Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého čelily v únoru ukrajinské vládní subjekty zvýšenému náporu špionážních kyberútoků.
I když mezi říjnem 2022 a únorem 2023 počet kyberútoků na ukrajinské organizace klesl o 44 %, je Ukrajina i nadále oblíbeným terčem kyberzločinců. Hackeři například šíří e-maily napodobující zprávy od společnosti Ukrtelecom JSC. Příloha ve formátu .rar ovšem obsahuje nebezpečný trojan Remcos, který hackerům umožňuje krást v infikovaném počítači data a spouštět další příkazy. Ze vzorců chování a z analýzy incidentů vyplývá, že probíhající útoky souvisí s kybernetickými špionážními operacemi.
„Přestože počet politicky motivovaných útoků na Ukrajinu klesl, zůstává i nadále kybernetickým bojištěm. Od začátku rusko-ukrajinské války je hacktivismus hlavním motivem řady hackerských skupin a většina z nich dává přednost destruktivním útokům, jako je DDoS, aby získaly co největší publicitu. Nejnovější kampaň ale používá tradičnější způsob útoku, pomocí phishingových podvodů se snaží získat informace o uživatelích a vylákat citlivá data. Je důležité, aby všechny organizace a státní orgány dodržovaly při práci s e-maily doporučené bezpečnostní postupy a používaly preventivní bezpečnostní technologie, které eliminují hrozby. Každopádně je potřeba nestahovat přílohy bez jejich předchozího prověření, neklikat na odkazy v těle e-mailu a zkontrolovat adresu odesílatele, zda neobsahuje nějaké neobvyklé znaky nebo chyby,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika v únoru patřila opět mezi nebezpečné země, obsadila 24. pozici. Naopak Slovensko se nadále řadí mezi bezpečnější země, druhý měsíc za sebou se umístilo na 73. příčce. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v únoru Qbot, který měl dopad na 7 % organizací. FormBook na druhé příčce zasáhl 5 % společností a Top 3 uzavírá Emotet s dopadem na 4 % organizací.
- ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
- ↑ FormBook – krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
- ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly, stejně jako v lednu, malwary Hiddad a AhMyth.
- ↔ Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
- ↔ Hiddad – malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
- ↔ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 47 % organizací. Následovala zranitelnost „Web Server Exposed Git Repository Information Disclos“ s dopadem na 46 % společností, Top 3 pak uzavírá zranitelnost „Apache Log4j Remote Code Execution“ s dopaden na 45 % organizací.
- ↑ Web Servers Malicious URL Directory Traversal – úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
- ↓ Web Server Exposed Git Repository Information Disclosure – úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Backdoor Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů, i nadále výrazně ohrožuje české organizace, přesto klesl z 1. místa až na 3. pozici. V únoru totiž masivně útočil malware GuLoader, který dokáže stahovat a šířit velmi nebezpečné hrozby. Pokud tedy pronikne do podnikové sítě, může způsobit značné a těžko předvídatelné škody. Znovu vzrostly také útoky zlodějského malwaru FormBook, protože krádeže cenných data jsou velmi lukrativní. České organizace musí věnovat maximální pozornost i zabezpečení IoT zařízení. Malware Mirai totiž napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům.
| Top malwarové rodiny v České republice – únor 2023 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| GuLoader | GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. | 2,49 % | 8,42 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 4,60 % | 8,42 % |
| Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. | 7,18 % | 5,94 % |
| Emotet | Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 3,90 % | 2,72 % |
| SnakeKeylogger | Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. | 1,08 % | 2,72 % |
| Tofsee | Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. | 1,51 % | 2,48 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,61 % | 2,48 % |
| AveMaria | Malware AveMaria je RAT (Remote Access Trojan), který umožňuje vzdáleně ovládat počítač oběti a krást informace. | 0,97 % | 2,23 % |
| Pony | Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. | 0,52 % | 1,73 % |
| Cutwail | Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. | 0,20 % | 1,49 % |
| Mirai | Mirai je IoT malware, který napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům. Botnet Mirai byl poprvé objeven v září 2016 a rychle se stal nebezpečnou zbraní, která byla použita například k DDoS útoku na společnost Dyn zajišťující významnou část internetové infrastruktury Spojených států nebo k paralyzování Liberijské republiky. | 0,79 % | 1,49 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
- Facebook: https://www.facebook.com/CheckPointCzech
- Twitter: https://twitter.com/CheckPointCzech
- LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Sledujte novinky o společnosti Check Point Software Technologies:
- Twitter: http://www.twitter.com/checkpointsw
- Facebook: https://www.facebook.com/checkpointsoftware
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
- LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
