Štítek: Check Point Research

Každá organizace na světě čelila v roce 2023 v průměru více než 60 000 kybernetickým útokům

• Každá 10. organizace na světě byla v roce 2023 terčem ransomwarového útoku, což je o 33 % více než v předchozím roce.

• V průběhu roku 2023 zažila každá organizace v průměru více než 60 000 útoků, tedy 1 158 útoků týdně.

V digitálním světě zuří kybernetická válka. Kyberbezpečnostní společnost Check Point Software Technologies proto provedla komplexní analýzu dat, ze které vyplývá, že v roce 2023 čelila každá organizace na světě v průměru 1 158 kybernetickým útokům týdně.

Tradiční ransomware představuje i nadále vážné riziko, zejména pro menší a hůře zabezpečené organizace, ale někteří útočníci se začali soustředit pouze na krádeže dat a vydírání. Tato změna taktiky je patrná u dvou velmi významných útočných kampaní na MOVEit a GoAnywhere. Tyto útoky nevyužívaly tradiční ransomware s šifrováním, ale primárně se zaměřovaly na krádeže dat a výkupné mělo zabránit zveřejnění citlivých informací.

„Nejvíce zasaženým sektorem je vzdělávání a výzkum, ačkoli jsme oproti předchozímu období zaznamenali 12% pokles počtu útoků. Naopak maloobchodní a velkoobchodní společnosti čelily 22% nárůstu útoků. Důvodem může být obrovské množství osobních a finančních dat, se kterými tyto společnosti pracují, což z nich činí atraktivní cíle. Kyberzločinci pak mohou informace o platebních kartách, adresy, osobní data, identity a přihlašovací údaje využít k dalším útokům nebo je prodávat na darknetu. Zároveň v oblasti maloobchodu i velkoobchodu pozorujeme poměrně složité dodavatelské řetězce a útok na jednu společnost může spustit lavinu dalších útoků. Znepokojivý je také nadále velmi vysoký počet útoků na zdravotnictví,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Rok ransomwarových megaútoků

V roce 2023 došlo k dalšímu vývoji ransomwaru. Viděli jsme nárůst běžného ransomwaru i ničivých megaútoků. Řada zranitelností nultého dne umocnila rozsah výsledných škod a počet zasažených obětí. Stále více hackerských skupin se také hlásí k jednotlivým útokům, byť někdy falešně.

Kyberzločinci často volí novou strategii. Místo zašifrování dat a žádosti o výkupné za jejich zpřístupnění vidíme důraz na krádeže dat a vyhrožování jejich zveřejněním. Jedná se o strategický obrat, kdy se důraz přesunul od narušování provozu k využívání ukradených dat. Znovu se tak ukazuje, jak se kyberzločinci umí přizpůsobit, aby byli co nejefektivnější.

10 % organizací po celém světě se v roce 2023 stalo terčem ransomwarového útoku, což je nejvíce za posledních několik let. Mezi nejvíce zasažená odvětví patří vzdělávání a výzkum, kde ransomwarovému útoku čelilo 22 % organizací. Následuje státní správa a vojenský sektor s 16 % a zdravotnictví s 12 %. Vyplývá to z dat kyberbezpečnostní společnosti Check Point Software Technologies.

Umělá inteligence pomáhá chránit před kyberútoky

Stále významnější roli v boji s kyberzločinem hrají AI technologie. Jednou z klíčových oblastí, kde umělá inteligence významně pomáhá, je detekce a analýza hrozeb. Kyberbezpečnostní systémy s umělou inteligencí vynikají v identifikaci anomálií a odhalování dříve neviděných vzorců útoků, čímž zmírňují potenciální rizika.

Data v této zprávě pocházejí z ThreatCloud AI, Big Data Intelligence nástroje společnosti Check Point. ThreatCloud AI každý den sbírá a analyzuje informace ze 150 000 sítí a milionů koncových zařízení a také z výzkumného týmu Check Point Research a desítek externích zdrojů. ThreatCloud AI tak umožňuje okamžitě reagovat na nové hrozby a v reálném čase chránit uživatele po celém světě i před těmi nejsofistikovanějšími útoky.

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

X: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
 X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

České organizace čelí nejčastěji útokům zlodějského malwaru NanoCore, krade data, těží kryptoměny a umožňuje vzdáleně ovládat počítač oběti

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

Výzkumníci také varují před vzkříšením Qbota pouhé čtyři měsíce poté, co americké a mezinárodní donucovací orgány v srpnu 2023 v rámci operace Duck Hunt zlikvidovaly jeho infrastrukturu. Qbot byl v prosinci používán zejména k útokům na pohostinství. Hackeři se například vydávali za daňový úřad a rozesílali škodlivé e-maily s PDF přílohou s vloženými URL adresami propojenými s instalačním programem společnosti Microsoft. Ten po aktivaci spustil „neviditelnou“ verzi Qbota, která využívá vloženou DLL knihovnu. Před srpnovým zásahem Qbot dominoval Indexu hrozeb a deset měsíců po sobě patřil mezi tři nejrozšířenější malwary. Další měsíce ukáží, jestli znovu získá takovou sílu jako dříve.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v prosinci drobně posunula, o 4 místa, mezi méně bezpečné země na aktuální 45. pozici. Naopak Slovensko se posunulo o 11 míst na bezpečnější 64. příčku. Mezi bezpečnější země se nejvýrazněji, o 45 míst, posunul Uzbekistán, kterému v prosinci patřila 104. pozice. Na prvním, tedy nejnebezpečnějším, místě je dlouhodobě Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v prosinci downloader FakeUpdates. Následovaly malwary FormBook a NanoCore.

