malware Archivy - Strana 2 z 2

Digitální armády k pronájmu už za pár dolarů: Obchod s kybernetickými zombie vojsky děsí organizace po celém světě

PRAHA – 25. února 2025 — Kyberzločin jako služba se stává běžnou součástí digitálního světa. Tento model, inspirovaný legitimními cloudovými službami, umožňuje prakticky komukoli stát se kyberzločincem, aniž by to vyžadovalo hluboké technické znalosti. Jedním z nejčastěji obchodovaných nástrojů jsou botnety, které si lze jednoduše pronajmout pro nejrůznější nelegální aktivity, upozorňuje kyberbezpečnostní společnost Check Point Software Technologies.

Co jsou to botnety?

Botnety jsou sítě přístrojů infikovaných malwarem, často je nazýváme „zombie“ zařízení a jedná se například o počítače, chytré telefony, routery nebo IoT zařízení. Jsou vzdáleně ovládané útočníky a reagují na zasílané pokyny. Mohou obsahovat stovky, tisíce nebo dokonce miliony zařízení, která jsou zneužívána k DDoS útokům a výpadkům služeb, což je oblíbená taktika zejména hacktivistických skupin, spamování, krádežím dat nebo šíření malwaru. Aniž by o tom museli skuteční majitelé vědět. Botnety jsou hrozbou pro velké společnosti, vlády a významné osobnosti, ale znamenají riziko i pro soukromí uživatelů. Pokud je nějaké zařízení využíváno k hackerským útokům, může to pro jeho majitele mít i nepříjemné právní následky. V České republice sledujeme dlouhodobě masivní DDoS útoky například proruské skupiny NoName057(16).

Pronájem botnetů

Obchod s botnety zaměřenými na DDoS útoky probíhá velmi aktivně na fórech a darkwebových tržištích, ale také na Telegramu. Například Elite Botnet je inzerován na kyberzločineckých fórech, kde je podrobně popsána velikost, síla a útočné schopnosti jeho sítě. Elite Botnet je DDoS botnet, který dokáže odstavit nejrůznější webové stránky, od herních serverů až po vládní platformy. Stál například za pádem irských vládních stránek, amerického vládního webu, a dokonce i za výpadky populárních platforem, jako je Pinterest.

Botnet Elite využívá mnoho pokročilých technik a zaměřuje se na slabiny ve službách, například VoIP, nebo v herních serverech. Tím se mu daří obcházet mnoho tradičních bezpečnostních opatření a představuje vážné riziko pro všechny webové stránky nebo služby, na které se zaměří.

Nabídka na pronájem botnetu Elite na hackerském fóru.

„Na černém trhu vidíme širokou nabídku botnetů. Cena se liší v závislosti na velikosti, výkonu sítě a také účelu. Například botnety zaměřené na DDoS útoky mohou mít různou cenu podle množství generovaného provozu a specifikace cíle. Typicky se ceny za pronájem DDoS botnetu pohybují v jednotkách až desítkách dolarů za den nebo v nižších stovkách dolarů za týden či vyšších stovkách dolarů měsíčně. V případě dobře optimalizovaných botnetů může cena dosáhnout i několika tisíc dolarů za měsíc, zejména pokud jsou cílem útoku dobře zabezpečené stránky,“ říká Petr Kadrmas, Security Engineer, Email Security z kyberbezpečnostní společnosti Check Point Software Technologies.

Webové stránky Elite Network nabízí pronájem botnetu Elite za 5-15 EUR denně v závislosti na technických specifikacích. Týdenní varianty jsou pak za 20 až 150 EUR. Kyberzločinci propagovali své služby i údajně úspěšným útokem na servery populární hry Fortnite, aby demonstrovali sílu a kvalitu své kybernetické armády.

Ceník botnetu Elite.

Kyberzločinci se na Telegramu chlubili útokem na herní server Fortnite a používali to jako reklamu na botnet Elite.

Na Telegramu je nabízen pronájem botnetu Mantis, který byl označen za „dosud nejvýkonnější botnet“ a jeho cena je aktuálně v nejlepší variantě 250 dolarů za týden nebo 500 dolarů za měsíc. Původně ale byly ceny výrazně vyšší.

