Emotet v prosinci cílil na více než 100 000 uživatelů denně

cyber security malware detected

Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje před nárůstem útoků trojanu Emotet, který po měsíční odmlce znovu tvrdě udeřil. Dopad měl na 7 % světových organizací a dokonce na 21 % českých společností. Emotet využíval v prosinci spamové kampaně, které během svátků cílily na více než 100 000 uživatelů denně.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se lehce posunula mezi méně bezpečné země, o 4 místa na 50. příčku. Slovensku patřila v prosinci 78. pozice. Na prvním místě v Indexu hrozeb skončil nově Bhútán. Mezi méně bezpečné země se nejvýrazněji posunul Uzbekistán, který poskočil o 46 příček až na 15. pozici. Opačným směrem se nejvíce posunula Uruguay, které v listopadu patřila 33. pozice a v prosinci 84.

V září a říjnu 2020 byl Emotet na čele Indexu hrozeb a byl spojován s vlnou ransomwarových útoků. V listopadu klesl až na 5. místo, pravděpodobně v důsledku aktualizace a rozšíření o nové škodlivé schopnosti. Emotet se nyní také umí ještě lépe vyhnout odhalení. Spamové kampaně šířící Emotet využívají vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.

Emotet byl poprvé odhalen v roce 2014 a pravidelně byl aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.

Top 3 – malware:

Emotet se po listopadovém překvapivém pádu znovu vrátil do čela žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 7 % organizací. Následovaly škodlivé kódy Trickbot a FormBook, které ovlivnily shodně 4 % společností.

1. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
2. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze využít jako součást víceúčelových kampaní.
3. ↑ FormBook – FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru

Top 3 – mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále Android malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo se posunul modulární backdoor Triada.

1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 42 % organizací. Na druhé místo klesla zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ se shodným dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopaden na 41 % organizací.

1. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
2. ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. I zde dominoval po listopadovém poklesu Emotet. Zajímavostí je, že na čele českého žebříčku jsou i některé malwarové rodiny, které ve světě nemají tak výrazný dopad. Qbot měl v prosinci dopad na 11,55 % českých organizací, přitom v listopadu to bylo jen 1,54 % %. Dridex je dlouhodobě oblíbeným škodlivým kódem používaným k útokům na české organizace, podobně jako RigEK, který oproti listopadu zaznamenal téměř 3,5násobný růst.

Napsat komentář