Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb. Relativní nováček mezi ransomwarem jako služba RansomHub předstihl jednu z nejnebezpečnějších ransomwarových skupin na světě LockBit3 a stal se nejaktivnější skupinou zaměřenou na veřejné vydírání.
Minulý měsíc se RansomHub stal nejrozšířenější RaaS (ransomware jako služba) skupinou poté, co únorová policejní operace proti LockBit3 způsobila ztrátu loajality mezi spřátelenými kyberzločinci. LockBit3 proto v dubnu zaznamenal rekordně nízký počet obětí, pouhých 27. V květnu sice přišel naopak jejich výrazný nárůst, více než 170, ale v červnu počet opět klesl pod 20 obětí, což ukazuje na možný úpadek této nechvalně známé skupiny.
Mnoho kyberzločinců spojených s ransomwarovou skupinou LockBit3 nyní používá šifrovací nástroje jiných RaaS skupin, a přispívá tak k jejich růstu. RansomHub se poprvé objevil až v únoru 2024 a je údajně reinkarnací ransomwaru Knight. V červnu zaznamenal prudký nárůst a téměř 80 nových obětí.
„Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn a ještě zintenzivnit své vyděračské kampaně,“ upozorňuje Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu posunula o 3 příčky mezi bezpečnější země a nově jí patří 51. pozice. Naopak mezi nebezpečnější země se posunulo Slovensko, v červnu se umístilo na 82. příčce, což je změna o 18 míst. Mezi nebezpečné země se nejvíce posunula Namibie, o 50 míst, až na 58. příčku. První, tedy nejnebezpečnější, pozici obsadila nově Etiopie.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunulo zdravotnictví.
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v červnu znovu nebezpečný downloader FakeUpdates, který měl dopad na 7 % společností po celém světě. Následovaly malwary Androxgh0st, s dopadem na 6 % organizací, a AgentTesla (3 %).
- ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
- ↑ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 – mobilní malware:
Bankovní trojan Joker byl v červnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a AhMyth.
- ↑ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
- ↓ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
- ↓ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
Top 3 – ransomwarové skupiny:
Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v červnu RansomHub, který byl zodpovědný za 21 % zveřejněných útoků. Skupina Play měla na svědomí 8 % zveřejněných ransomwarových útoků a Akira na třetím místě 5 %.
- ↑ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
- ↑ Play – Ransomware Play, označovaný také jako PlayCrypt, se poprvé objevil v červnu 2022 a zaměřuje se na široké spektrum organizací včetně oblasti kritické infrastruktury. Obvykle získává přístup k sítím prostřednictvím napadených účtů nebo zneužitím neopravených zranitelností. Jakmile se dostane dovnitř organizace, používá techniky, jako je LOLBins (living-off-the-land binaries), pro krádeže dat a přihlašovacích údajů.
- ↑ Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Řadu měsíců dominoval českému žebříčku backdoor Jorik, který hackerům umožňoval ovládat infikovaný počítač. Ale v červnu prudce oslabil a dokonce se nevešel ani do Top 10. Naopak botnet Androxgh0st posílil a je novým nejrozšířenějším malwarem. Výrazně se prosadil i modulární trojan BMANAGER, který hned vyskočil až na druhou příčku a podobně jako Androxgh0st se může používat ke krádeži citlivých informací a přihlašovacích údajů. Mezi nejvýraznější hrozby pro české společnosti se prosadil také mobilní malware Joker, který ohrožuje zařízení se systémem Android a často číhá i v aplikacích na Google Play. Znovu se tak potvrzuje, že je potřeba věnovat mimořádnou pozornost i zabezpečení mobilních zařízení,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Top malwarové rodiny v České republice – červen 2024 | |||
Malwarová rodina | Popis | Dopad v ČR | Dopad ve světě |
Androxgh0st | Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace. | 6,06 % | 5,52 % |
BMANAGER | BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat. | 3,92 % | 0,66 % |
FakeUpdates | FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. | 3,21 % | 7,03 % |
TechJourney | TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru. | 2,67 % | 0,22 % |
AZORult | AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. | 2,67 % | 0,80 % |
Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. | 2,32 % | 1,90 % |
CrimsonRAT | CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity. | 2,32 % | 0,61 % |
AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 2,32 % | 3,47 % |
AsyncRat | AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému. | 2,14 % | 1,55 % |
Joker | Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách. | 1,60 % | 1,25 % |
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.