Na Telegramu byl nabízen i botnet Mantis, včetně zdrojového kódu.

Původní ceník botnetu Mantis.

Hacktivistická skupina Anonymous Sudan, která ještě na začátku minulého roku patřila k nejaktivnějším a nejnebezpečnějším, se sice po zatčení klíčových členů postupně vytratila, ale předtím nabízela na telegramovém kanálu, který sledovalo téměř 90 000 uživatelů, pronájem jednoho z největších světových botnetů InfraShutdown pro útoky na zabezpečené webové stránky za 900 dolarů na měsíc. Skupina se chlubila, že zákazníkům se s jeho pomocí podařilo znepříjemnit život například několika telekomunikačním společnostem. Anonymous Sudan zároveň sdílela i nabídku jiné skupiny a možnost pronajmout si botnet Godzilla za 500 dolarů na týden nebo 2 500 dolarů na měsíc. V ceníku bylo dokonce pamatováno i na částku za otestování síly botnetu.

Hacktivistická skupina Anonymous Sudan sdílela nabídku na pronájem botnetu Godzilla.

Botnety v rukou hackerů a hacktivistických skupin

Hackerské a hacktivistické skupiny využívají botnety k různým účelům. Hackerské skupiny obvykle sledují finanční zisky a pokud využívají botnety k DDoS útoků, dostanou za ně dobře zaplaceno. Často tedy šíří hlavně zlodějské a vyděračské hrozby, které umožňují zpeněžit cenné informace nebo vydírat zasažené organizace. Hacktivistické skupiny, jako je nechvalně známý NoName057(16), používají botnety k útokům na organizace nebo vlády z politických nebo ideologických důvodů.

Osamělí hackeři nebo menší skupiny si často pronajímají botnety jako levnou a efektivní metodu k provedení útoku. Obvykle nemají dostatečné zdroje nebo technické znalosti k vytvoření vlastního botnetu, a proto si raději zaplatí za využití nějaké známé sítě infikovaných zařízení.

Pronájem botnetů a kyberzločin jako služba jsou jedním z nejnebezpečnějších trendů, s rostoucím počtem připojených zařízení a nárůstem IoT se budou dále rozšiřovat i možnosti botnetových útoků. Organizace i koncoví uživatelé proto musí používat proaktivní bezpečnostní řešení a zaměřit se na prevenci, pokud chtějí čelit národním hackerským skupinám i jednotlivcům, kteří mají za pár dolarů na dosah profesionální nástroje.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Nový malware útočí na počítače se systémem macOS, krade přihlašovací údaje, citlivá data a umí se vyhnout detekci

Společnost Check Point odhalila novou verzi malwaru Banshee Stealer, který se zaměřuje na systém macOS a krade přihlašovací údaje, kryptopeněženky a další citlivá data.
Nejnovější verze Banshee používá šifrování převzaté z XProtect společnosti Apple, takže antivirové systémy tento malware přehlédly.
Kyberzločinci šířili Banshee pomocí phishingových stránek a falešných repozitářů GitHub, přičemž hrozbu často maskovali za populární software, jako je Chrome a Telegram.

PRAHA – 14. února 2025 — Systém macOS je stále populárnější a má více než 100 milionů uživatelů po celém světě. Proto se stává atraktivnějším cílem pro kyberzločince. Navzdory pověsti bezpečného operačního systému upozorňuje společnost Check Point Software Technologies, průkopník a globální lídr v oblasti kyberbezpečnostních řešení, na nárůst sofistikovaných hrozeb, jako je Banshee Stealer.

Mnoho uživatelů si myslí, že macOS kvůli unixové architektuře a historicky nižšímu podílu na trhu je před kyberzločinci v bezpečí. Systém sice obsahuje robustní bezpečnostní funkce, jako jsou Gatekeeper, XProtect a sandboxing, ale vzestup malwaru Banshee Stealer připomíná, že žádný operační systém není zcela imunní vůči kybernetickým hrozbám.