  1. ↑ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
  2. ↓ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  3. ↑ NanoCore – NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.

Top 3 – mobilní malware:

Bankovní trojan Anubis byl v prosinci nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

  1. ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
  2. ↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  3. Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Apache Log4j Remote Code Execution” a „Web Servers Malicious URL Directory Traversal“ s dopadem na 46 % společností, na třetím místě je s dopadem na 43 % organizací po celém světě zranitelnost „Zyxel ZyWALL Command Injection“.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Úspěšné zneužití této zranitelnosti by vzdáleným útočníkům umožnilo spustit v napadeném systému libovolné příkazy operačního systému.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. V prosinci útočil drtivě zejména trojan NanoCore, který dokáže pořizovat snímky obrazovky, těžit kryptoměny nebo vzdáleně ovládat infikovaný počítač. V listopadu přitom nepatřil ani do Top 10. Nadále je velmi nebezpečný i backdoor Jorik, který také umožňuje kyberzločincům na dálku ovládat infikované počítače. Na čele žebříčku se tradičně drží i zlodějský malware AgentTesla, který se na darknetových fórech prodává za pouhých 15–69 dolarů za uživatelskou licenci. Alarmující je i celosvětový vzestup Qbota a to necelé čtyři měsíce po likvidaci jeho infrastruktury. Je to opět důrazná připomínka, jak rychle se kyberzločinci umí přizdobit. Organizace se při své ochraně musí zaměřit na preventivní bezpečnostní technologie, aby zůstaly krok před kyberzločinci,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – prosinec 2023
Malwarová rodina Popis Dopad ve světě Dopad v ČR
NanoCore NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. 15,86 % 1,45 %
Jorik Jorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem. 6,19 % 0,33 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 2,32 % 1,05 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 1,74 % 2,02 %
Tofsee Tofsee je Trickler, který je zaměřen na platformu Windows. Jedná se o víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. Může také stahovat a spouštět další škodlivé soubory v napadených systémech. 1,35 % 0,44 %
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,77 % 0,34 %
Barys Barys je trojan downloader, který útočníkům umožňuje stahovat a nahrávat soubory do počítače oběti. Rozesílán je prostřednictvím spamových kampaní nebo je ukryt v instalátorech bezplatných programů, které jsou zveřejněny na podezřelých webových stránkách. 0,77 % 0,23 %
Cryxos Cryxos je trojan ransomware, který se zaměřuje na platformu Windows. Používá obfuskovaný JavaScript ke kontaktování vzdáleného ovladače, který může reagovat dalšími skripty a soubory. Skripty mohou stahovat další knihovny a spustitelné soubory pro HTTP spolu se souborem PHP, který je zodpovědný za provádění ransomwarových funkcí. Malware nabídne uživateli možnost zaplatit výkupné výměnou za nástroj pro dešifrování souborů. 0,77 % 0,11 %
FakeUpdates FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. 0,77 % 2,32 %
AsyncRat AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému. 0,58 % 1,07 %

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

X: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
 X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Nejvíce kyberútoků cílí na vzdělávací a výzkumné organizace, školy, učitelé i žáci musí být se začátkem nového školního roku opatrní

Školy se snaží zkvalitňovat své služby a stále častěji využívají pro studenty i učitele různé digitální platformy. Ale jako vždy s pokrokem přichází i rizika a nejrůznější hrozby.

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies, která letos slaví 30 let od svého založení, upozorňuje, že sektor vzdělávání a výzkumu čelí největšímu počtu kyberútoků, navíc s obrovským náskokem na ostatní odvětví.

„V letošním roce čelí jedna vzdělávací nebo výzkumná organizace v průměru 2256 kybernetickým útokům týdně. Jedná se sice o mírný pokles (o 1 %) oproti stejnému období v loňském roce, ale i tak je vzdělávání a výzkum jednoznačně nejčastějším terčem kyberzločinců,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Průměrný týdenní počet útoků na jednu organizaci

Proč je právě tento sektor tak oblíbeným cílem kyberzločinců? „Jedním z možných vysvětlení je všudypřítomná digitalizace a vzrůstající závislost na online platformách pro studium, výuku a testování. Útočníci tak mají mnoho příležitostí, jak zaútočit. Vzdělávací organizace navíc pracují s množstvím citlivých a velmi cenných informací o studentech, což je pro hackery lákavé. Stále větší hrozbou je také ransomware. Například v květnu čelily vlně nebezpečných ransomwarových útoků americké školy,“ dodává Daniel Šafář.

