Česká republika je pátou evropskou zemí nejčastěji napadanou kyberútoky

Emotet v březnu využíval k šíření nejrůznější kampaně s velikonoční tematikou a měl dopad na více než 10 % organizací. V dubnu se jeho vliv trochu propadl, jedním z důvodů může být i rozhodnutí společnosti Microsoft zakázat makra spojená se soubory Office. Podle některých zpráv proto Emotet nyní využívá novou techniku a šíří se pomocí nebezpečných e-mailů obsahujících odkaz na službu OneDrive. Jakmile Emotet pronikne do počítače, může škodit nejrůznějšími způsoby, jeho provozovatelé totiž nabízí své služby na darknetu dalším hackerům. V minulosti jsme mohli vidět třeba spolupráci mezi Emotetem, Trickbotem a ransomwarem Ryuk. Nyní mohou nabízených služeb využít i další kyberzločinci a proniknout se svými hrozbami, bankovními trojany, špionážními malwary nebo třeba ransomwarem, do počítačů infikovaných Emotetem.

Na konci března byly také objeveny kritické zranitelnosti Spring4Shell v Java Spring Framework. Kyberzločinci se nyní snaží zneužít zranitelnosti k posilování nebezpečného IoT botnetu Mirai, který je používán například k DDoS útokům.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenský sektor, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v dubnu dále držela mezi nebezpečnými zeměmi, patřila jí celosvětově 26. pozice a 5. mezi evropskými zeměmi. Jedna česká organizace čelila v dubnu v průměru 1 800 kyberútokům za týden, přitom evropský průměr se pohybuje okolo hranice 1 100 útoků za týden. Naopak Slovensko se umístilo až ke konci tabulky a na 84. místě patří mezi bezpečnější země. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.

„Kybernetické hrozby se neustále vyvíjí a velké korporace, jako je Microsoft, mohou ovlivnit, jaké cesty kyberzločinci k šíření malwaru používají. Patrné je to nyní například u Emotetu, který začal používat novou techniku,“ uvedl Tomáš Růžička, SE Team leader z kyberbezpečnostní společnosti Check Point Software Technologies. „V dubnu jsme viděli také nárůst útoků zneužívajících zranitelnost Spring4Shell. Ačkoli zatím není ani v Top 10 zranitelností, jen za první měsíc bylo touto hrozbou zasaženo více než 35 % organizací po celém světě, a proto očekáváme, že v následujících měsících riziko poroste.“

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v dubnu znovu Emotet, který měl dopad na 6 % organizací po celém světě. Na druhou příčku se posunul FormBook s dopadem na 3 % společností. Agent Tesla na třetím místě ovlivnil 2 % podniků.

1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.

1. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
2. ↓ Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly FluBot a xHelper.

1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
2. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
3. ↓ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Na druhé místo klesla zranitelnost „Apache Log4j Remote Code Execution“ s podobným dopadem a Top 3 uzavírá zranitelnost „Apache Struts ParametersInterceptor ClassLoader Security Bypass“ s jen o málo menším dopadem na 45 % organizací.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
3. ↑ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Zranitelnost je způsobena nedostatečným ověřováním dat, která zpracovává ParametersInterceptor, a umožňuje manipulaci s ClassLoaderem.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. V dubnu byl malware vzácně vyrovnaný, dokonce oslabil i jinak dominantní Emotet. České organizace tak musely čelit daleko variabilnějším hrozbám. Od začátku roku vidíme výrazně nadprůměrný počet kryptominerových útoků na české sítě a v dubnu vzrostlo také množství ransomwarových útoků.