Hackeři v říjnu útočili na vzdělávací a výzkumné organizace

Kyberbezpečnostní společnost Check Point zveřejnila Celosvětový index dopadu hrozeb, podle kterého byl v říjnu nejrozšířenějším malwarem modulární botnet a bankovní trojan Trickbot.

Výzkumný tým také upozorňuje, že největšímu množství kyberútoků čelily v říjnu vzdělávací a výzkumné organizace, následovaly komunikační společnosti a Top 3 uzavírá vládní a vojenský sektor.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v říjnu jí patřila 82. pozice, což je jen drobný posun oproti zářijové 87. příčce. Slovensko se již třetí měsíce za sebou drží kolem 60. místa, v říjnu to byla 62. pozice. Na prvním, tedy nejnebezpečnějším, místě byla už potřetí v řadě Etiopie. Mezi méně bezpečné země se výrazně posunul Mauricius, kterému v září patřila 29. pozice a v říjnu 2. Také Kazachstán se posunul nežádoucím směrem, o 41 míst až na 9. pozici. Naopak Dominikánská republika klesla z 21. příčky až na 71.

Trickbot se zaměřuje především na krádeže finančních informací, přihlašovacích údajů a osobních dat a také se dokáže šířit uvnitř sítí a spouštět ransomwarové útoky. Od lednového odstavení Emotetu se už pětkrát stal nejrozšířenějším malwarem. Navíc je neustále vylepšován, takže je flexibilní a dobře využitelný v rámci víceúčelových kampaní.

„Na začátku října byla odhalena zranitelnost ‚Apache HTTP Server Directory Traversal‘, která už teď patří mezi deset nejčastěji zneužívaných zranitelností, což ukazuje, jak rychle útočníci pracují,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Je proto nezbytné používat sofistikované preventivní bezpečnostní technologie, které ochrání organizace před známými i neznámými hrozbami. Nejrozšířenějším malwarem je znovu Trickbot, který se často používá v počáteční fázi ransomwarových útoků. Týdně je ransomwarem zasažena každá 61. organizace, což je šokující číslo a společnosti musí při své ochraně udělat mnohem více. Řada útoků začíná obyčejným e-mailem, takže je důležité vzdělávat uživatele, aby poznali potenciální hrozby.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v říjnu Trickbot, který měl dopad na 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul XMRig s dopadem na 3 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností. Remcos na třetím místě ovlivnil 2 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.

1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
3. ↑ Remcos – Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android spyware a bankovní trojan xLoader.

1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
2. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
3. ↑ xLoader – xLoader je spyware a bankovní trojan pro Android, který vyvinula čínská hackerská skupina Yanbian Gang. xLoader využívá DNS spoofing k distribuci infikovaných Android aplikací a krade osobní a finanční informace.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na rekordních 60 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 55 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 54 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Na různých webových serverech existuje „directory traversal“ zranitelnost, jejíž úspěšné zneužití umožňuje neověřeným vzdáleným útočníkům zveřejnit nebo získat přístup k libovolným souborům na zranitelném serveru.
2. ↓ Command Injection Over HTTP – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Modulární botnet a bankovní trojan Trickbot měl dopad na více než 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} českých společností a potvrdil svou celosvětově silnou pozici. Zlodějský malware AgentTesla oproti září ještě posílil a posunul se až na druhou příčku. Dlouhodobě na čelo českých hrozeb patří kryptominer XMRig. Zlodějský malware FormBook, který byl zářijovou jedničkou, v říjnu z Top 10 vypadl, ale nahradil jej SnakeKeylogger. Z žebříčku vypadl také bankovní trojan Dridex, kterému v září patřila 4. pozice, naopak na 5. pozici vyskočil škodlivý kód Remcos.