Největší množství útoků zaznamenaly v roce 2023 vzdělávací organizace v regionu APAC, a to v průměru 4529 útoků týdně na jednu společnost. Evropa na druhém místě pak zaznamenala největší meziroční nárůst útoků na vzdělávací a výzkumné společnosti, a to 11 %.

Region Průměrný týdenní počet kybernetických útoků na jednu vzdělávací nebo výzkumnou organizaci Meziroční změna
APAC 4529 -2 %
Evropa 2427 11 %
Afrika 1690 -2 %
Latinská Amerika 1533 4 %
Severní Amerika 1264 -14 %

 

Velkým strašákem pro vzdělávací instituce jsou ransomwarové útoky. Ale tradičně nejrozšířenější hrozbou jsou zejména různé phishingové podvody, které napodobují zprávy od známých společností a snaží se z učitelů a žáků vylákat citlivé informace.

Ukázka phishingové zprávy:

Na závěr připojujeme několik užitečných bezpečnostních tipů:

Bezpečnostní tipy pro žáky:

  1. Zakryjte si webovou kameru. Pokud neprobíhá online výuka, vypněte si nebo zablokujte kamery a mikrofony. Také se ujistěte, že při online výuce nejsou v záběrech kamery vidět žádné osobní informace a další citlivé věci.
  2. Klikejte pouze na odkazy z důvěryhodných zdrojů. Během online výuky klikejte pouze na odkazy, které jsou sdíleny učitelem a pokud jste ke kliknutí oficiálně vyzváni. Stejné pravidlo platí i pro přílohy.
  3. Přihlašujte se napřímo. Vždy se přihlašujte ke školním portálům a vzdělávacím platformám napřímo. Neklikejte na odkazy v e-mailech, hackeři totiž mohou oficiální zprávy snadno napodobit.
  4. Používejte silná hesla. Hackeři se často pokoušejí prolomit hesla, zejména krátká a jednoduchá, komplexní heslo jim může jejich aktivity překazit. Pro různé služby používejte různá hesla.
  5. Nikdy nesdílejte důvěrné informace. Studenti by nikdy neměli být žádáni, aby sdíleli důvěrné informace prostřednictvím online nástrojů. Zároveň by měli všechny osobní informace ukládat mimo cloudová úložiště.
  6. Zabezpečení není nepřítel. Bezpečnostní software ve vašich zařízeních není zbytečnost a otrava, naopak je tam pro vaši ochranu, protože prevence vás ochrání před řadou nepříjemností. Nikdo si nepřeje, aby mu někdo ukradl online identitu nebo platil jeho platební kartou.

Bezpečnostní tipy pro rodiče:

  1. Mluvte s dětmi o phishingu. Naučte své děti, aby nikdy neklikaly na odkazy v e-mailech, dokud se s vámi neporadí.
  2. Dávejte pozor na kyberšikanu. Vysvětlete svým dětem, že ošklivé komentáře nebo kruté online žerty nejsou v pořádku. Řekněte jim, ať za vámi okamžitě přijdou, pokud budou oni nebo někdo jiný obětí kyberšikany.
  3. Vysvětlete, že zařízení nikdy nesmí zůstat bez dozoru. Vaše děti musí pochopit, že ponechat zařízení bez dozoru může být nebezpečné, protože se někdo může přihlásit do jejich zařízení a ukrást online identitu.
  4. Používejte rodičovskou kontrolu. Přizpůsobte nastavení soukromí a nastavení webových stránek svým potřebám.
  5. Vzdělávání je základ. Kybernetická gramotnost je velmi důležitá už u nejmenších školáků. Investujte čas, peníze a zdroje a zajistěte, že vaše děti budou rozumět kybernetickým hrozbám a preventivním opatřením.
  6. Používejte kvalitní bezpečnostní software. Nainstalujte na zařízení svých dětí bezpečnostní řešení, které je pomůže ochránit před nástrahami online světa. U bezpečnostního software mějte vždy zapnuté automatické aktualizace.

