala se postrachem mnoha organizací. 8Base používá různé varianty ransomwaru, ale základem je ransomware Phobos. Útoky jsou obvykle velmi sofistikované a skupina používá taktiku dvojitého vydírání.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Backdoor Jorik je nadále suverénně nejrozšířenější hrozbou pro české organizace a v porovnání s celosvětovým dopadem vidíme Českou republiku jasně jako jeden z primárních cílů. Na druhé místo vyskočil Androxgh0st, který krade citlivá data a navíc buduje botnet, který by ještě umocnil sílu a zrychlil šíření této hrozby. Celkově vidíme silné zastoupení zlodějských malwarů, přičemž organizace musí velmi pečlivě střežit svá data a přihlašovací údaje. Naopak oproti březnu klesl počet útoků malwaru FakeUpdates, který kyberzločinci používají ke stahování a šíření dalších malwarů a obchodování s přístupem do infikovaných systémů,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
| Top malwarové rodiny v České republice – duben 2024 |
| Malwarová rodina |
Popis |
Dopad v ČR |
Dopad ve světě |
| Jorik |
Jorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem. |
9,96 % |
0,41 % |
| Androxgh0st |
Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace. |
3,71 % |
3,77 % |
| Formbook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
3,12 % |
2,56 % |
| AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
2,54 % |
1,14 % |
| AsyncRat |
AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému. |
2,54 % |
1,46 % |
| TechJourney |
TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru. |
2,15 % |
0,17 % |
| FakeUpdates |
FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. |
1,76 % |
6,13 % |
| Snatch |
Snatch je ransomware jako služba (RaaS), který používá techniku dvojitého vydírání. Krade a šifruje data obětí a vyhrožuje jejich zveřejněním, pokud nedojde k zaplacení výkupného. Snatch funguje od roku 2018. |
1,56 % |
0,72 % |
| AZORult |
AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. |
1,37 % |
0,71 % |
| Crackonosh |
Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. |
1,17 % |
0,23 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
