- Co se šíření malwaru týče, Česká republika patří mezi méně bezpečné země
- Malware Emotet k šíření využívá válečného konfliktu mezi Ruskem a Ukrajinou
- Na vzestupu je i botnet Glupteba, který se poprvé objevil už v roce 2011
Americko-izraelská Společnost Check Point připravila celosvětový index dopadu hrozeb, podle kterého byl v únoru nejrozšířenějším malwarem Emotet. Naopak ústup zaznamenal Trickbot a také zranitelnost Log4j, která na konci roku 2021 spustila četnou sérii kyberútoků. Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné organizace. Následují vládní a vojenské organizace, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.
Zveřejněn byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v únoru mezi méně bezpečné země a obsadila 37. pozici. Naopak Slovensko se umístilo až na konci tabulky a s 92. pozicí patřilo mezi bezpečnější země. První, tedy nejnebezpečnější místo, obsadilo znovu Mongolsko.
Trickbot je botnet a bankovní trojan, který krade finanční data, přihlašovací údaje a osobní informace. Rychle se šíří uvnitř infikovaných sítí a často se používá v počáteční fázi ransomwarových útoků. V minulém roce se na čele žebříčku nejrozšířenějších malwarů objevil hned sedmkrát. Během posledních několika týdnů ovšem výzkumný tým Check Point Research nezaznamenal žádné nové kampaně a malware se v Indexu hrozeb propadl až šesté místo. Může to být částečně způsobeno tím, jak naznačuje nedávný únik dat z ransomwarové skupiny Conti, že se někteří členové Trickbotu připojili právě k této skupině.
Kyberzločinci se snaží zneužívat také konflikt mezi Ruskem a Ukrajinou, aby nalákali uživatele ke stažení škodlivých příloh. A právě nejrozšířenější únorový malware Emotet použil přesně tuto taktiku. Maily obsahovaly škodlivé soubory a předmět ve stylu „Ukrajinsko-ruský vojenský konflikt: Blaho ukrajinského člena našeho týmu“.
„Řada malwarů, včetně Emotetu, se snaží využít zájmu veřejnosti o rusko-ukrajinský konflikt. Vidíme e-mailové kampaně, které lákají na válečná témata a snaží se přimět uživatele ke stažení škodlivých příloh. Proto buďte velmi obezřetní a vždy pečlivě zkontrolujte, zda je e-mailová adresa odesílatele autentická, dávejte si pozor na pravopisné chyby a neotevírejte přílohy a neklikejte na odkazy, pokud si nejste stoprocentně jisti, že je e-mail bezpečný,“ říká Tomáš Růžička, SE team leader v kyberbezpečnostní společnosti Check Point Software Technologies.
Top 3 malware
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v únoru znovu Emotet, který měl dopad na 5 % organizací po celém světě. Na druhou příčku povyskočil FormBook s dopadem na 3 % společností. Glupteba na třetím místě ovlivnil 2 % podniků.
- ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Byl využíván jako bankovní trojan a také pro šíření dalších malwarů i škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↑ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje i zaznamenává stisknuté klávesy a může stahovat i spouštět soubory na základě pokynů z C&C serveru.
- ↑ Glupteba – Backdoor poprvé detekovaný v roce 2011 se postupně vyvinul v botnet.
Top 3 mobilní malware
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově XLoader, následovaly xHelper a AlienBot.
- ↑ XLoader – Spyware a bankovní trojan pro Android, který vyvinula čínská hackerská skupina Yanbian Gang. Využívá DNS spoofing k distribuci infikovaných Android aplikací a krade osobní i finanční informace.
- ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem i mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↓ AlienBot – Malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
Top 3 zranitelnosti
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili nově zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Na druhé místo klesla obávaná zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 44 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 41 % organizací.
- ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet nadále dominuje a jedná se o jasně nejvýraznější hrozbu pro místní organizace, která měla dopad na více než 11 % českých podnikových sítí. Naopak dopad modulárního botnetu Trickbot klesl v Česku oproti lednu na méně než polovinu. Mezi nejnebezpečnější hrozby pro české organizace patřil i v únoru FormBook a velmi rázně se do žebříčku vrátil i zlodějský malware SnakeKeylogger.
| Top malwarové rodiny v Česku za únor 2022 | |||
| Rodina | Popis | Dopad ve světě | Dopad v ČR |
| Emotet | Pokročilý modulární trojan, který se může sám šířit. Byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 5,16 % | 11,61 % |
| FormBook | Škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. Shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 3,21 % | 2,90 % |
| SnakeKeylogger | Modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. | 1,25 % | 1,85 % |
| AgentTesla | Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti i systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a mailového klienta Microsoft Outlook). Prodává se jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 1,81 % | 1,85 % |
| Trickbot | Modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem. Odesílá informace o infikovaném systému a může stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace. Poslední fází je ransomwarový útok na celou společnost. | 1,56 % | 1,58 % |
| XMRig | Open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 1,79 % | 1,58 % |
| Ursnif | Varianta bankovního trojanu Gozi pro Windows, jehož zdrojový kód unikl na internet. Pomocí techniky man-in-the-browser může krást bankovní informace a přihlašovací údaje k oblíbeným online službám. Navíc dokáže krást informace z lokálních mailových klientů, prohlížečů a kryptoměnových peněženek. Zároveň může stahovat a spouštět další soubory v infikovaném systému. | 0,34 % | 1,06 % |
| AZORult | Trojan shromažďující a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. | 0,42 % | 1,06 % |
| Glupteba | Backdoor poprvé detekovaný v roce 2011, který se postupně vyvinul v botnet. | 1,81 % | 0,79 % |
| Vidar | Zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů i digitálních peněženek. Prodává se na různých online fórech a používá se také ke stahování ransomwaru GandCrab. | 0,88 % | 0,79 % |
