Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Upozorňuje, že trojan Dridex je znovu na čele žebříčku kybernetických hrozeb a jeho vzestup souvisí s epidemií ransomwarových útoků.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 13 příček mezi méně bezpečné země, přesto jí patřila až 74. pozice. Slovensko poskočilo o 23 příček směrem ke klidnějším vodám na 67. příčku. Celkově byl duben ale poměrně neklidný a žebříčkem výrazně zamíchal. Na první příčku vyskočila z 58. pozice Etiopie. Čína se posunula dokonce o 86 příček až na 6. místo a Kolumbie z 81. březnového místa na 8. pozici. Zajímavé je, že obě země patřily v únoru mezi nebezpečné státy, v březnu se naopak velmi výrazně posunuly mezi bezpečné země a nyní se situace znovu otočila. Naopak Albánie patřila v březnu mezi nebezpečné země (5. místo) a v dubnu jí patřila až 106. pozice, což je jeden z nejvýraznějších posunů v historii žebříčku.

Dridex je používán v počáteční fázi ransomwarových útoků. Hackeři stále častěji využívají dvojité vydírání, kdy ještě před zašifrováním dat ukradnou citlivé informace a vyhrožují, že v případě nezaplacení výkupného vše zveřejní. Nově sledujeme dokonce trojité vydírání, kdy se útočníci navíc snaží kontaktovat i obchodní partnery nebo novináře. Výzkumný tým uvedl, že počet ransomwarových útoků vzrostl v České republice od začátku roku o 256 % a odhaduje se, že ransomwarové útoky stály v roce 2020 organizace po celém světě přibližně 20 miliard dolarů, tedy téměř o 75 % více než v roce 2019.

AgentTesla je aktivní od roku 2014 a nyní se poprvé umístil na 2. místě v žebříčku kyberhrozeb. Špehuje uživatele, sleduje stisknuté klávesy a obsah systémové schránky, pořizuje snímky obrazovky a krade přihlašovací údaje k různým programům, včetně prohlížečů Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook.

Top 3 – malware

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu znovu Dridex. Dopad měl na 15 % organizací po celém světě. Na druhou příčku se posunul AgentTesla s dopadem na 12 % společností a Trickbot na třetím místě ovlivnil 8 % podniků.

1. ↔ Dridex – Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.

2. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizuje snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

3. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

Top 3 – mobilní malware

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl xHelper. Na druhou příčku se posunul backdoor Triada a Hiddad klesl na třetí místo.

1. ↑ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

2. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

3. ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 45,5 % společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 44 % organizací.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

2. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Český žebříček byl tentokrát bez větších překvapení. Backdoor Qbot se navzdory klesajícímu celosvětovému dopadu drží v Česku na špici. Trickbot posiloval svoji pozici v ČR i ve světě a výrazný vzestup zaznamenal také AgentTesla, který v Česku poskočil z 9. místa na třetí. Dopad krytptominerů se v ČR dlouhodobě drží na dvojnásobku celosvětového průměru a potvrzuje to na 4. příčce XMRig. Duben přinesl také vzestup škodlivých kódů zaměřených na krádeže informací.

TZ

@RadekVyskovsky