Emotet padl, malwaru nyní kraluje Trickbot
19.03.2021
Emotet padl, malwaru nyní kraluje Trickbot

​Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje, že trojan Emotet byl v lednu sice odstaven v důsledku mezinárodní policejní operace, ale volný trůn převzal bankovní trojan Trickbot.


Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Na čelo žebříčku se po pádu Emotetu dostal poprvé trojan Trickbot, který byl v minulosti spojován mimo jiné právě s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce posunula směrem k bezpečnějším místům, o 17 příček na 52. pozici. Slovensko se naopak mírně posunulo mezi méně bezpečné státy, přesto mu v únoru patřila až 64. pozice. Na prvním místě v Indexu hrozeb skončila nově Srí Lanka. Druhé místo mezi nejméně bezpečnými státy patří Bhútánu a na třetí příčku poskočil o 15 míst Uzbekistán. Pro Kolumbii nebyl únor dobrým měsícem, ze 45. místa se dostala až na 7. příčku, a vůbec nejvýrazněji, o 39 míst, se posunulo Norsko, kterému v února patřila 46. pozice. Naopak mezi bezpečnější státy nejvíce poskočila Nigérie, které v lednu patřila 14. pozice a v únoru až 69. místo.

Check Point upozorňuje, že po lednovém odstavení botnetu Emotet používají kyberzločinecké skupiny nové techniky a škodlivé kódy, jako je Trickbot. V průběhu února byl Trickbot šířen prostřednictvím spamových kampaní zaměřených na právnické a pojišťovací organizace. Útočníci se snažili přimět uživatele, aby stáhli do svých počítačů soubor ve formátu .zip, který obsahoval škodlivý JavaScript soubor. Jakmile uživatel soubor otevře, dojde k pokusu o stažení dalšího škodlivého obsahu ze vzdáleného serveru.

Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 % organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS), předního poskytovatele zdravotní péče v USA. UHS bylo obětí ransomwarového útoku Ryuk a ušlé zisky a náklady v souvislosti s útokem se vyšplhaly až na 67 milionů dolarů. Trickbot byl použit ke krádeži dat ze systémů UHS a také k následnému infikování systému ransomwarem.

„Zločinci budou i nadále využívat existující hrozby a nástroje a Trickbot je populární vzhledem ke své všestrannosti. Navíc se osvědčil při předchozích útocích,“ říká Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point. „Jak jsme předpokládali, i když byla odstraněna jedna velká hrozba, neznamená to, že by organizace měly polevit ve své ochraně, protože další nebezpečné hrozby číhají na svou šanci.“

Top 3 - malware:

Pád Emotetu využil bankovní trojan Trickbot, který se posunul na první místo v žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě. Dopad měl na více než 3 % organizací po celém světě. Následovaly škodlivé kódy XMRig a Qbot, které ovlivnily shodně 3 % společností.
1. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
3. ↑ Qbot – Qbot je bankovní trojan, který byl poprvé detekován v roce 2008 a jehož cílem jsou krádeže bankovních přihlašovacích údajů a špehování stisknutých kláves. Qbot se většinou šíří nevyžádanými e-maily a využívá nejrůznější techniky, jak se vyhnout odhalení.

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo vyskočil FurBall.
1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↑ FurBall – FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.

Top 3 - zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 48 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 46 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 45 % organizací.
1. ↑ Web Server Exposed Git Repository Information Disclosure - Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Odstavení Emotetu mělo výrazný dopad i na český žebříček, který doznal řady změn. Na první příčku poskočil backdoor Qbot, který oproti lednu zdvojnásobil svůj dopad na tuzemské organizace. Na druhé a třetí pozici jsou dva škodlivé kódy, které ve světě neútočí tak výrazně jako v České republice. Bankovní trojan Zloader zasáhl přes 6 % českých společností a exploit kit RigEK více než 5 % firem. Naopak Trickbot, který je na čele celosvětového žebříčku, je v ČR až na 4. příčce.

Top 10 malwarových rodin v České republice – únor 2021

Malwarová rodinaPopisDopad ve světěDopad v ČR
QbotQbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.2,94 %12,03 %
ZloaderZloader navazuje na bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve webových prohlížečích a další citlivé informace od zákazníků bank a finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné transakce.0,71 %6,33 %
RigEKRigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.1,46 %5,38 %
TrickbotTrickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.3,17 %3,80 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.3,08 %3,48 %
xHelperŠkodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.0,91 %1,58 %
FurBallFurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.0,73 %0,95 %
NeshtaNeshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů.0,80 %0,95 %
FormbookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.2,33 %0,95 %
CpuMiner-MultiCpuMiner-Multi je kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele nebo provádět jiné škodlivé aktivity.0,74 %0,95 %
TurlaTurla je backdoor zaměřený na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač.0,83 %0,95 %
GuLoaderGuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.0,47 %0,95 %
ArkeiArkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám.0,76 %0,95 %

 

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html