Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v lednu vrátil zlodějský malware Vidar, který útočil aktivně i v České republice a ještě zvýšil riziko krádeží dat.
„V lednu se infostealer Vidar šířil prostřednictvím falešných domén napodobujících společnost AnyDesk. Malware využíval napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Výzkumníci také odhalili rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a otevření trojan infikoval napadené zařízení a kradl citlivé informace.“ V
ýzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.
Top 3 - malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě.
1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
2. ↑ LokiBot – zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.
3. ↑ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 - mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth.
1. ↔ Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
2. ↔ Hiddad – malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
3. ↑ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
Top 3 - zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací.
1. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla, Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si na zlodějské malwary pozor, protože jejich útoků neustále přibývá.
Top malwarové rodiny v České republice - leden 2023 |
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. | 6,50 % | 7,36 % |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 4,69 % | 5,58 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 3,96 % | 5,58 % |
| Vidar | Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů a digitálních peněženek. Vidar se prodává na různých online fórech a používá se také ke stahování ransomwaru GandCrab. | 2,14 % | 5,08 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. | 1,21 % | 3,30 % |
| Emotet | Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 3,44 % | 3,05 % |
| Pony | Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. | 0,56 % | 3,05 % |
| GhOst | Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. | 0,75 % | 2,79 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 3,46 % | 2,54 % |
| LokiBot | LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. | 5,50 % | 1,78 % |
| GuLoader | GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. | 2,04 % | 1,78 % |