Bezpečnostní tipy pro školy:

  1. Používejte bezpečnostní software. Ujistěte se, že počítače a další zařízení vašich žáků jsou zabezpečené a chráněné a že vaše systémy jsou v bezpečí i před cílenými útoky. Investujte do preventivních řešení, která hrozby a útoky zastaví dříve, než mohou způsobit nějaké škody.
  2. Neoddalujte aktualizace a záplaty. Je důležité udržovat počítač v aktuálním stavu a vždy okamžitě nainstalovat nejnovější aktualizace a bezpečnostní záplaty.
  3. Chraňte se před ransomwarem. Anti-ransomwarová řešení monitorují spuštěné programy, zda nevykazují nějaké podezřelé chování, a pokud dojde k detekci potenciálně škodlivé činnosti, může zabezpečení podniknout kroky, které zabrání zašifrování citlivých dat a zamezí dalším škodám.
  4. Robustní zálohování dat. Zálohování dat je účinným způsobem, jak zmírnit dopad například ransomwarového útoku. Je však důležité zajistit, aby systémy byly zálohovány pravidelně a aby zálohovaná data nebylo možné také zašifrovat.
  5. Vytvořte silný perimetr. Školy by měly nasadit kvalitní firewally a internetové brány, aby chránily školní sítě před kybernetickými útoky, neoprávněným přístupem a škodlivým obsahem.
  6. Pečlivě zkontrolujte poskytovatele třetích stran. Školy by měly důkladně prověřit všechny poskytovatele a dodavatele digitálních platforem.
  7. Monitorujte systém, nepřetržitě. Školy musí neustále monitorovat všechny své systémy a analyzovat neobvyklou aktivitu, která by mohla naznačovat útok.
  8. Investujte do kyberbezpečnostního vzdělávání. Ujistěte se, že zaměstnanci kybernetickým rizikům rozumí. Pořádejte pravidelná školení pro studenty, aby si byli vědomi nejnovějších kybernetických hrozeb.

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

Twitter: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies 

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Nový malware napodobuje finanční instituce a láká na výhodné půjčky

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novým vishingovým malwarem, který se dosud zaměřoval na oběti v Jižní Koreji, ale podobných podvodů bude přibývat po celém světě a i čeští uživatelé by si tedy na tyto nebezpečné triky měli dávat pozor. Malware FakeCalls napodobuje mobilní aplikace finančních institucí a nabízí falešné půjčky s nízkými úrokovými sazbami. Jedná se o podvod, jehož cílem je vylákat z obětí informace o platebních kartách. Jakmile si uživatel podvodnou aplikaci stáhne a projeví zájem o půjčku, kyberzločinci zavolají na telefonní číslo oběti a vydávají se za zástupce finanční instituce.

Těmto útokům se říká vishing, což je zkratka pro hlasový phishing. Cílem je oklamat oběť, aby si myslela, že opravdu hovoří se zaměstnancem banky. Protože si oběť myslí, že používá oficiální aplikaci, nemá důvod nevěřit výhodné nabídce. Kyberzločinci si v tomto momentě mohou připravit další podklady, aby oběť co nejefektivněji zmanipulovali.

V okamžiku, kdy ke konverzaci skutečně dojde, je neznámé telefonní číslo kyberzločinců nahrazeno opravdovým číslem banky, aby vše působilo ještě věrohodněji. Jakmile útočníci získají důvěru oběti, pokusí se vylákat informace o platební kartě, které údajně potřebují, aby mohli potvrdit nárok na (falešnou) půjčku.

Obětem zároveň nemusí volat jen přímo kyberzločinci, ale malware dokáže také přehrát předem nahranou zvukovou stopu imitující pokyny z banky. Do různých vzorků malwaru je vloženo několik zpráv odpovídajících různým finančním organizacím.

Velmi nebezpečná je i další funkce, prostřednictvím které umí malware FakeCalls nahrávat audio a video z kamery zařízení a vše odesílat na řídící servery.

Hackeři při vývoji malwaru kladli velký důraz na maskování a použili několik unikátních antidetekčních technik. Check Point objevil více než 2 500 vzorků malwaru FakeCalls, které využívaly různé kombinace napodobování finančních organizací a maskovacích technik.

„Hlasový phishing je stále běžnější a vydávat se za finanční instituce je poměrně efektivní. Malware FakeCalls je navíc multifunkční a může kromě primárního cíle krást i soukromá data z infikovaného zařízení, se kterými potom mohou útočníci dále pracovat. Kyberzločinci se při vývoji malwaru zaměřili i na technické detaily a implementovali několik unikátních maskovacích technik. Triky použité v tomto malwaru mohou používat i další škodlivé kódy a podvodné aplikace,“ říká Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Bezpečnostní tipy:

  1. Neposkytujte telefonicky žádné osobní údaje.
  2. Dávejte si při rozhovoru pozor na neobvyklé pauzy.
  3. Dávejte si pozor na neznámá telefonní čísla a banku vždy raději kontaktujte napřímo sami.
  4. Požádejte volajícího, aby ověřil svou totožnost a uvedl například webovou adresu dané organizace.
  5. V automatických zprávách na nic neklikejte a ani neodpovídejte na žádné výzvy, protože kyberzločinci mohou váš hlas nahrát.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls/

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Česká republika byla v lednu 5. nejnebezpečnější evropskou zemí, ukazuje kyberbezpečnostní analýza

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v lednu vrátil zlodějský malware Vidar, který útočil aktivně i v České republice a ještě zvýšil riziko krádeží dat.

„V lednu se infostealer Vidar šířil prostřednictvím falešných domén napodobujících společnost AnyDesk. Malware využíval napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Výzkumníci také odhalili rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a otevření trojan infikoval napadené zařízení a kradl citlivé informace.“

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě.