„Tento nenápadný malware se infiltruje do zařízení a nepozorovaně splyne s běžnými systémovými procesy. Přitom krade přihlašovací údaje, informace o softwaru i hardwaru, kryptopeněženky a citlivá data. Vše pak odesílá na řídicí servery v podobě zašifrovaných souborů. Využívá například i různá vyskakovací okna, která mají vypadat jako legitimní systémové výzvy, takže si uživatel nemusí všimnout podvodu a zadá přihlašovací údaje,“ říká Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Banshee dělá mimořádně nebezpečnou hrozbou zejména jeho schopnost vyhnout se detekci. Dokonce i zkušení IT profesionálové mají problém odhalit jeho přítomnost. Banshee Stealer není jen dalším malwarem, je to důrazné varování pro uživatele, aby přehodnotili své bezpečnostní předpoklady a přijali proaktivní opatření k ochraně svých dat.“

Přihlašovací panel Banshee

Banshee Stealer se objevil v polovině minulého roku a byl nabízen za 3000 dolarů na undergroundových fórech, jako jsou XSS a Exploit, a také na Telegramu jako „stealer jako služba“. Koncem září identifikoval Check Point novou verzi. Její vývojáři ukradli a použili šifrovací algoritmus z antivirového enginu XProtect společnosti Apple. To pravděpodobně umožnilo, aby se Banshee více než dva měsíce vyhýbal detekci antivirovými enginy. Během této doby jej hackeři šířili prostřednictvím phishingových stránek, škodlivých repozitářů GitHub a maskovali jej za populární softwarové nástroje, jako jsou Chrome, Telegram a TradingView.

Kyberzločinci používali jako klíčový způsob distribuce repozitáře GitHub. Tyto kampaně se zaměřovaly na uživatele systému macOS a současně pomocí malwaru Lumma Stealer na uživatele systému Windows. Ve třech vlnách byly vytvořeny škodlivé repozitáře, které napodobovaly populární software a lákaly uživatele ke stažení. Repozitáře vypadaly legitimně, s dobrým hodnocením a recenzemi, aby získaly důvěru uživatelů před spuštěním škodlivých kampaní.

Významný obrat přišel v listopadu 2024, kdy zdrojový kód malwaru Banshee unikl na undergroundovém fóru XSS a malware byl stažen z prodeje. Únik vedl k lepší detekci antivirovými enginy, ale zároveň vyvolal obavy z vývoje nových variant dalšími hackerskými skupinami.

Organizace si musí uvědomit rizika, která moderní malware představuje. Hrozí nákladné úniky, které mohou mít likvidační dopad na pověst organizace, cílené útoky na kryptopeněženky a narušení provozu maskovaným malwarem.

V listopadu 2024 sice došlo k úniku zdrojového kódu Banshee a operace byly oficiálně ukončeny, ale Check Point identifikoval několik nových kampaní, které tento malware šíří prostřednictvím phishingových stránek. Kdo za útoky stojí, ale není zatím jasné.

Jedna z nejnovějších verzí odstranila kontrolu ruštiny. Předchozí verze ukončovaly činnost, pokud zjistily ruštinu, pravděpodobně proto, aby se vyhnuly cílení na konkrétní regiony. Odstranění této funkce naznačuje rozšíření potenciálních cílů.

Organizace musí používat proaktivní bezpečnostní řešení, pokročilé nástroje a vzdělávat zaměstnance, aby se dokázaly před podobně sofistikovanými hrozbami ochránit.

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

X: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

O výzkumném týmu Check Point Research

O společnosti Check Point Software Technologies

Pozor na zlodějský malware, který krade citlivá data a přihlašovací údaje, v Česku je už druhou nejrozšířenější hrozbou pro organizace

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v ČR i ve světě výrazně vzrostl počet útoků malwaru Androxgh0st, který se používá ke krádežím citlivých informací.

Androxgh0st byl poprvé detekován v prosinci 2022. Útočníci s jeho pomocí zneužívají zranitelnosti jako CVE-2021-3129 a CVE-2024-1709, snaží se na dálku ovládnout počítač oběti a zároveň se zaměřují na budování botnetu, který krade data a přihlašovací údaje. Před malwarem varují ve svých zprávách také FBI a CISA.

