Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v říjnu nejrozšířenějším malwarem keylogger AgentTesla. Výrazně vzrostl také počet útoků zlodějských malwarů SnakeKeylogger a LokiBot, což jen podtrhuje, že uživatelé musí být během nadcházející nákupní sezóny velmi opatrní.
LokiBot krade zejména přihlašovací údaje z webových prohlížečů, e-mailových klientů a nástrojů pro správu IT. Do systému se snaží proniknout nepozorovaně a maskuje se za legitimní programy. Může být distribuován prostřednictvím phishingových e-mailů, škodlivých webových stránek, SMS nebo pomocí jiných platforem pro zasílání zpráv. Nárůst útoků souvisí i se spamovými kampaněmi zaměřenými na online poptávky, objednávky a potvrzení plateb.
V říjnu byla také odhalena nová kritická zranitelnost Text4Shell (CVE-2022-42889), která umožňuje útoky po síti, aniž by bylo nutné získat speciální oprávnění nebo to vyžadovalo nějakou aktivitu uživatelů. Text4shell připomíná zranitelnost Log4Shell, která na konci minulého roku odstartovala lavinu útoků. I po roce je jednou z hlavních hrozeb a v říjnovém žebříčku se umístila na druhém místě. Text4Shell zatím takovou kalamitu nezpůsobil, ale organizace by se měly adekvátně připravit a chránit proti všem zranitelnostem.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v říjnu lehce posunula o 3 příčky mezi méně bezpečné země a patřila jí celosvětově 35. pozice. Slovensko se naopak posunulo o 4 místa směrem k bezpečnějším zemím na aktuálně 59. místo. První, tedy nejnebezpečnější, místo obsadilo už několik měsíců po sobě Mongolsko. V říjnu se výrazně mezi nebezpečné země posunula Ukrajina, která poskočila o 26 míst na 37. příčku.
„V říjnu došlo k řadě změn a viděli jsme pád tradičních hrozeb i vzestup nových. Alarmující je zejména nárůst zlodějských malwarů a phishingových útoků. Během nadcházejícího nákupního období je potřeba dávat mimořádný pozor na podezřelé e-maily, které mohou obsahovat malware. Věnujte vždy chvilku času kontrole zpráv, jestli neobsahují podezřelé odkazy, od koho zprávy pochází a zda nežádají o osobní data. Pokud máte jakékoli pochybnosti, raději vždy navštivte přímo webové stránky dané společnosti a vyhledejte si příslušné informace z ověřených zdrojů. Zároveň používejte moderní zabezpečení, které vás ochrání i proti phishingovým trikům,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v říjnu AgentTesla, který měl v globálním měřítku dopad na 7 % organizací. Na druhou příčku se posunul SnakeKeylogger s dopadem na 5 % společností, LokiBot na třetím místě ovlivnil 4 % organizací.
- ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
- ↑ SnakeKeylogger – SnakeKeylogger je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům.
- ↑LokiBot – LokiBot je zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly bankovní trojan Hydra a spyware Joker.
- ↔ Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
- ↔ Hydra – Hydra je bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
- ↔ Joker – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 41 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 39 % organizací.
- ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook po několika dominantních měsících zcela vypadl z čela žebříčku. Nově byl nejrozšířenější hrozbou pro české organizace jiný zlodějský malware SnakeKeylogger, který v říjnu ovlivnil téměř 10 % českých společností. AgentTesla potvrdil svůj celosvětový vzestup a trápil i české organizace. Top 3 uzavírá další škodlivý kód zaměřený na krádeže dat a informací LokiBot, přitom v září vůbec nebyl ani v Top 10.
| Top malwarové rodiny v České republice – říjen 2022 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| SnakeKeylogger | Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. | 4,80 % | 9,35 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 7,15 % | 7,37 % |
| LokiBot | LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. | 4,70 % | 3,68 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,45 % | 2,27 % |
| IcedID | IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem). | 3,96 % | 1,98 % |
| AZORult | AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. | 0,48 % | 1,42 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. | 1,66 % | 1,42 % |
| Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. | 0,16 % | 1,42 % |
| Crackonosh | Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. | 0,89 % | 1,13 % |
| GhOst | Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. | 0,48 % | 1,13 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
- Facebook: https://www.facebook.com/CheckPointCzech
- Twitter: https://twitter.com/CheckPointCzech
- LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Sledujte novinky o společnosti Check Point Software Technologies:
- Twitter: http://www.twitter.com/checkpointsw
- Facebook: https://www.facebook.com/checkpointsoftware
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
- LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