  1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
  2. ↑ LokiBot – zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.
  3. ↑ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth.

  1. Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. Hiddad malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
  3. ↑ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací.

  1. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla, Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si na zlodějské malwary pozor, protože jejich útoků neustále přibývá.

Top malwarové rodiny v České republice – leden 2023
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. 6,50 % 7,36 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 4,69 % 5,58 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 3,96 % 5,58 %
Vidar Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů a digitálních peněženek. Vidar se prodává na různých online fórech a používá se také ke stahování ransomwaru GandCrab. 2,14 % 5,08 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,21 % 3,30 %
Emotet Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 3,44 % 3,05 %
Pony Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. 0,56 % 3,05 %
GhOst Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. 0,75 % 2,79 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,46 % 2,54 %
LokiBot LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. 5,50 % 1,78 %
GuLoader GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. 2,04 % 1,78 %

 

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Umělá inteligence v rukou kyberzločinu. Hackeři začínají používat ChatGPT k vývoji zlodějských malwarů, šifrovacích nástrojů i nelegálních tržišť, varují bezpečnostní experti

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, upozorňuje, že kyberzločinci už začali používat ChatGPT k vývoji škodlivých kódů a útočných nástrojů. Na hackerských fórech vytváří zlodějské malwary, šifrovací nástroje a poskytují návody, jak umělou inteligenci využít pro podvodné aktivity.

„Umělá inteligence bude zcela jistě jedním z hlavních témat roku 2023. AI technologie pomáhají při ochraně před kybernetickými hrozbami, ale zároveň vidíme velký zájem kyberzločinců například o ChatGPT. Hackeři zkouší tuto dostupnou technologii používat k psaní škodlivého kódu, a i když jsou současné pokusy poměrně jednoduché, je jen otázkou času, než začnou AI nástroje využívat mnohem sofistikovanějším způsobem i profesionální hackerské skupiny,“ říká Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Tvorba zlodějských malwarů

29. prosince 2022 se na populárním hackerském fóru objevilo vlákno s názvem „ChatGPT – výhody malwaru“. Autor vlákna prozradil, že experimentuje s ChatGPT, aby vytvořil malwarové kmeny podle popisu ve výzkumných publikacích.

Podařilo se mu například vygenerovat základní nástroj pro krádeže, který v systému vyhledává 12 běžných typů souborů (například dokumenty MS Office, PDF a obrázky). Pokud jsou nalezeny zajímavé soubory, malware je zkopíruje do dočasného adresáře, zazipuje a odešle přes web. Soubory jsou ovšem odesílané v nezašifrované podobě, takže se mohou dostat do rukou i třetím stranám. Další skript by bylo možné snadno upravit tak, aby stáhl a spustil jakýkoli program, včetně běžného malwaru.

Mohlo se sice jednat o technicky orientovaného hackera, který chce jen vyzkoušet možnosti nové technologie, ale ve skutečnosti se zdálo, že příspěvky spíše ukazují technicky méně zdatným kyberzločincům, jak ChatGPT využít k tvorbě malwaru a k útokům.

Tvorba vícevrstvých šifrovacích nástrojů

21. prosince 2022 zveřejnil hacker s přezdívkou USDoD skript v jazyce Python, o kterém zdůraznil, že je to „první skript, který kdy vytvořil“. USDoD zároveň potvrdil, že script byl vytvořen s pomocí OpenAI. Je to ukázka, že kyberzločinci, kteří nemají téměř žádné vývojářské zkušenosti, by mohli umělou inteligenci využít k vývoji škodlivých nástrojů a útoky na úrovni profesionálních kyberzločinců jsou zase o krok blíž i amatérům.

Zmíněné kódy lze samozřejmě použít i neškodným způsobem. Zároveň je však možné skript jednoduše upravit, aby zcela bez interakce uživatele zašifroval něčí počítač. Kód lze dokonce změnit i na ransomware, což by mohlo vyvolat paniku, protože ransomwarové útoky už tak patří mezi nejnebezpečnější hrozby současnosti.

Využití ChatGPT pro podvodné aktivity a obchodování s nelegálním nebo kradeným zbožím

Kyberzločinci také ukazují, jak pomocí ChatGPT vytvořit skripty pro darkwebové tržiště a nabídnout platformu pro automatizovaný obchod s nelegálním nebo kradeným zbožím, jako jsou kradené účty nebo platební karty, malware nebo dokonce drogy a munice, přičemž veškeré platby mohou probíhat v kryptoměnách.

Na hackerských fórech také probíhají diskuze, jak využít ChatGPT k vytváření podvodných schémat. Většinou se jedná o generování uměleckých děl pomocí jiné OpenAI technologie (DALLE2) a online prodej pomocí legitimních platforem, jako je Etsy. Jiný hacker zase vysvětluje, jak vygenerovat e-knihu nebo krátkou povídku pomocí ChatGPT a prodat obsah online.

