Firmy v Česku nejčastěji ohrožuje zlodějský malware FormBook

DomůKyberbezpečnost

Firmy v Česku nejčastěji ohrožuje zlodějský malware FormBook

Podle průzkumu analytiků Check Point Software české organizace nejčastěji ohrožuje zlodějský malware FormBook.

Real Time kyber ochrana: T-Mobile otevírá v Praze svoje Security Operations Centre
NÚKIB varuje před trvající kampaní podvodných vishingových telefonátů
Hackeři napadli web agentury ČTK. Vydali zde 2 falešné zprávy
Průzkum: 89 procent organizací má nedostatky v ochraně dat

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že celosvětově nejrozšířenějším malwarem je znovu Trickbot, na sedmou příčku vyskočil Emotet a nejčastějším terčem hackerů byly nadále vzdělávací a výzkumné společnosti.

Analytici upozorňují, že největšímu množství kyberútoků čelily v listopadu opět vzdělávací a výzkumné organizace, následovaly komunikační společnosti a Top 3 uzavírá vládní a vojenský sektor. Například ve východní Evropě byly terčem především konzultační společnosti.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v listopadu jí patřila 84. pozice, což je minimální posun oproti říjnové 82. příčce. Slovensko se lehce, o 6 míst, posunulo mezi méně bezpečné země na 56. pozici. Na prvním, tedy nejnebezpečnějším, místě se umístil Mauricius. Mezi méně bezpečné země se nejvýrazněji posunula Kambodža, které v říjnu patřila 110. pozice a v listopadu 21., a také Ruská federace, z 68. příčky na 28. Naopak Uganda klesla z 12. příčky na 51.

Přestože byl na začátku roku Emotet odstaven v důsledku rozsáhlé mezinárodní policejní operace, v listopadu se opět objevil na scéně a hned se stal sedmým nejpoužívanějším malwarem. Žebříček ovládl pošesté Trickbot, který stojí právě i za rychlým vzestupem Emotetu, kterému propůjčuje svou infrastrukturu.

Emotet se šíří prostřednictvím phishingových e-mailů s nebezpečnými soubory formátu Word, Excel nebo Zip. E-maily se snaží nalákat na žhavá témata, jako jsou aktuální události, faktury nebo falešné firemní informace. V poslední době se Emotet začal šířit také prostřednictvím škodlivých balíčků Windows App Installer, které se vydávají za software Adobe.

„Emotet je jedním z nejúspěšnějších botnetů v historii a je zodpovědný za vzestup cílených ransomwarových útoků v posledních letech,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Listopadový návrat botnetu Emotet je znepokojivý, protože může vést k dalšímu nárůstu ransomwaru. Emotet získal velmi rychle silnou pozici, protože využívá infrastrukturu Trickbotu. Šíří se hlavně prostřednictvím phishingových e-mailů se škodlivými přílohami, takže je zásadní, aby organizace vzdělávaly své zaměstnance a naučily je rozpoznat kybernetické hrozby. A pokud si chce stáhnout software Adobe, měli byste jako v případě jiných aplikací využívat pouze oficiální cesty.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu Trickbot, který měl dopad na 5 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul Agent Tesla s dopadem na 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností. FormBook na třetím místě ovlivnil také 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.

  1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  2. ↑ Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
  3. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově AlienBot. xHelper klesl na druhou příčku, a naopak FluBot vysokočil do Top 3.

  1. ↑ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  2. ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací, což je významný propad oproti říjnovým 60 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 43,7 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.

  1. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Na různých webových serverech existuje „directory traversal“ zranitelnost, jejíž úspěšné zneužití umožňuje neověřeným vzdáleným útočníkům zveřejnit nebo získat přístup k libovolným souborům na zranitelném serveru.
  2. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vyskočil zlodějský malware FormBook, který oproti říjnu zvýšil svou aktivitu o 630 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}. FormBook nejčastěji útočil na komunikační společnosti a vládní a vojenský sektor. Celkově měl dopad na více než 10 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} českých podnikových sítí. Nebezpečnost zlodějských škodlivých kódů potvrzují i na druhém a třetím místě Agent Tesla a LokiBot. Celkově listopad přinesl vzestup nových hrozeb a z říjnového Top 10 zbyly v žebříčku jen 3 škodlivé kódy.

Top malwarové rodiny v České republice – listopad 2021
Malwarová rodina Popis Dopad ve světě Dopad v ČR
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 3,61 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 10,28 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Agent Tesla Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 3,82 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 4,44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
LokiBot LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. 0,80 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,78 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Trickbot Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace. Poslední fází je ransomwarový útok na celou společnost. 4,52 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,50 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 2,13 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,94 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Emotet Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 1,72 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,39 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Strrat Strrat je RAT (trojan pro vzdálenou správu), který může sledovat stisknuté klávesy, krást přihlašovací údaje uložené v prohlížečích a vzdáleně ovládat infikované počítače s operačním systémem Windows. 0,36 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,39 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Glupteba Glupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet. 2,31 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,11 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
NetWiredRC NetWiredRC je backdoor schopný získat systémové informace a krást přihlašovací údaje. 0,19 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 0,83 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Valyria Valyria je backdoor zaměřený na platformu Windows. Použit byl k cíleným útokům v několika asijských zemích a má podobnost s kampaní „MuddyWater“. Valyria se do infikovaného systému dostane pomocí dokumentu Microsoft Word s povolenými makry a načte se a spustí pomocí VB skriptu. Malware může krást systémové informace a odesílat je na vzdálený server. Může také spouštět příkazy, jako je restartování/ čištění systému, pořizovat snímky obrazovky a odesílat zašifrované informace na řídicí server. Valyria také dokáže spustit libovolný příkaz PowerShell a odeslat výsledek spuštění zpět na vzdálený řídicí server. Kromě toho používá řadu technik, jak zůstat na infikovaném systému co nejdelší dobu bez povšimnutí. 0,41 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 0,83 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,54 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 0,83 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 0