Počítačový vir, trojský kůň Emotet, byl v lednu sice odstaven díky mezinárodní policejní operaci, ale takřka ihned jej nahradil bankovní trojan Trickbot. Varují před ním počítačoví specialisté. Trickbot byl v minulosti spojován s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků. Česká republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce posunula zpět směrem k bezpečnějším místům.
Výzkumný tým společnosti Check Point® Software Technologies Ltd. zveřejnil v tomto týdnu celosvětový index dopadu hrozeb. Na čelo žebříčku se po pádu Emotetu dostal poprvé trojan Trickbot, který byl v minulosti spojován mimo jiné právě s Emotetem a ransomwarem Ryuk a byl součástí masivní vlny ransomwarových útoků.
Společnost Check Point vydala i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se po několika měsících pozvolného posunu mezi nebezpečné země lehce posunula směrem k bezpečnějším místům, o 17 příček na 52. pozici.
Slovensko se naopak mírně posunulo mezi méně bezpečné státy, přesto mu v únoru patřila až 64. pozice. Mezi bezpečnější státy nejvíce poskočila Nigérie, které v lednu patřila 14. pozice a v únoru až 69. místo.
Společnost Check Point upozorňuje, že po lednovém odstavení botnetu Emotet používají kyberzločinecké skupiny nové techniky a škodlivé kódy, jako je Trickbot. V průběhu února byl Trickbot šířen prostřednictvím spamových kampaní zaměřených na právnické a pojišťovací organizace. Útočníci se snažili přimět uživatele, aby stáhli do svých počítačů soubor ve formátu .zip, který obsahoval škodlivý JavaScript soubor. Jakmile uživatel soubor otevře, dojde k pokusu o stažení dalšího škodlivého obsahu ze vzdáleného serveru.
Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 procent organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS), předního poskytovatele zdravotní péče v USA. UHS bylo obětí ransomwarového útoku Ryuk a ušlé zisky a náklady v souvislosti s útokem se vyšplhaly až na 67 milionů dolarů. Trickbot byl použit ke krádeži dat ze systémů UHS a také k následnému infikování systému ransomwarem.
„Zločinci budou i nadále využívat existující hrozby a nástroje a Trickbot je populární vzhledem ke své všestrannosti. Navíc se osvědčil při předchozích útocích,“ vysvětluje Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point Petr Kadrmas. „Jak jsme předpokládali, i když byla odstraněna jedna velká hrozba, neznamená to, že by organizace měly polevit ve své ochraně, protože další nebezpečné hrozby číhají na svou šanci,“ dodává Kadrmas.
Top 3 – malware:
Pád Emotetu využil bankovní trojan Trickbot, který se posunul na první místo v žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě. Dopad měl na více než 3 procenta organizací po celém světě. Následovaly škodlivé kódy XMRig a Qbot, které ovlivnily shodně také 3 procenta společností.
2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
3. ↑ Qbot – Qbot je bankovní trojan, který byl poprvé detekován v roce 2008 a jehož cílem jsou krádeže bankovních přihlašovacích údajů a špehování stisknutých kláves. Qbot se většinou šíří nevyžádanými e-maily a využívá nejrůznější techniky, jak se vyhnout odhalení.
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo vyskočil FurBall.
2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↑ FurBall – FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně.
Společnost Check Point také analyzovala nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 48 procent organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 46 procent společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 45 procent organizací.
2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.Check Point analyzoval i malware útočící na podnikové sítě v České republice. Odstavení Emotetu mělo výrazný dopad i na český žebříček, který doznal řady změn. Na první příčku poskočil backdoor Qbot, který oproti lednu zdvojnásobil svůj dopad na tuzemské organizace. Na druhé a třetí pozici jsou dva škodlivé kódy, které ve světě neútočí tak výrazně jako v České republice. Bankovní trojan Zloader zasáhl přes 6 procent českých společností a exploit kit RigEK více než 5 procent firem. Naopak Trickbot, který je na čele celosvětového žebříčku, je v ČR až na 4. příčce.
|
Top malwarové rodiny v České republice – únor 2020 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Qbot |
Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. |
2,94 % |
12,03 % |
|
Zloader |
Zloader navazuje na bankovní malware Zeus a krade přihlašovací údaje, hesla a cookies uložené ve webových prohlížečích a další citlivé informace od zákazníků bank a finančních institucí. Malware umožňuje útočníkům připojit se k infikovanému systému prostřednictvím virtuálního klienta a provádět ze zařízení podvodné transakce. |
0,71 % |
6,33 % |
|
RigEK |
RigEK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů. |
1,46 % |
5,38 % |
|
Trickbot |
Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii. |
3,17 % |
3,80 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
3,08 % |
3,48 % |
|
xHelper |
Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. |
0,91 % |
1,58 % |
|
FurBall |
FurBall je Android MRAT (Mobile Remote Access Trojan), který používá íránská skupina APT-C-50 napojená na íránskou vládu. FurBall byl použit v řadě kampaní roku 2017 a je aktivní dodnes. Umí krást SMS zprávy, informace o hovorech, nahrávat zvuky v okolí telefonu, nahrávat hovory, krást mediální soubory, informace o poloze a podobně. |
0,73 % |
0,95 % |
|
Neshta |
Neshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů. |
0,80 % |
0,95 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
2,33 % |
0,95 % |
|
CpuMiner-Multi |
CpuMiner-Multi je kryptominer, který zneužívá zařízení oběti a může také špehovat uživatele nebo provádět jiné škodlivé aktivity. |
0,74 % |
0,95 % |
|
Turla |
Turla je backdoor zaměřený na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. |
0,83 % |
0,95 % |
|
GuLoader |
GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. |
0,47 % |
0,95 % |
|
Arkei |
Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. |
0,76 % |
0,95 % |
Tomáš Rovný