Zatím je příliš brzy, abychom mohli jasně říci, jestli se ChatGPT stane novým oblíbeným nástrojem hackerů. Nicméně kyberzločinci možnosti zneužití aktivně zkoumají, měli bychom proto zpozornět a připravit se na nové nebezpečné výzvy.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Válka v kyberprostoru: Hackerská skupina Cloud Atlas útočí na ruské a běloruské subjekty

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, upozorňuje, že kyberšpionážní skupina Cloud Atlas (neboli Inception) se v souvislosti s válkou zaměřuje na nové cíle.

Skupina byla poprvé objevena v roce 2014 a má na svědomí řadu vysoce cílených útoků na kritickou infrastrukturu po celém světě. V letech 2020-2021 útočila na ministerstva, diplomatické subjekty a průmyslové cíle po celém světě, včetně západní a jihovýchodní Asie a Evropy. Taktika, techniky a postupy skupiny zůstávají relativně neměnné.

Ovšem za začátku konfliktu mezi Ruskem a Ukrajinou v roce 2021 a zejména po vypuknutí války v únoru 2022 se aktivity skupiny výrazně zúžily a zaměřily na vládní, diplomatické, výzkumné a průmyslové subjekty Ruska, Běloruska a konfliktní oblasti na Ukrajině a v Moldavsku. Některé důkazy naznačují, že skupina provedla několik úspěšných útoků a podařilo se jí získat plný přístup do cílových organizací. Od června 2022 jsme byli svědky několika kampaní zaměřených na velmi konkrétní cíle v Bělorusku, především v dopravním a vojenském radioelektronickém sektoru, v Rusku se zaměřila na vládní sektor, energetiku a kovoprůmysl.

Zajímavé je, že kromě obvyklého malwaru, používaného touto skupinou, byl objeven i zcela nový hackerský nástroj. Do infikovaných systémů skupina instaluje nejen svůj tradiční špionážní škodlivý kód, ale používá také DLL knihovnu k proxy připojení přes počítač oběti.

Ve spearphishingových kampaních zaměřených na ruská ministerstva napodobují útočníci například zprávy a dokumenty ministerstva zahraničních věcí. Při útocích na běloruské subjekty byl použit dokument „Komplexní analýza ekonomické a finanční činnosti obchodní organizace“.

Při útocích na vládní a energetický sektor používá Cloud Atlas například „Usnesení vlády Ruské federace o uplatňování právních předpisů v oblasti atomové energie v Záporožské oblasti“.

Cloud Atlas používá jednoduchou, ale účinnou metodu sociálního inženýrství a ke kompromitaci cílů využívá spearphishingové e-maily. V první fázi útoku jde o wordové dokumenty se vzdálenými šablonami, které jsou nějak zajímavé pro konkrétní cíl, díky čemuž jsou phishingové dokumenty téměř neodhalitelné. Skupina je velmi aktivní a úspěšná, i když své taktiky a techniky upravuje jen drobně. Navíc nejen že se jim daří infiltrovat do cílových systémů, ale svůj přístup rozšiřují na mnohem rozsáhlejší doménu, aby mohli zasažené operace využít k dalším operacím.

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Vrátil se zákeřný trojan Emotet a Česká republika se dále posouvala mezi nebezpečné země

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v listopadu vrátil agresivní trojan Emotet, který je jedním z nejnebezpečnějších malwarů. V červenci svoje aktivity nečekaně utlumil, ale v listopadu se vrátil ve velkém stylu a hned byl druhým nejrozšířenějším malwarem. Emotet byl původně bankovní trojan, ale vzhledem k jeho všestrannosti se postupně vyvinul v distributora dalších malwarů a je efektivně používán i v kombinaci s ransomwarem. Běžně se šíří prostřednictvím phishingových kampaní a k opětovnému vzestupu mohly přispět i malspamové kampaně, které byly určené k distribuci bankovního trojanu IcedID.

Poprvé od července 2021 se na třetí místo žebříčku nejčastějších malwarů dostal trojan Qbot, který krade bankovní přihlašovací údaje a sleduje stisknuté klávesy.

„Qbot je používán k finančně motivovaným útokům. Umožňuje krást finanční data, bankovní přihlašovací údaje a informace z webových prohlížečů. Jakmile Qbot infikuje systém, hackeři nainstalují backdoor, který umožňuje ransomwarové útoky a kyberzločinci mohou použít taktiku dvojitého vydírání, protože kromě zašifrovaných dat vyhrožují zveřejněním ukradených finančních informací. V listopadu využil Qbot zero-day zranitelnost v systému Windows, která útočníkům poskytla plný přístup k infikovaným sítím,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu znovu posunula mezi méně bezpečné země a patřila jí celosvětově 30. pozice. Naopak Slovensko se posunulo o 9 míst směrem k bezpečnějším zemím na aktuálně 68. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu AgentTesla, který měl v globálním měřítku dopad na 6 % organizací. Na druhou příčku se posunul Emotet a na třetí Qbot.

