Nejnebezpečnější malware na světě – Emotet – je už dvojkou mezi hrozbami pro světové i české sítě. Emotet stále sílí a už je druhým nejrozšířenějším malwarem na světě, první pozici drží nadále Trickbot. Největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné organizace. Následují vládní a vojenské organizace, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.
Podle Celosvětového indexu dopadu hrozeb, sestaveného výzkumným týmem Check Point Research, si v prosinci udržel pozici nejrozšířenějšího malwaru modulární botnet a bankovní trojan Trickbot. A to přesto, že jeho dopad na organizace klesl z 5 na 4 procenta. Znovu ale ožil Emotet, nejnebezpečnější malware na světě. Ten rychle posiluje a poskočil už na druhou pozici. V prosinci se také internetem šířily jako lavina útoky zneužívající zranitelnost Apache Log4j.
Výzkumný tým upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné organizace. Následují vládní a vojenské organizace, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.
Z kryptoměn na vytipované cíle
Zranitelnost „Apache Log4j Remote Code Execution“ měla dopad na 48,3 procent organizací po celém světě. Poprvé byla hlášena 9. prosince v logovacím balíčku Apache Log4j, nejoblíbenější Java logovací knihovně, používané v mnoha internetových službách a aplikacích.
Zranitelnost zasáhla ve velmi krátké době téměř polovinu všech společností po celém světě, útočníci jsou schopni zneužít zranitelné aplikace ke spuštění malwaru na napadených serverech. Doposud se většina útoků zaměřovala na těžbu kryptoměn, nicméně některé hackerské skupiny začaly zranitelnost zneužívat k sofistikovaným útokům na pečlivě vytipované cíle.
„Log4j je jednou z nejzávažnějších zranitelností, které jsme kdy viděli. Pokud firmy okamžitě nepřijmou odpovídající preventivní opatření, bude vzhledem ke složitosti jejího záplatování a snadnosti zneužití hrozbou ještě řadu let,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies.
„V prosinci jsme také viděli další vzestup botnetu Emotet, který je už druhým nejrozšířenějším malwarem. Přesně jak jsme předpokládali, netrvalo dlouho a Emotet si od svého listopadového znovuoživení opět vybudoval silnou pozici. Rychle se šíří prostřednictvím phishingových e-mailů se škodlivými přílohami nebo odkazy. Je proto zásadní, aby organizace používaly robustní bezpečnostní řešení a aby uživatelé dokázali rozpoznat podezřele vypadající zprávu nebo přílohu.“
Top 3 – malware
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v prosinci Trickbot, který měl dopad na 4 procenta organizací po celém světě. Na druhou příčku se posunul Emotet s dopadem na 3 procenta společností. FormBook na třetím místě ovlivnil také 3 procenta podniků.
- ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
- ↔ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
Top 3 – mobilní malware
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení opět vládl AlienBot, následovaly xHelper a FluBot.
- ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↔ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
Top 3 – zranitelnosti
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Apache Log4j Remote Code Execution ” s dopadem na 48,3 % organizací. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 43,8 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 41,5 % organizací.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
- ↔ Web Server Exposed Git Repository Information Disclosure– Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. První místo sice uhájil zlodějský malware FormBook, ale jeho vliv klesal, naopak velmi výrazně útočil Emotet, který ze šesté příčky vyskočil až na druhou. Posílil také Trickbot, který je spojován právě s Emotetem, kterému poskytl svou infrastrukturu a umožnil jeho návrat. Mezi nejnebezpečnějšími škodlivými kódy se drží i Agent Tesla a do Top 10 se vrátil také bankovní trojan Dridex.
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
(ede)