Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byla v květnu největší hrozbou pro české organizace nová verze malwaru GuLoader. Více než 16 % českých organizací ohrožoval GuLoader, který kyberzločinci používají ke stahování dalších hrozeb, zejména zlodějských malwarů, a také k maskování před antiviry. Nejnovější verze navíc využívá sofistikovanou techniku nahrazení kódu v legitimním procesu, což ještě ztěžuje jeho detekci. Plně zašifrované pokyny jsou nepozorovaně uloženy v renomovaných veřejných cloudových službách, včetně Google Disku. Vzhledem k jedinečné kombinaci šifrování, specifického formátu a oddělení jednotlivých složek hrozby jsou škodlivé aktivity pro řadu antivirů neviditelné. Jedná se tak o velmi nebezpečnou hrozbu pro uživatele i pro společnosti.
Na téměř 15 % českých organizací útočil také dlouhodobě známý zlodějský malware FormBook, který krade informace a je prodáván na nelegálních hackerských fórech. Často je také šířen právě malwarem GuLoader. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z řídícího a velícího serveru.
„Kyberzločinci stále častěji zneužívají k šíření malwaru i veřejné nástroje a služby. Důvěryhodnost zdroje tak už nezaručuje bezpečnost,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Je proto důležité se vzdělávat, a mít tak možnost poznat podezřelé aktivity hned v jejich počátku. Důrazně doporučujeme prověřit obsah zprávy a odesílatele dřív, než začnete stahovat přílohu nebo sdělovat další informace. Navíc je nezbytné mít k dispozici pokročilá bezpečnostní řešení, jako je Check Point Horizon XDR/XPR, která dokáží účinně identifikovat, zda zdánlivě nezávadné chování není ve skutečnosti škodlivé, a poskytují tak další vrstvu ochrany před sofistikovanými hrozbami.“
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v květnu posunula o 3 místa mezi méně bezpečné země a obsadila 35. pozici. Podobně se posunulo i Slovensko, a to o 5 míst směrem k nebezpečnějším zemím na aktuální 54. příčku. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko. Nejvýrazněji se mezi nebezpečné země posunula Srí Lanka, která poskočila o 53 míst až na 39. pozici.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.
Top 3 - malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v květnu Qbot, který měl dopad na 6 % organizací. FormBook na druhé příčce zasáhl 5 % společností a AgentTesla na třetím místě ohrožoval 3 % organizací.
1. ↑ Qbot – Backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
2. ↑ FormBook – Krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
3. ↓ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 - mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly mobilní malwary AhMyth a Hiddad.
1. ↑ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
2. ↓ AhMyth – Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
3. ↔ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
Top 3 - zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 49 % organizací. Následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 45 % společností, Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 44 % organizací.
1. ↔ Web Servers Malicious URL Directory Traversal – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice.
Top malwarové rodiny v České republice - květen 2023 |
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| GuLoader | GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. | 3,07 % | 16,63 % |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 4,53 % | 14,51 % |
| Nanocore | NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. | 1,63 % | 6,19 % |
| LokiBot | LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. | 1,66 % | 4,26 % |
| Qbot | Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. | 5,88 % | 3,87 % |
| XMRig | XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. | 2,70 % | 3,68 % |
| Emotet | Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. | 2,81 % | 2,71 % |
| AZORult | AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. | 0,59 % | 2,13 % |
| Pony | Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. | 0,51 % | 2,13 % |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. | 1,46 % | 2,13 % |
| Upatre | Upatre stahuje a spouští v infikovaném systému další malware. Jeho varianty se šíří jako škodlivé soubory připojené ke zprávám nebo jako odkaz na škodlivou webovou stránku, která obsahuje samotný malware. Nové varianty Upatre kradou systémové informace, jako jsou název počítače a operačního systému. Mezi malware stahovaný pomocí Upatre patří Zeus, Crilock, Dyreza a Rovnix. Tento malware byl poprvé detekovaný v srpnu 2013. | 0,63 % | 2,13 % |
