Pozor na zlodějský malware, který krade citlivá data a přihlašovací údaje, v Česku je už druhou nejrozšířenější hrozbou pro organizace

PRAHA – 23. května 2024 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého v ČR i ve světě výrazně vzrostl počet útoků malwaru Androxgh0st, který se používá ke krádežím citlivých informací.

Androxgh0st byl poprvé detekován v prosinci 2022. Útočníci s jeho pomocí zneužívají zranitelnosti jako CVE-2021-3129 a CVE-2024-1709, snaží se na dálku ovládnout počítač oběti a zároveň se zaměřují na budování botnetu, který krade data a přihlašovací údaje. Před malwarem varují ve svých zprávách také FBI a CISA.

Index hrozeb společnosti Check Point zahrnuje také analýzu 200 ransomwarových „stránek hanby“, kde kyberzločinci veřejně vydírají své oběti a vyvíjejí tlak na neplatící cíle. V dubna byla opět nejaktivnější skupina Lockbit3, ale od začátku roku klesl počet jejích útoků o 55 % a celosvětový dopad se snížil z 20 % na 9 %. LockBit3 zaznamenal v poslední době řadu neúspěchů. V únoru zasadily tvrdý úder skupině FBI, NCA, Europol a další mezinárodní složky v rámci Operace Cronos, nově byly zveřejněny podrobnosti o 194 subjektech využívajících LockBit3 k ransomwarovým útokům. Odhalen a demaskován byl i vůdce skupiny. Do Top 3 se znovu vrátila i skupina 8Base, která se přihlásila například k útoku na IT systémy OSN, ze kterých ukradla informace o lidských zdrojích a veřejných zakázkách.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu posunula o 8 příček mezi méně bezpečné země a nově jí patří 40. pozice. Slovensko naopak patří mezi bezpečnější země a v dubnu se umístila až na 102. příčce. Mezi nebezpečné země se nejvíce posunul Bahrajn, o 30 míst, až na 36. příčku. První, tedy nejnebezpečnější, pozici obsadilo druhý měsíc za sebou Mongolsko.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunuly nemocnice a zdravotnické organizace.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v dubnu znovu downloader FakeUpdates, který měl dopad na 6 % společností po celém světě. Následovaly malwary Androxgh0st a Qbot.

1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
2. ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
3. ↓ Qbot – Backdoor patřící do rodiny Qakbot je víceúčelový malware, který se poprvé objevil v roce 2008. Je schopen stáhnout další malware a krást přihlašovací údaje, sledovat stisknuté klávesy, krást cookies a špehovat bankovní aktivity. Často se šíří prostřednictvím spamu a využívá několik technik proti odhalení, aby ztížil analýzu a vyhnul se detekci.

Top 3 – mobilní malware:

Bankovní trojan Anubis byl v dubnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary AhMyth a Hiddad.

1. ↔ Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
2. ↔ AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
3. ↑ Hiddad – Malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnosti „Command Injection Over HTTP” s dopadem na 52 % společností, následovaly zranitelnosti „Web Servers Malicious URL Directory Traversal“ a „HTTP Headers Remote Code Execution“.

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Vzdálený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořeného požadavku. Úspěšné zneužití by umožnilo spustit na cílovém počítači libovolný kód.
2. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

Top 3 – ransomwarové skupiny:

Check Point analyzoval téměř 200 ransomwarových „stránek hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci tyto stránky používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je v současnosti hrozbou číslo jedna pro organizace po celém světě.

Nejrozšířenější ransomwarovou skupinou byl v dubnu LockBit3, který byl zodpovědný za 9 % zveřejněných útoků, což je drobný pokles o 3 procentní body oproti březnu. Skupina Play měla na svědomí 7 % zveřejněných ransomwarových útoků a BlackBasta na třetím místě 6 %.

1. ↔ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.
2. ↔ Play – Ransomware Play šifruje data a za dešifrování požaduje výkupné.
3. ↑ 8Base – Ransomwarová skupina 8Base je aktivní minimálně od března 2022. V polovině roku 2023 významně zvýšila svou aktivitu a stala se postrachem mnoha organizací. 8Base používá různé varianty ransomwaru, ale základem je ransomware Phobos. Útoky jsou obvykle velmi sofistikované a skupina používá taktiku dvojitého vydírání.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Backdoor Jorik je nadále suverénně nejrozšířenější hrozbou pro české organizace a v porovnání s celosvětovým dopadem vidíme Českou republiku jasně jako jeden z primárních cílů. Na druhé místo vyskočil Androxgh0st, který krade citlivá data a navíc buduje botnet, který by ještě umocnil sílu a zrychlil šíření této hrozby. Celkově vidíme silné zastoupení zlodějských malwarů, přičemž organizace musí velmi pečlivě střežit svá data a přihlašovací údaje. Naopak oproti březnu klesl počet útoků malwaru FakeUpdates, který kyberzločinci používají ke stahování a šíření dalších malwarů a obchodování s přístupem do infikovaných systémů,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – duben 2024Malwarová rodinaPopisDopad v ČRDopad ve světěJorikJorik je backdoor, který se zaměřuje na platformu Windows. Malware je navržen tak, aby útočníkům umožňoval vzdálenou kontrolu nad infikovaným počítačem.9,96 %0,41 %Androxgh0stAndroxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.3,71 %3,77 %FormbookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.3,12 %2,56 %AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.2,54 %1,14 %AsyncRatAsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.2,54 %1,46 %TechJourneyTechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru.2,15 %0,17 %FakeUpdatesFakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.1,76 %6,13 %SnatchSnatch je ransomware jako služba (RaaS), který používá techniku dvojitého vydírání. Krade a šifruje data obětí a vyhrožuje jejich zveřejněním, pokud nedojde k zaplacení výkupného. Snatch funguje od roku 2018.1,56 %0,72 %AZORultAZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.1,37 %0,71 %CrackonoshCrackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.1,17 %0,23 %

Novinky od českého týmu společnosti Check Point Software Technologies:

Facebook: https://www.facebook.com/CheckPointCzech

X: https://twitter.com/CheckPointCzech

LinkedIn: https://cz.linkedin.com/showcase/checkpointczech

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies: X: http://www.twitter.com/checkpointsw Facebook: https://www.facebook.com/checkpointsoftware Blog: http://blog.checkpoint.com YouTube: http://www.youtube.com/user/CPGlobal LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.