Výzkumníci společnosti Check Point se domnívají, že infrastruktura Emotetu by mohla být offline kvůli údržbě a upgradu a jakmile budou servery připravené a znovu spuštěné, vrátí se Emotet s novými, vylepšenými schopnostmi.
„Emotet byl od roku 2014 používán hlavně jako bankovní trojan. Ale od minulého roku sledujeme, že je využíván jako botnet v masivních spamových kampaních a slouží k distribuci dalších malwarů. A i když byla jeho infrastruktura po většinu června neaktivní, stále mu patřila 5. pozice v našem malwarovém indexu, což ukazuje rozsah jeho využití. Navíc je pravděpodobné, že se vrátí s novými funkcemi,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Jakmile je Emotet nainstalován na stroji oběti, může jej využít k dalšímu šíření prostřednictvím spamových kampaní nebo třeba ke stažení jiných škodlivých kódů (jako je Trickbot, který infikuje celou hostitelskou síť nechvalně známým ransomwarem Ryuk).“
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se sice znovu celkově umístila mezi bezpečnějšími zeměmi, ale posunula se o 30 míst mezi ty méně bezpečné na 110. příčku. V podobné situaci bylo i Slovensko, které poskočilo ze 126. pozice na 93. příčku. Na prvním místě se v Indexu hrozeb potřetí za sebou umístil Mosambik. Nejvýrazněji se mezi nebezpečné země posunul Nepál, který ze 138. místa poskočil až na 8. příčku. Výrazně se mezi nebezpečné země také posunula Jižní Korea, která poskočila o 91 míst až na 46. příčku.
Top 3 – malware:
V červnu dominovaly škodlivým kódům opět kryptominery. XMRig se posunul na první místo a ovlivnil 4 % organizací. Těsně následovaly JSEcoin a Cryptoloot, oba škodlivé kódy měly dopad na 3 % společností po celém světě.
- ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
- ↑ JSEcoin – JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.
- ↓ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v červnu opět hackerský nástroj Lotoor. Modulární backdoor Triada se posunul ze 3. pozici na 2. příčku a nově se do Top 3 dostal trojan Ztorg.
- ↔ Lotoor – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
- ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
- ↑ Ztorg – Trojské koně z rodiny Ztorg získávají zvýšená oprávnění na zařízeních se systémem Android a instalují se do systémového adresáře. Malware je schopen instalovat do zařízení jakoukoliv jinou aplikaci.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především SQL Injections s dopadem na 52 % organizací. Zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla na druhém místě dopad na 43 % společností a CVE-2015-8562 na třetím místě ovlivnila 41 % organizací po celém světě.
- ↔ SQL Injection (různé techniky) – Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
- ↑ Joomla Object Injection Remote Command Execution (CVE-2015-8562) – Zranitelnost v platformách Joomla umožňující vzdálené spuštění příkazu. Zranitelnost je způsobena nedostatečným ověřováním vstupních objektů, což může vést ke vzdálenému spuštění kódu. Útočník tak může na dálku zneužít tuto zranitelnost odesláním škodlivého požadavku oběti.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je nadále kryptominer Cryptoloot, ale jeho dopad ve světě i v ČR mírně klesl. V posledních měsících pozorujeme v oblasti malwaru v ČR větší vyrovnanost, není zde žádný jasně dominující škodlivý kód, jako jsme mohli vidět třeba na začátku letošního roku. První tři příčky sice zůstaly v červnu beze změny, ale druhá polovina žebříčku doznala výrazných změn a téměř kompletně se obměnila.
|
Top malwarové rodiny v České republice – červen 2019 |
|||
|
Malwarová rodina |
Popis |
Dopad ve světě |
Dopad v ČR |
|
Cryptoloot |
Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků. |
2,51 % |
8,06 % |
|
XMRig |
XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. |
3,61 % |
7,56 % |
|
Emotet |
Emotet je trojan, který cílí na platformu Windows. Malware odesílá systémové informace na různé řídící servery a může stahovat konfigurační soubory a další komponenty. Zaměřuje se na zákazníky některých bank. |
2,22 % |
5,79 % |
|
Dorkbot |
IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky. |
2,35 % |
3,27 % |
|
Jsecoin |
JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. |
2,70 % |
3,02 % |
|
Lokibot |
Lokibot krade informace, nejčastěji je šířen phishingovými e-maily a je používán ke krádežím dat, jako jsou přihlašovací údaje k e-mailu nebo hesla ke kryptopeněženkám a FTP serverům. |
1,09 % |
3,02 % |
|
Jaktinier |
Jaktinier je backdoor, který cílí na platformy podporující spustitelné soubory MSIL. Jaktinier odesílá různé systémové informace, včetně jména počítače, uživatelského jména, operačního systému a CPU identifikátorů. Zároveň přijímá příkazy k různým škodlivým činnostem. |
0,26 % |
2,27 % |
|
Chir |
Chir je malwarová rodina, která kombinuje funkce červa a viru. |
0,39 % |
2,27 % |
|
AndroidBauts |
Adware, který získává z infikovaného zařízení informace a umožňuje instalaci aplikací třetích stran. |
0,31 % |
1,76 % |
|
GhOst |
Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač. |
0,22 % |
1,76 % |
|
NJRat |
njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd. |
0,42 % |
1,76 % |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.
Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html
