Trojan Dridex jedničkou mezi kyberhrozbami, souvisí s nárůstem ransomware útoků

DomůKyberbezpečnost

Trojan Dridex jedničkou mezi kyberhrozbami, souvisí s nárůstem ransomware útoků

0

Trojan Dridex jedničkou mezi kyberhrozbami, jeho vzestup souvisí i s nárůstem ransomwarových útoků.

Na kyberbezpečnostní incidenty neumí firmy reagovat
Podezření na únik dat 3,8 milionů uživatelů Facebooku a Clubhousu
IT správci podceňují útoky na webové systémy
Roste objem bankovního malware pro Android

Trojan Dridex jedničkou mezi kyberhrozbami, jeho vzestup souvisí i s nárůstem ransomwarových útoků.

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že trojan Dridex, který je často používán při ransomwarových útocích, je druhý měsíc za sebou jedničkou v žebříčku hrozeb použitých k útokům na podnikové sítě

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 13 příček mezi méně bezpečné země, přesto jí patřila až 74. pozice. Slovensko poskočilo o 23 příček směrem ke klidnějším vodám na 67. příčku. Celkově byl duben ale poměrně neklidný a žebříčkem výrazně zamíchal. Na první příčku vyskočila z 58. pozice Etiopie. Čína se posunula dokonce o 86 příček až na 6. místo a Kolumbie z 81. březnového místa na 8. pozici. Zajímavé je, že obě země patřily v únoru mezi nebezpečné státy, v březnu se naopak velmi výrazně posunuly mezi bezpečné země a nyní se situace znovu otočila. Naopak Albánie patřila v březnu mezi nebezpečné země (5. místo) a v dubnu jí patřila až 106. pozice, což je jeden z nejvýraznějších posunů v historii žebříčku.

Dridex je používán v počáteční fázi ransomwarových útoků. Hackeři stále častěji využívají dvojité vydírání, kdy ještě před zašifrováním dat ukradnou citlivé informace a vyhrožují, že v případě nezaplacení výkupného vše zveřejní. Nově sledujeme dokonce trojité vydírání, kdy se útočníci navíc snaží kontaktovat i obchodní partnery nebo novináře. Výzkumný tým Check Point Research uvedl, že počet ransomwarových útoků vzrostl v České republice od začátku roku o 256 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} a odhaduje se, že ransomwarové útoky stály v roce 2020 organizace po celém světě přibližně 20 miliard dolarů, tedy téměř o 75 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} více než v roce 2019.

AgentTesla je aktivní od roku 2014 a nyní se poprvé umístil na 2. místě v žebříčku kyberhrozeb. Špehuje uživatele, sleduje stisknuté klávesy a obsah systémové schránky, pořizuje snímky obrazovky a krade přihlašovací údaje k různým programům, včetně prohlížečů Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook.

„Po celém světě sledujeme epidemii ransomwarových útoků, takže není překvapením, že první místo obsadila hrozba, která s tímto trendem souvisí. V průměru každých 10 sekund se nějaká organizace na světě stane obětí ransomwarového útoku,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vlády čelí výzvám, že musí dělat v boji s ransomwarem více. Každopádně všechny organizace musí nasadit odpovídající bezpečnostní řešení a vzdělávat zaměstnance, aby zvýšili šanci na rozpoznání škodlivých zpráv, které šíří Dridex a další malware, používaný v počáteční fázi ransomwarových útoků.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu znovu Dridex. Dopad měl na 15 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul AgentTesla s dopadem na 12 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Trickbot na třetím místě ovlivnil 8 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.

  1. ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
  2. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizuje snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
  3. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl xHelper. Na druhou příčku se posunul backdoor Triada a Hiddad klesl na třetí místo.

  1. ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.
  3. ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45,5 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.

  1. ↑ Web Server Exposed Git Repository Information Disclosure Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Český žebříček byl tentokrát bez větších překvapení. Backdoor Qbot se navzdory klesajícímu celosvětovému dopadu drží v Česku na špici. Trickbot posiloval svoji pozici v ČR i ve světě a výrazný vzestup zaznamenal také AgentTesla, který v Česku poskočil z 9. místa na třetí. Dopad krytptominerů se v ČR dlouhodobě drží na dvojnásobku celosvětového průměru a potvrzuje to na 4. příčce XMRig. Duben přinesl také vzestup škodlivých kódů zaměřených na krádeže informací.

Top malwarové rodiny v České republice – duben 2020
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. 3,01 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 9,06 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Trickbot Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. 8,48 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 6,95 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 11,99 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 5,14 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,08 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,72 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,14 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,72 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Dridex Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. 15,03 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
NanoCore NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. 2,10 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,56 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
IcedID IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem). 0,50 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Arkei Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. 0,86 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

DOPORUČUJEME PRO VÁS

Načítání...
Novější články
Starší články

KOMENTÁŘE

WORDPRESS: 0

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

DISKUZE 0