Kyberzločinci oprašují staré triky

11. 6. 2019. (redaktor: František Doupal, zdroj: Check Point)
Check Point zveřejnil Celosvětový index dopadu hrozeb, podle kterého se bankovní trojan Trickbot poprvé po téměř dvou letech vrátil do Top 10 škodlivých kódů použitých k útokům na podnikové sítě. Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 19 míst mezi bezpečnější země a v dubnu jí patřila 140. příčka. Slovensko se také drží mezi bezpečnějšími zeměmi (132. místo).

Na prvním místě se v Indexu hrozeb umístil nově Mosambik. Ostrov Man se v březnu posunul z 31. pozice na 147. příčku a jednalo se o největší pohyb mezi bezpečnější země, naopak v dubnu se ostrov Man zase rekordně vyhoupl o 107 míst zpět mezi méně bezpečné země. Výrazně se mezi nebezpečné země zapsal také Irák, který poskočil o 70 míst až na 42. příčku. Černá Hora se oproti tomu z březnové 36. pozice dostala na bezpečnější 119. místo.

Víceúčelové bankovní trojany, jako je Trickbot, jsou oblíbeným nástrojem kyberzločinců, kteří touží po finančním zisku. Vzestup Trickbot kampaní je spojený s termínem amerického daňového přiznání. Spamová kampaň šíří excelový soubor, které stáhne Trickbot do počítače oběti a šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.

Zatímco tři nejčastější varianty malwaru, používané v dubnu k útokům na podnikové sítě, byly kryptominery, zbylých sedm škodlivých kódů v Top 10 byly víceúčelové trojany. Ukazuje to posun v taktice, kterou zločinci využívají k maximalizaci svých finančních zisků z kampaní po zavření několika populárních služeb těžících kryptoměny a po poklesu hodnot kryptoměn v uplynulém roce.

„V dubnu se do Top 10 dostaly škodlivé kódy Trickbot a Emotet. Špatnou zprávou to je nejenom kvůli tomu, že jsou oba botnety využívány ke krádežím soukromých dat a přihlašovacích údajů, ale také protože šíří ransomware Ryuk. Ryuk se zaměřuje na aktiva, jako jsou databáze a záložní servery, a požaduje výkupné ve výši až přes milion dolarů. Jelikož se tyto škodlivé kódy neustále mění a vyvíjí, je důležité mít robustní ochranu s pokročilou prevencí hrozeb,“ řekl Daniel Šafář, country manager regionu CZR ve společnosti Check Point.

Top 3 - malware:

  1. Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
  1. ↑ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  2. ↑ Jsecoin - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody.

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v dubnu modulární backdoor Triada. Na druhém místě zůstal hackerský nástroj Lotoor a malware Hiddad klesl na třetí příčku.

Top 3 - mobilní malware:

  1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.
  2. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.
  3. Hiddad - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure, která měla celosvětově dopad na 44 % organizací. Poprvé po 12 měsících klesla zranitelnost Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow z první příčky na druhou pozici, dopad měla na 40 % organizací po celém světě. Zranitelnost Apache Struts2 Content-Type Remote Code Execution na třetím místě ovlivnila také 38 % společností.

Top 3 - zranitelnosti:

  1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.
  2. ↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) -Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.
  1. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - V Apache Struts2 používajícím Jakarta multipart parser je zranitelnost umožňující vzdálené spuštění kódu. Útočník může tuto zranitelnost zneužít odesláním neplatného typu obsahu jako součást požadavku na nahrání souboru. Úspěšné zneužití by mohlo vést ke spuštění libovolného kódu na postiženém systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se posunul z březnové páté příčky kryptominer Cryptoloot. Naopak kryptominer JSEcoin klesl z pozice jedničky na třetí míst, přitom v březnu zcela dominoval a měl dopad na téměř 38 % českých společností. Kryptominery sice podobně jako ve světě ovládly přední příčky, ale oproti předchozím měsícům jejich pozice slábne a do žebříčku významně pronikají další hrozby.

Štítky: 
Malware, Bezpečnost, Check Point

Podobné články

HP Wolf Security přináší nové důkazy o útocích prostřednictvím malwaru generovaného AI

4. 11. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Nejnovější zpráva HP Wolf Security upozorňuje na využití umělé inteligence při vytváření malwarových skriptů, na malvertising při šíření podvodných nástrojů pro práci s PDF a na malware v obrazových souborech. Čtěte více

Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti

30. 9. 2024. (redaktor: František Doupal, zdroj: Sophos)
Nejčastějším zdrojem ransomwarových útoků na české společnosti v roce 2023 bylo zneužití zranitelnosti systému zabezpečení. Firmy se na kybernetické útoky připravují, ale stále nedostatečně - pouze 57 % z nich zálohuje data a 42 % zaměstnává specialisty na kybernetickou bezpečnost nebo provozuje interní SOC. Ještě hůře na tom jsou firmy s plány obnovy nebo plány na zachování kontinuity provozu. Čtěte více
Petr Zahálka, obchodní ředitel Thein Security

Byla to jen otázka času: Malware a ransomware jako služba

25. 9. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Modely předplatného, jako jsou Malware-as-a-Service (MaaS) a Ransomware-as-a-Service (RaaS), výrazně snížily vstupní bariéru pro méně zkušené útočníky, což usnadňuje provádění komplexních útoků. Tento vývoj je zásadní změnou v oblasti kybernetických hrozeb. Čtěte více

Ze dnů na hodiny. AI působí jako katalyzátor ransomwarových útoků, rovněž však jako jejich brzda

6. 9. 2024. (redaktor: František Doupal, zdroj: Soitron)
Ransomwarové gangy útočí rychleji než kdy dříve. Doba od rekognoskace oběti, infiltrace zařízení, exfiltraci či zašifrování dat se zkracuje z dnů na pouhé hodiny. Umocňující trend podporuje nový „pomocník“ - umělá inteligence (AI). Její sílu lze však využít i k obraně. Čtěte více