Na Česko se valí stále více kyberútoků

Check Point Research tradičně zveřejnil Celosvětový index dopadu hrozeb. Trojan Emotet stihl napáchat další škody, než byl 27. ledna odstaven v důsledku mezinárodní policejní operace. Během ledna měl dopad na 6 % organizací po celém světě a zůstal nejčastěji použitým škodlivým kódem k útokům na podnikové sítě.

Mezinárodní policejní složky převzaly na konci ledna kontrolu nad infrastrukturou Emotetu a plánují hromadně odinstalovat Emotet z infikovaných zařízení 25. dubna. Přesto byl Emotet i nadále malware s největším dopadem na světové i České organizace. Spamové kampaně šířící Emotet využívaly vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.

Emotet byl poprvé odhalen v roce 2014 a byl pravidelně aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.

„Emotet je jednou z nejničivějších variant malwaru, takže převzetí kontroly nad jeho infrastrukturou je velkým úspěchem,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Bohužel můžeme očekávat, že se nevyhnutelně objeví nové hrozby, které jej nahradí. Organizace proto musí používat robustní bezpečnostní systémy a preventivní řešení, aby hrozby nepronikly k uživatelům. Důležitou součástí komplexní ochrany je i vzdělávání zaměstnanců, aby dokázali identifikovat nebezpečné e-maily a nejrůznější triky kyberzločinců.“

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se dále posouvala mezi méně bezpečné země, o 15 míst až na 35. příčku. Slovensko se také posouvalo nežádoucím směrem, o 8 příček, přesto mu v lednu patřila až 70. pozice.

Na prvním místě v Indexu hrozeb skončil nově Katar, který na druhou pozici odsunul Bhútán. Mezi nejnebezpečnější země nejvýrazněji poskočila Dominikánská republika, o 26 příček až na 10. pozici. Opačným směrem se nejvíce posunul Nepál, kterému v prosinci patřila 13. pozice a v lednu až 59. místo.

Top 3 - malware:

Emotet zůstal i v lednu na čele žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 6 % organizací. Následovaly škodlivé kódy Phorpiex a Trickbot, které ovlivnily shodně 4 % společností.

1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
2. ↑ Phorpiex – Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.
3. ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

Top 3 - mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále malware Hiddad. Na druhé příčce zůstal xHelper a změna v lednu nebyla ani na třetím místě, které obhájil modulární backdoor Triada.

1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↔ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

Top 3 - zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat znovu především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 43 % organizací. Druhé místo znovu obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass (CVE-2018-10561)“ s dopaden na 41 % organizací.

1. ↔ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
2. ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Emotet znovu ukázal, o jak nebezpečný malware jde. V České republice dominoval a měl dopad na čtvrtinu všech společností. Lze očekávat, že po jeho odstavení využijí pád „krále“ ostatní škodlivé kódy a jeho místo zaplní. Český žebříček byl tentokrát plný tradičních malwarů bez nových hrozeb a větších překvapení. Dopad Dridexu ve světě sice lehce klesl, ale v České republice ho růst posunul ze 3. místa na 2. Qbot zažíval pokles ve světě i v ČR, přesto se udržel v Top 3.