Hackeři v říjnu útočili nejčastěji na vzdělávací a výzkumné organizace

security malware trojan index

Podle Celosvětového indexu dopadu hrozeb byl v říjnu nejrozšířenějším malwarem modulární botnet a bankovní trojan Trickbot. Výzkumný tým také upozorňuje, že největšímu množství kyberútoků čelily v říjnu vzdělávací a výzkumné organizace, následovaly komunikační společnosti a Top 3 uzavírá vládní a vojenský sektor.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v říjnu jí patřila 82. pozice, což je jen drobný posun oproti zářijové 87. příčce. Slovensko se již třetí měsíce za sebou drží kolem 60. místa, v říjnu to byla 62. pozice. Na prvním, tedy nejnebezpečnějším, místě byla už potřetí v řadě Etiopie. Mezi méně bezpečné země se výrazně posunul Mauricius, kterému v září patřila 29. pozice a v říjnu 2. Také Kazachstán se posunul nežádoucím směrem, o 41 míst až na 9. pozici. Naopak Dominikánská republika klesla z 21. příčky až na 71.

Trickbot se zaměřuje především na krádeže finančních informací, přihlašovacích údajů a osobních dat a také se dokáže šířit uvnitř sítí a spouštět ransomwarové útoky. Od lednového odstavení Emotetu se už pětkrát stal nejrozšířenějším malwarem. Navíc je neustále vylepšován, takže je flexibilní a dobře využitelný v rámci víceúčelových kampaní.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v říjnu Trickbot, který měl dopad na 4 % organizací po celém světě. Na druhou příčku se posunul XMRig s dopadem na 3 % společností. Remcos na třetím místě ovlivnil 2 % podniků.

1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
2. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
3. ↑ Remcos – Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android spyware a bankovní trojan xLoader.

1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
2. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
3. ↑ xLoader – xLoader je spyware a bankovní trojan pro Android, který vyvinula čínská hackerská skupina Yanbian Gang. xLoader využívá DNS spoofing k distribuci infikovaných Android aplikací a krade osobní a finanční informace.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na rekordních 60 % organizací. Druhé místo obsadila zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 55 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 54 % organizací.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Na různých webových serverech existuje „directory traversal“ zranitelnost, jejíž úspěšné zneužití umožňuje neověřeným vzdáleným útočníkům zveřejnit nebo získat přístup k libovolným souborům na zranitelném serveru.
2. ↓ Command Injection Over HTTP – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Modulární botnet a bankovní trojan Trickbot měl dopad na více než 4 % českých společností a potvrdil svou celosvětově silnou pozici. Zlodějský malware AgentTesla oproti září ještě posílil a posunul se až na druhou příčku. Dlouhodobě na čelo českých hrozeb patří kryptominer XMRig. Zlodějský malware FormBook, který byl zářijovou jedničkou, v říjnu z Top 10 vypadl, ale nahradil jej SnakeKeylogger. Z žebříčku vypadl také bankovní trojan Dridex, kterému v září patřila 4. pozice, naopak na 5. pozici vyskočil škodlivý kód Remcos.

TZ

@RadekVyskovsky