  1. ↔ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
  2. ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  3. ↑ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hydra a AlienBot.

  1. Anubis –bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. ↔ Hydra –bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
  3. AlienBot –malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 46 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 45 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 % organizací.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  2. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zcela dominoval malware zaměřený na krádeže hesel, přihlašovacích údajů a dalších cenných informací. Na čele českého žebříčku se nadále drží zlodějský malware SnakeKeylogger, který ještě posílil a v listopadu ohrožoval 16 % organizací. Výrazně přibylo i útoků malwaru AgentTesla, který krade hesla a sleduje stisknuté klávesy. Top 3 uzavírá FormBook, který hackerům umožňuje také krást data.

Top malwarové rodiny v České republice – listopad 2022
Malwarová rodina Popis Dopad ve světě Dopad v ČR
SnakeKeylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 3,15 % 16,05 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 5,89 % 12,89 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,63 % 6,59 %
Emotet Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 4,44 % 6,59 %
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. 4,34 % 4,01 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,01 % 3,15 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,13 % 2,29 %
Esfury Esfury je červ, který umožňuje další útoky na napadený systém. Šíří se prostřednictvím vyměnitelných nebo síťových disků. Jakmile se Esfury dostane do počítače, připojí se ke vzdálené webové stránce a získává odtamtud příkazy. Esfury také změní výchozí stránku internetového prohlížeče a upraví nastavení systému. Navíc může změnit i řadu bezpečnostních nastavení a ukončit nebo zablokovat přístup k velkému počtu procesů. Esfury může přesměrovat vyhledávání na konkrétní reklamní webové stránky, jinak ovlivňovat prohlížení internetu nebo snížit rychlost sítě. 1,17 % 1,72 %
Crackonosh Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. 0,66 % 1,43 %

 

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Pozor na krádeže dat a přihlašovacích údajů, říjen přinesl vzestup zlodějských malwarů

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v říjnu nejrozšířenějším malwarem keylogger AgentTesla. Výrazně vzrostl také počet útoků zlodějských malwarů SnakeKeylogger a LokiBot, což jen podtrhuje, že uživatelé musí být během nadcházející nákupní sezóny velmi opatrní.

LokiBot krade zejména přihlašovací údaje z webových prohlížečů, e-mailových klientů a nástrojů pro správu IT. Do systému se snaží proniknout nepozorovaně a maskuje se za legitimní programy. Může být distribuován prostřednictvím phishingových e-mailů, škodlivých webových stránek, SMS nebo pomocí jiných platforem pro zasílání zpráv. Nárůst útoků souvisí i se spamovými kampaněmi zaměřenými na online poptávky, objednávky a potvrzení plateb.

V říjnu byla také odhalena nová kritická zranitelnost Text4Shell (CVE-2022-42889), která umožňuje útoky po síti, aniž by bylo nutné získat speciální oprávnění nebo to vyžadovalo nějakou aktivitu uživatelů. Text4shell připomíná zranitelnost Log4Shell, která na konci minulého roku odstartovala lavinu útoků. I po roce je jednou z hlavních hrozeb a v říjnovém žebříčku se umístila na druhém místě. Text4Shell zatím takovou kalamitu nezpůsobil, ale organizace by se měly adekvátně připravit a chránit proti všem zranitelnostem.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v říjnu lehce posunula o 3 příčky mezi méně bezpečné země a patřila jí celosvětově 35. pozice. Slovensko se naopak posunulo o 4 místa směrem k bezpečnějším zemím na aktuálně 59. místo. První, tedy nejnebezpečnější, místo obsadilo už několik měsíců po sobě Mongolsko. V říjnu se výrazně mezi nebezpečné země posunula Ukrajina, která poskočila o 26 míst na 37. příčku.

„V říjnu došlo k řadě změn a viděli jsme pád tradičních hrozeb i vzestup nových. Alarmující je zejména nárůst zlodějských malwarů a phishingových útoků. Během nadcházejícího nákupního období je potřeba dávat mimořádný pozor na podezřelé e-maily, které mohou obsahovat malware. Věnujte vždy chvilku času kontrole zpráv, jestli neobsahují podezřelé odkazy, od koho zprávy pochází a zda nežádají o osobní data. Pokud máte jakékoli pochybnosti, raději vždy navštivte přímo webové stránky dané společnosti a vyhledejte si příslušné informace z ověřených zdrojů. Zároveň používejte moderní zabezpečení, které vás ochrání i proti phishingovým trikům,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v říjnu AgentTesla, který měl v globálním měřítku dopad na 7 % organizací. Na druhou příčku se posunul SnakeKeylogger s dopadem na 5 % společností, LokiBot na třetím místě ovlivnil 4 % organizací.

  1. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
  2. ↑ SnakeKeylogger – SnakeKeylogger je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům.
  3. ↑LokiBot – LokiBot je zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly bankovní trojan Hydra a spyware Joker.

