Trojan BMANAGER je celosvětově méně výrazný, ale v Česku jsou jeho útoky velmi rozšířené a organizace by se měly mít na pozoru.
Výzkumný tým společnosti Check Point Software Technologies zveřejnil Celosvětový index dopadu hrozeb. Zpráva upozorňuje na rychlý vzestup malwaru Androxgh0st, který je nově propojen s botnetem Mozi a zaměřuje se i na IoT zařízení a na kritickou infrastrukturu.
Kritická infrastruktura, zahrnující energetické sítě, dopravní systémy nebo třeba zdravotnické sítě, je častým terčem kyberútoků, protože narušení bezpečnosti těchto systémů může vést k chaosu, obrovským finančním škodám nebo ohrozit lidské životy. V případě úspěšného útoku mohou kyberzločinci žádat vysoké výkupné nebo získat velmi cenná data.
Výzkumníci zjistili, že Androxgh0st zneužívá zranitelnosti napříč platformami, včetně zařízení internetu věcí a webových serverů, klíčových součástí kritické infrastruktury. Androxgh0st převzal taktiku botnetu Mozi a používá vzdálené spouštění kódu a krádeže přihlašovacích údajů, aby v napadeném systému zůstal dlouhodobě bez odhalení, což mu umožňuje provádět řadu škodlivých aktivit, jako jsou DDoS útoky a krádeže dat. Botnet proniká do kritických infrastruktur prostřednictvím neopravených zranitelností. Integrace schopností Mozi a Androxgh0st významně rozšířila dosah, což umožňuje infikovat více IoT zařízení a ovládat širší škálu cílů. Tyto útoky pak vytvářejí kaskádové efekty napříč odvětvími a zvyšují riziko pro vlády, podniky a jednotlivce závislé na těchto infrastrukturách.
Nejrozšířenějším mobilním malwarem zůstává Joker, který krade SMS zprávy, kontakty a informace o zařízeních a současně oběti bez jejich souhlasu přihlašuje k prémiovým službám. Mobilní bankovní trojan Anubis na druhém místě získal nové velmi nebezpečné funkce, včetně vzdáleného přístupu, sledování stisknutých kláves a vyděračských útoků.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu posunula o 2 příčky mezi méně bezpečné země, nově jí patří 43. pozice. Naopak Slovensko se nadále drží na bezpečnějším 81. místě.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.
Top 3 – malware
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v listopadu znovu Androxgh0st, který měl dopad na 5 % společností po celém světě. Na druhém místě je nebezpečný downloader FakeUpdates a na třetím zlodějský a špionážní malware AgentTesla.
1. ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty zaměřené na vyhledávání a krádež různých informací.
2. ↓ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
3. ↔ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 – mobilní malware
Bankovní trojan Joker byl v listopadu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a Necro.
1. Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
2. ↑ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
3. ↓ Necro – Necro je trojan dropper pro Android, který dokáže stahovat další malware, zobrazovat nevyžádanou reklamu a krást peníze přihlašováním k placeným službám.
Top 3 – ransomwarové skupiny
Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v listopadu RansomHub, který byl zodpovědný za 16 % zveřejněných útoků. Skupina Akira měla na svědomí 6 % zveřejněných ransomwarových útoků, stejně jako KillSec3 na třetím místě.
1. RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
2. Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
3. KillSec3 – KillSec je rusky mluvící hackerská skupina, která vznikla v říjnu 2023. Skupina provozuje ransomware jako službu a nabízí také řadu dalších útočných kybernetických služeb, včetně DDoS útoků. Z přehledu obětí vyplývá velmi vysoký počet cílů v Indii a neobvykle nízký podíl amerických obětí ve srovnání s podobnými skupinami. Mezi hlavní cíle patří zdravotnictví a státní správa.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Androxgh0st potvrzuje svou sílu a i pro české organizace se jedná o největší hrozbu. Naopak trojan BMANAGER je celosvětově méně výrazný, ale v Česku jsou jeho útoky velmi rozšířené a organizace by se měly mít na pozoru, protože hrozí krádeže dat a přihlašovacích údajů. Zlodějské malwary jsou celkově velmi rozšířenou hrozbou a potvrzují to i Torpig a Makoob, které se poprvé dostaly do Top 10 malwarových rodin. Naopak nebezpečný downloader FakeUpdates, v globálním žebříčku druhý nejrozšířenější malware, v Česku oslabil,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.