Trojan Dridex jedničkou mezi kyberhrozbami, souvisí s nárůstem ransomware útoků

DomůKyberbezpečnost

Trojan Dridex jedničkou mezi kyberhrozbami, souvisí s nárůstem ransomware útoků

0

Trojan Dridex jedničkou mezi kyberhrozbami, jeho vzestup souvisí i s nárůstem ransomwarových útoků.

VMware: Kyberzločinci stále častěji cílí na finanční sektor
Hackeři z Turla zaútočili přes Dropbox na ministerstvo člena EU
Proruští dobrovolníci útočí na české weby
NÚKIB upozorňuje na sadu zranitelností unixového mailového řešení Exim

Trojan Dridex jedničkou mezi kyberhrozbami, jeho vzestup souvisí i s nárůstem ransomwarových útoků.

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že trojan Dridex, který je často používán při ransomwarových útocích, je druhý měsíc za sebou jedničkou v žebříčku hrozeb použitých k útokům na podnikové sítě

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 13 příček mezi méně bezpečné země, přesto jí patřila až 74. pozice. Slovensko poskočilo o 23 příček směrem ke klidnějším vodám na 67. příčku. Celkově byl duben ale poměrně neklidný a žebříčkem výrazně zamíchal. Na první příčku vyskočila z 58. pozice Etiopie. Čína se posunula dokonce o 86 příček až na 6. místo a Kolumbie z 81. březnového místa na 8. pozici. Zajímavé je, že obě země patřily v únoru mezi nebezpečné státy, v březnu se naopak velmi výrazně posunuly mezi bezpečné země a nyní se situace znovu otočila. Naopak Albánie patřila v březnu mezi nebezpečné země (5. místo) a v dubnu jí patřila až 106. pozice, což je jeden z nejvýraznějších posunů v historii žebříčku.

Dridex je používán v počáteční fázi ransomwarových útoků. Hackeři stále častěji využívají dvojité vydírání, kdy ještě před zašifrováním dat ukradnou citlivé informace a vyhrožují, že v případě nezaplacení výkupného vše zveřejní. Nově sledujeme dokonce trojité vydírání, kdy se útočníci navíc snaží kontaktovat i obchodní partnery nebo novináře. Výzkumný tým Check Point Research uvedl, že počet ransomwarových útoků vzrostl v České republice od začátku roku o 256 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} a odhaduje se, že ransomwarové útoky stály v roce 2020 organizace po celém světě přibližně 20 miliard dolarů, tedy téměř o 75 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} více než v roce 2019.

AgentTesla je aktivní od roku 2014 a nyní se poprvé umístil na 2. místě v žebříčku kyberhrozeb. Špehuje uživatele, sleduje stisknuté klávesy a obsah systémové schránky, pořizuje snímky obrazovky a krade přihlašovací údaje k různým programům, včetně prohlížečů Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook.

„Po celém světě sledujeme epidemii ransomwarových útoků, takže není překvapením, že první místo obsadila hrozba, která s tímto trendem souvisí. V průměru každých 10 sekund se nějaká organizace na světě stane obětí ransomwarového útoku,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vlády čelí výzvám, že musí dělat v boji s ransomwarem více. Každopádně všechny organizace musí nasadit odpovídající bezpečnostní řešení a vzdělávat zaměstnance, aby zvýšili šanci na rozpoznání škodlivých zpráv, které šíří Dridex a další malware, používaný v počáteční fázi ransomwarových útoků.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu znovu Dridex. Dopad měl na 15 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul AgentTesla s dopadem na 12 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Trickbot na třetím místě ovlivnil 8 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.

  1. ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.
  2. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizuje snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).
  3. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl xHelper. Na druhou příčku se posunul backdoor Triada a Hiddad klesl na třetí místo.

  1. ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.
  3. ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45,5 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.

  1. ↑ Web Server Exposed Git Repository Information Disclosure Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Český žebříček byl tentokrát bez větších překvapení. Backdoor Qbot se navzdory klesajícímu celosvětovému dopadu drží v Česku na špici. Trickbot posiloval svoji pozici v ČR i ve světě a výrazný vzestup zaznamenal také AgentTesla, který v Česku poskočil z 9. místa na třetí. Dopad krytptominerů se v ČR dlouhodobě drží na dvojnásobku celosvětového průměru a potvrzuje to na 4. příčce XMRig. Duben přinesl také vzestup škodlivých kódů zaměřených na krádeže informací.

Top malwarové rodiny v České republice – duben 2020
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace. 3,01 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 9,06 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Trickbot Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. 8,48 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 6,95 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 11,99 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 5,14 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,08 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,72 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,14 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,72 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Dridex Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání. 15,03 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
NanoCore NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd. 2,10 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,56 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
IcedID IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem). 0,50 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Arkei Arkei je trojan zaměřený na krádeže důvěrných informací, přihlašovacích údajů a klíčů k virtuálním peněženkám. 0,86 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,21 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

DOPORUČUJEME PRO VÁS

Načítání...
Novější články
Starší články

KOMENTÁŘE

WORDPRESS: 0

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

DISKUZE 0