Emotet dvojkou mezi hrozbami pro světové i české sítě, nejnebezpečnější zranitelností Log4j

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že Emotet dále sílí a už je druhým nejrozšířenějším malwarem, první pozici drží nadále Trickbot

PRAHA – 28. ledna 2022 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v prosinci udržel pozici nejrozšířenějšího malwaru modulární botnet a bankovní trojan Trickbot, i když jeho dopad na organizace klesl z 5 na 4 %. Znovuoživený Emotet, nejnebezpečnější malware na světě, rychle posiluje a poskočil už na 2. pozici. V prosinci se také internetem šířily jako lavina útoky zneužívající zranitelnost Apache Log4j.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné organizace. Následují vládní a vojenské organizace, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.

Zranitelnost „Apache Log4j Remote Code Execution“ měla dopad na 48,3 % organizací po celém světě. Poprvé byla hlášena 9. prosince v logovacím balíčku Apache Log4j, nejoblíbenější Java logovací knihovně, používané v mnoha internetových službách a aplikacích. Zranitelnost zasáhla ve velmi krátké době téměř polovinu všech společností po celém světě, útočníci jsou schopni zneužít zranitelné aplikace ke spuštění malwaru na napadených serverech. Doposud se většina útoků zaměřovala na těžbu kryptoměn, nicméně některé hackerské skupiny začaly zranitelnost zneužívat k sofistikovaným útokům na pečlivě vytipované cíle.

„Log4j je jednou z nejzávažnějších zranitelností, které jsme kdy viděli. Pokud firmy okamžitě nepřijmou odpovídající preventivní opatření, bude vzhledem ke složitosti jejího záplatování a snadnosti zneužití hrozbou ještě řadu let,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „V prosinci jsme také viděli další vzestup botnetu Emotet, který je už 2. nejrozšířenějším malwarem. Přesně jak jsme předpokládali, netrvalo dlouho a Emotet si od svého listopadového znovuoživení opět vybudoval silnou pozici. Rychle se šíří prostřednictvím phishingových e-mailů se škodlivými přílohami nebo odkazy. Je proto zásadní, aby organizace používaly robustní bezpečnostní řešení a aby uživatelé dokázali rozpoznat podezřele vypadající zprávu nebo přílohu.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v prosinci Trickbot, který měl dopad na 4 % organizací po celém světě. Na druhou příčku se posunul Emotet s dopadem na 3 % společností. FormBook na třetím místě ovlivnil také 3 % podniků.

  1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  2. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  3. ↔ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení opět vládl AlienBot, následovaly xHelper a FluBot.

  1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  3. ↔ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Apache Log4j Remote Code Execution ” s dopadem na 48,3 % organizací. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 43,8 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 41,5 % organizací.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  2. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. První místo sice uhájil zlodějský malware FormBook, ale jeho vliv klesal, naopak velmi výrazně útočil Emotet, který ze šesté příčky vyskočil až na druhou. Posílil také Trickbot, který je spojován právě s Emotetem, kterému poskytl svou infrastrukturu a umožnil jeho návrat. Mezi nejnebezpečnějšími škodlivými kódy se drží i Agent Tesla a do Top 10 se vrátil také bankovní trojan Dridex.

Top malwarové rodiny v České republice – prosinec 2021
Malwarová rodinaPopisDopad ve světěDopad v ČR
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.3,17 %6,54 %
EmotetEmotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.3,12 %6,28 %
Agent TeslaAgent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.2,10 %4,71 %
TrickbotTrickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace. Poslední fází je ransomwarový útok na celou společnost.4,30 %4,19 %
TofseeTofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn.0,75 %3,40 %
DridexBankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.1,74 %3,14 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.1,91 %1,57 %
LokiBotLokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce.0,60 %1,57 %
GluptebaGlupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet.2,10 %1,05 %
AsyncRatAsyncRat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů.0,38 %0,79 %
AZORultAZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.0,43 %0,79 %
AlienBotMalware AlienBot je nabízen jako MaaS (malware jako služba). Do legitimních bankovních a platebních aplikací vkládá škodlivý kód. Může krást přihlašovací údaje, instalovat libovolné aplikace, a dokonce útočníkům umožňuje převzít kontrolu nad infikovaným počítačem prostřednictvím aplikace TeamViewer. 0,35 %0,79 %

Více informací o kybernetických hrozbách a trendech v oblasti zabezpečení se dozvíte na virtuální kyberbezpečnostní konferenci CPX 360 (checkpoint.com/cpx), která se uskuteční od 2. do 3. února 2022. Na akci se představí vizionáři a špičky v oblasti kyberbezpečnosti, ale zároveň se můžete těšit i na speciální hosty. Vystoupí například Usain Bolt, osminásobný olympijský vítěz, a George Takei, legenda seriálu Star Trek. Dozvíte se více o budoucnosti boje s kyberzločinem, jaké jsou nejnovější bezpečnostní technologie, jak probíhá lov hackerů a jaké jsou nejžhavější hackerské techniky a taktiky a jak fungují kryptopodvody a útoky na kryptopeněženky a nebo jaký dopad měl koronavirus na svět kyberbezpečnosti. A samozřejmě mnohem více, včetně případových studií a živých ukázek. Registrovat se můžete zde: https://emea.cpx.checkpoint.com/register

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.