Index hrozeb společnosti Check Point zahrnuje také analýzu 200 ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své oběti a vyvíjejí tlak na neplatící cíle. V dubna byla opět nejaktivnější skupina Lockbit3, ale od začátku roku klesl počet jejích útoků o 55 % a celosvětový dopad se snížil z 20 % na 9 %. LockBit3 zaznamenal v poslední době řadu neúspěchů. V únoru zasadily tvrdý úder skupině FBI, NCA, Europol a další mezinárodní složky v rámci Operace Cronos, nově byly zveřejněny podrobnosti o 194 subjektech využívajících LockBit3 k ransomwarovým útokům. Odhalen a demaskován byl i vůdce skupiny. Do Top 3 se znovu vrátila i skupina 8Base, která se přihlásila například k útoku na IT systémy OSN, ze kterých ukradla informace o lidských zdrojích a veřejných zakázkách.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 8 příček mezi méně bezpečné země a nově jí patří 40. pozice. Slovensko naopak patří mezi bezpečnější země a v dubnu se umístila až na 102. příčce. Mezi nebezpečné země se nejvíce posunul Bahrajn, o 30 míst, až na 36. příčku. První, tedy nejnebezpečnější, pozici obsadilo druhý měsíc za sebou Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunuly nemocnice a zdravotnické organizace.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v dubnu znovu downloader FakeUpdates, který měl dopad na 6 % společností po celém světě. Následovaly malwary Androxgh0st a Qbot.

↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
↓ Qbot – Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity. Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení, aby ztížil analýzu a vyhnul se detekci.

Top 3 – mobilní malware:

Bankovní trojan Anubis byl v dubnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
↔ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
↑ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Command Injection Over HTTP” s dopadem na 52 % společností, následovaly zranitelnosti „Web Servers Malicious URL Directory Traversal“ a „HTTP Headers Remote Code Execution“.

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.
↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Top 3 – ransomwarové skupiny:

Check Point analyzoval téměř 200 ransomwarových „stránek hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je v současnosti hrozbou číslo jedna pro organizace po celém světě.

Nejrozšířenější ransomwarovou skupinou byl v dubnu LockBit3, který byl zodpovědný za 9 % zveřejněných útoků, což je drobný pokles o 3 procentní body oproti březnu. Skupina Play měla na svědomí 7 % zveřejněných ransomwarových útoků a BlackBasta na třetím místě 6 %.

↔ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.
↔ Play – Ransomware Play šifruje data a za dešifrování požaduje výkupné.
↑ 8Base – Ransomwarová skupina 8Base je aktivní minimálně od března 2022. V polovině roku 2023 významně zvýšila svou aktivitu a stala se postrachem mnoha organizací. 8Base používá různé varianty ransomwaru, ale základem je ransomware Phobos. Útoky jsou obvykle velmi sofistikované a skupina používá taktiku dvojitého vydírání.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Backdoor Jorik je nadále suverénně nejrozšířenější hrozbou pro české organizace a v porovnání s celosvětovým dopadem vidíme Českou republiku jasně jako jeden z primárních cílů. Na druhé místo vyskočil Androxgh0st, který krade citlivá data a navíc buduje botnet, který by ještě umocnil sílu a zrychlil šíření této hrozby. Celkově vidíme silné zastoupení zlodějských malwarů, přičemž organizace musí velmi pečlivě střežit svá data a přihlašovací údaje. Naopak oproti březnu klesl počet útoků malwaru FakeUpdates, který kyberzločinci používají ke stahování a šíření dalších malwarů a obchodování s přístupem do infikovaných systémů,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – duben 2024
Malwarová rodina	Popis	Dopad v ČR	Dopad ve světě
Jorik	Jorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem.	9,96 %	0,41 %
Androxgh0st	Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.	3,71 %	3,77 %
Formbook	FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.	3,12 %	2,56 %
AgentTesla	AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.	2,54 %	1,14 %
AsyncRat	AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.	2,54 %	1,46 %
TechJourney	TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru.	2,15 %	0,17 %
FakeUpdates	FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.	1,76 %	6,13 %
Snatch	Snatch je ransomware jako služba (RaaS), který používá techniku dvojitého vydírání. Krade a šifruje data obětí a vyhrožuje jejich zveřejněním, pokud nedojde k zaplacení výkupného. Snatch funguje od roku 2018.	1,56 %	0,72 %
AZORult	AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.	1,37 %	0,71 %
Crackonosh	Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.	1,17 %	0,23 %

