Zprávy

České organizace čelí útokům ransomwaru Hive

Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl Emotet nadále nejrozšířenějším malwarem, přestože jeho globální dopad oproti červnu klesl na polovinu. Výkyv mohl být ale způsoben jen prázdninami, podobně jako v minulých letech. Emotet navíc získal další funkce, nově vyvinutý modul umožňuje krádeže informací o platebních kartách. Vylepšen byl i systém šíření a distribuce.

Zlodějský malware Snake Keylogger sice celosvětově také oslabil, ale v České republice naopak zasáhl výrazně více organizací než v červnu. Na třetí místo globálního žebříčku poskočil kryptominer XMRig, což znovu ukazuje, že i když mohou mít kyberzločinci často vyšší cíle, hlavní motivací jsou nadále ve většině případů peníze. MaliBot poprvé významně útočil v červnu a i v červenci se patřil do Top 3 nejrozšířenějších mobilních hrozeb na světě.  Uživatelé mobilních bankovnictví by měli být velmi opatrní.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se vrátily poskytovatelé internetových a spravovaných služeb (Managed Services).

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i v červenci držela mezi nebezpečnými zeměmi, patřila jí celosvětově 24. pozice. Slovensko se po měsících relativního klidu posunulo o 32 míst také směrem k méně bezpečným zemím a patřilo mu 60. místo, jednalo se o vůbec největší posun nebezpečným směrem. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.

„Emotet nadále dominuje malwaru. Navíc se neustále vyvíjí a zlepšuje své maskovací i distribuční schopnosti. Aktuálně jsme zachytili například modul pro krádeže informací o platebních kartách, takže jednotlivci, ale i organizace musí být při online nákupech obzvláště opatrní. Microsoft navíc potvrdil blokování maker, takže čekáme, že další škodlivé kódy, jako je Snake Keylogger, změní svou taktiku,“ řekl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil i v červenci Emotet, který měl dopad na 7 % organizací po celém světě. Na druhé příčce se umístil FormBook s dopadem na 3 % společností a XMRig na třetím místě ovlivnil 2 % organizací.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  3. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly Anubis a MaliBot.

  1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  2. Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  3. MaliBot – MaliBot je bankovní malware pro Android. Maskuje se za různé aplikace na těžbu kryptoměn a zaměřuje se na krádeže finančních informací, kryptopeněženek a dalších osobních údajů.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 42 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s podobným dopadem na 41 % společností, Top 3 pak uzavírá zranitelnost „Web Servers Malicious URL Directory Traversal“ s dopaden na 39 % organizací.

  1. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  3. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) –Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první pozici se nadále drží Emotet, ale v červenci klesl jako dopad na české organizace z 22 % na 13 %. Zlodějský malware FormBook sice celosvětově oslabil, ale pro české společnosti se nadále jedná o velmi nebezpečnou hrozbu. Riziko krádeže data a přihlašovacích údajů podtrhuje na třetím místě Snake Keylogger, který oproti červnu také poměrně významně posílil. Zároveň je nově v popředí žebříčku ransomware Hive, který používá pokročilé vyděračské techniky a kromě zašifrování dat vyhrožuje ještě zveřejněním ukradených informací, pokud nedojde ke splnění podmínek a zaplacení výkupného.

Top malwarové rodiny v České republice – červenec 2022
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Emotet Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 7,06 % 13,26 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,75 % 7,49 %
Snake Keylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 1,28 % 5,76 %
Hive Ransomware Hive byl poprvé objeven v červnu 2021. Hive využívá k napadení podnikových sítí různé mechanismy, včetně phishingových e-mailů se škodlivými přílohami a protokolu RDP (Remote Desktop Protocol) k dalšímu šíření uvnitř sítě. Útočníci nejdříve ukradnou data a následně soubory v síti zašifrují. V každém napadeném adresáři nechají oznámení o výkupném, které obsahuje pokyny, jak zakoupit dešifrovací software. Zároveň útočníci vyhrožují, že pokud nedojde k zaplacení výkupného, zveřejní ukradená data na jejich stránce HiveLeaks. 0,07 % 2,59 %
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,17 % 2,31 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,66 % 2,31 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 1,33 % 1,73 %
Tofsee Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. 0,70 % 1,44 %
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,31 % 1,44 %
NJRat njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd. 1,47 % 1,15 %
NanoCore NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. 0,81 % 1,15 %
Valyria Valyria je backdoor zaměřený na platformu Windows. Použit byl k cíleným útokům v několika asijských zemích a má podobnost s kampaní „MuddyWater“. Valyria se do infikovaného systému dostane pomocí dokumentu Microsoft Word s povolenými makry a načte se a spustí pomocí VB skriptu. Malware může krást systémové informace a odesílat je na vzdálený server. Může také spouštět příkazy, jako je restartování / čištění systému, pořizovat snímky obrazovky a odesílat zašifrované informace na řídicí server. Valyria také dokáže spustit libovolný příkaz PowerShell a odeslat výsledek spuštění zpět na vzdálený řídicí server. Kromě toho používá řadu technik, jak zůstat v infikovaném systému co nejdelší dobu bez povšimnutí. 0,21 % 1,15 %

Zdroj: Check Point