  1. Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. ↔ Hydra – Hydra je bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
  3. Joker – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 41 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 39 % organizací.

  1. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook po několika dominantních měsících zcela vypadl z čela žebříčku. Nově byl nejrozšířenější hrozbou pro české organizace jiný zlodějský malware SnakeKeylogger, který v říjnu ovlivnil téměř 10 % českých společností. AgentTesla potvrdil svůj celosvětový vzestup a trápil i české organizace. Top 3 uzavírá další škodlivý kód zaměřený na krádeže dat a informací LokiBot, přitom v září vůbec nebyl ani v Top 10.

Top malwarové rodiny v České republice – říjen 2022
Malwarová rodina Popis Dopad ve světě Dopad v ČR
SnakeKeylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 4,80 % 9,35 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 7,15 % 7,37 %
LokiBot LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. 4,70 % 3,68 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,45 % 2,27 %
IcedID IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem). 3,96 % 1,98 %
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,48 % 1,42 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,66 % 1,42 %
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,16 % 1,42 %
Crackonosh Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. 0,89 % 1,13 %
GhOst Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. 0,48 % 1,13 %

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Íránští hackeři útočí na vysoce postavené izraelské a americké osobnosti

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil íránskou hackerskou operaci zaměřenou na vysoce postavené izraelské a americké osobnosti. Útočníci získali reálné e-mailové komunikace, které následně použili k útokům například na bývalou izraelskou ministryni zahraničí Cipi Livniovou, bývalého velvyslance USA v Izraeli, bývalého generálmajora izraelské armády a tři další osobnosti. Ve zprávách hackeři navazovali na předchozí e-mailovou komunikaci a vydávali se za známé obětí. Operace je zaměřena na krádeže osobních údajů, naskenovaných pasů a e-mailových účtů. Situace je o to vážnější, že operace byla odhalena v době, kdy roste napětí mezi Izraelem a Íránem.

Cíle hackerské operace byli například:

  • Cipi Livniová, bývalá ministryně zahraničí a místopředsedkyně izraelské vlády
  • Bývalý generálmajor, který sloužil na vysoce citlivé pozici v izraelské armádě
  • Předseda jednoho z předních izraelských bezpečnostních think-tanků
  • Bývalý velvyslanec USA v Izraeli
  • Bývalý předseda známého výzkumného centra na Blízkém východě
  • Vysoce postavený manažer v izraelském obranném průmyslu

Technika útoku:

  1. Útočník získá kontrolu nad skutečným e-mailovým účtem nějakého dobře známého kontaktu vytipovaného cíle.
  2. Útočník využije existující e-mailovou komunikaci, na kterou naváže.
  3. Pro další komunikaci útočníci používají ukradený e-mailový účet nebo použijí falešný e-mail, většinou ve formátu joe.doe.corp@gmail.com.
  4. Útočníci pokračují v předchozí konverzaci a vymění si s cílem několik e-mailů. Konverzace v mnoha případech souvisí s bezpečnostními otázkami Íránu a Izraele.
  5. Některé z e-mailů obsahují odkaz na phishingovou stránku nebo podvodný soubor relevantní pro cíl, například pozvánku na konferenci nebo výzkum.

Příklad: Útok na bývalou izraelskou ministryni zahraničí

Cipi Livniovou oslovil prostřednictvím e-mailu někdo, kdo se vydával za bývalého generálmajora izraelské armády, který sloužil na velmi citlivé pozici. E-mail byl odeslán z jeho pravé e-mailové adresy, ze které v minulosti s Livniovou komunikoval. E-mail obsahoval odkaz na soubor, který po ní útočník požadoval otevřít a přečíst. Když s tím otálela, útočník ji několikrát oslovil s žádostí, aby soubor otevřela pomocí svého e-mailového hesla. To v ní vyvolalo podezření. Když se s bývalým generálmajorem setkala a zeptala se ho na e-mail, potvrdilo se, že žádný takový e-mail nikdy neposlal.

Check Point se domnívá, že útočníci jsou podporovaní Íránem, vše zatím ukazuje na APT skupinu Phosphorus, která se dlouhodobě zaměřuje na Izrael a útočí v souladu se zájmy íránského režimu.

„Odhalili jsme íránskou operaci, která se zaměřuje na významné osobnosti izraelského a amerického veřejného sektoru. Cílem byly krádeže osobních údajů, naskenovaných pasů a přístupu k e-mailovým účtům. Útoky probíhají minimálně od prosince 2021. Vidíme také rafinované použití sociálního inženýrství. Útočníci se nabourají do účtu nějakého známého oběti a snaží se navázat na předchozí konverzaci. Pro každý cíl používají specifické návnady. U podobných národních útoků se zřídkakdy setkáváme s tak agresivní komunikací. Situaci budeme nadále monitorovat a analyzovat,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2022/check-point-research-exposes-an-iranian-phishing-campaign-targeting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industry-executives/

Exit mobile version