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

X: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

O výzkumném týmu Check Point Research

O společnosti Check Point Software Technologies

České organizace nejčastěji ohrožuje zlodějský malware, krade přihlašovací údaje a sleduje stisknuté klávesy

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v srpnu nejrozšířenějším malwarem FormBook. Na čele žebříčku nahradil dlouhodobou jedničku Emotet.

FormBook je zlodějský malware, který krade přihlašovací údaje, pořizuje snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a stahuje a spouští soubory podle příkazů z řídícího serveru (C&C). Na hackerských fórech je prodáván relativně levně coby MaaS (malware jako služba) a využívá řadu pokročilých technik, aby se vyhnul odhalení.

V srpnu jsme viděli také nárůstu útoků malwaru GuLoader, který se používá ke stahování a instalaci trojských koňů pro vzdálený přístup a zlodějských malwarů, jako jsou Netwire, FormBook a AgentTesla. Šíří se prostřednictvím masivních e‑mailových phishingových kampaní, které lákají oběti ke stažení a otevření škodlivého souboru.

Check Point varuje také před útoky mobilního malwaru Joker. Jakmile se dostane do zařízení, může krást SMS zprávy, seznamy kontaktů a informace o zařízení, může dokonce přihlásit oběť k placeným prémiovým službám. Nárůst útoků částečně souvisí i s nedávno odhalenými kampaněmi, při kterých číhal na uživatele v některých aplikacích na Google Play.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou nově zdravotnické organizace, což je znepokojivý trend.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu lehce posunula mezi bezpečnější země a patřila jí celosvětově 34. pozice. Slovensko se po neklidném červenci také posunulo o 8 míst směrem k bezpečnějším zemím a patřilo mu 68. místo. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.

„Srpen přinesl řadu změn. Viděli jsme pád dříve dominantního Emotetu a také vzestup Jokera, který je třetím nejrozšířenějším mobilním malwarem. Je to znovu důrazná připomínka, jak rychle se prostředí hrozeb může změnit a jak důležité je sledovat nejnovější hrozby a trendy. Zásadní je proto prevence napříč sítěmi, koncovými body i cloudem,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl v globálním měřítku dopad na 5 % organizací Na druhé příčce se umístil AgentTesla s dopadem na 4 % společností a XMRig na třetím místě ovlivnil celosvětově 2 % organizací.

↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
↔ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly Anubis a Joker.

↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
↔ Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.

↑ Joker – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Apache Log4j Remote Code Execution” s dopadem na 44 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s podobným dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „Web Servers Malicious URL Directory Traversal“ s dopaden na 39 % organizací.

↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
↓ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet měl v uplynulých měsících dominantní pozici a byl jasnou jedničkou, ovšem v srpnu následoval propad, čehož využil zlodějský malware FormBook, který se posunul na čelo žebříčku. Botnet Cutwail sice celosvětově není nijak výrazný, ale pro české organizace se jedná o nebezpečnou hrozbu. Riziko špionáže a krádeže dat zvýrazňuje na druhém místě Snake Keylogger a na čtvrtém AgentTesla.

Top malwarové rodiny v České republice – srpen 2022
Malwarová rodina	Popis	Dopad ve světě	Dopad v ČR
FormBook	FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.	5,10 %	12,64 %
Snake Keylogger	Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.	1,00 %	6,32 %
Cutwail	Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.	0,00 %	5,49 %
AgentTesla	AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.	4,70 %	4,12 %
Remcos	Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.	1,00 %	3,85 %
GuLoader	GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.	2,10 %	2,20 %
GhOst	Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač.	0,00 %	1,92 %
Emotet	Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.	2,10 %	1,92 %
Tofsee	Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn.	1,00 %	1,92 %
AZORult	AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.	0,00 %	1,37 %

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech
Twitter: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:

Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research