Globálny index hrozieb spoločnosti Check Point Research uvádza, že zatiaľ najrozšírenejším malvérom (škodlivý softvér) prvej polovice roku 2023 je viacúčelový trójsky kôň Qbot. V júni sa zas po prvýkrát prepracoval na prvé miesto v zozname malvéru mobilný trójsky kôň SpinOk, pričom tento ransomvér (vydieračský softvér) si získal pozornosť hlavne po tom, ako v softvéri na zdieľanie súborov MOVEit odhalili chybu.

Qbot, ktorý sa pôvodne objavil v roku 2008 ako bankový trójsky kôň, prešiel vývojom a postupne získal ďalšie funkcie pre účely krádeže hesiel, e-mailov a údajov o kreditných kartách. Bežne sa šíri prostredníctvom nevyžiadaných e-mailov a využíva rôzne techniky, ako napríklad metódu anti-VM, anti-debugging a anti-sandbox, aby nebol detekovateľný. V súčasnosti primárne funguje ako spúšťač pre iný malvér a preniká do organizácií, ktoré sú predmetom záujmu, pričom slúži ako prostredník pre skupiny prevádzkovateľov ransomvéru.

Medzitým výskumníci objavili výkonný mobilný malvér, ktorý doteraz zaznamenal 421 miliónov stiahnutí. Minulý mesiac sa SDK na vývoj trójskeho softvéru (Software Development Kit) SpinOk po prvýkrát dostala na vrchol v rámci mobilného malvéru. Tento škodlivý softvér, ktorý používa množstvo populárnych aplikácií na marketingové účely, infiltroval obľúbené aplikácie a hry, z ktorých niektoré boli dostupné aj v obchode Google Play. Malvér SpinOk, ktorý je schopný kradnúť citlivé informácie zo zariadení a monitorovať aktivitu na obrazovke, predstavuje vážnu hrozbu pre súkromie a bezpečnosť používateľov. Dokazuje naliehavú potrebu proaktívnych opatrení na ochranu osobných údajov a mobilných zariadení a upozorňuje na ničivý potenciál kybernetických útokov.

Minulý mesiac sa tiež spustila rozsiahla ransomvérová kampaň, ktorá ovplyvnila organizácie na celom svete. V máji 2023 Progress Software Corporation odhalila zraniteľnosť v MOVEit Transfer a MOVEit Cloud (CVE-2023-34362), ktorá umožňuje neoprávnený prístup do prostredia. Napriek tomu, že chyba bola opravená do 48 hodín, počítačoví zločinci v spolupráci s ruskou ransomvérovou skupinou Clop zneužili túto zraniteľnosť a spustili reťazový útok na používateľov MOVEit. K dnešnému dňu tento incident zasiahol 108 organizácií, vrátane siedmich amerických univerzít, a  odcudzili v rámci neho státisíce záznamov.

Útok na softvér MOVEit ukazuje, že rok 2023 je významným míľnikom pre ransomvér. Cieľom prominentných skupín ako Clop nie je infikovať jeden cieľ, zefektívňujú svoje operácie prostredníctvom softvérov, ktoré sa masívne pre svoju prácu využívajú profesionálne spoločnosti. To znamená, že jediným útokom vedia zasiahnuť stovky obetí. Je preto dôležité, aby spoločnosti implementovali viacvrstvovú stratégiu kybernetickej bezpečnosti a stanovili si opravy zraniteľností ako svoju prioritu.

Check Point Research tiež zistila, že najvyužívanejšou zraniteľnosťou minulého mesiaca, ktorá ovplyvnila 51 % organizácií na celom svete, bola „Web Servers Malicious URL Directory Traversal“. Po nej nasledovalo „Apache Log4j Remote Code Execution“ (Vzdialené spustenie kódu Apache Log4j) s globálnym dopadom na 46 % organizácií. „HTTP Headers Remote Code Execution“ (Vzdialené spustenie kódu hlavičky HTTP) bola treťou najpoužívanejšou zraniteľnosťou s globálnym dopadom 44 %.

 

Najrozšírenejšie malvérové rodiny

*Šípky znamenajú zmenu poradia v porovnaní s predchádzajúcim mesiacom.

 

Qbot bol minulý mesiac najrozšírenejším malvérom s celosvetovým dopadom na 7 % organizácií, za ním nasledoval Formbook s globálnym dosahom 4 % a Emotet s globálnym dosahom 3 %.

↔ Qbot – Qbot tiež známy ako Qakbot je viacúčelový malvér, ktorý sa prvýkrát objavil v roku 2008. Bol navrhnutý na odcudzenie prihlasovacích údajov používateľa, zaznamenávanie stlačenia klávesov, kradnutie súborov cookies z prehliadačov, monitorovanie bankových aktivít a spúšťanie ďalšieho škodlivého softvéru. Qbot, ktorý sa často distribuuje prostredníctvom nevyžiadaných e-mailov, využíva niekoľko techník ako anti-VM, anti-debugging a anti-sandbox, aby zabránil svojej detekcii.

↔ Formbook – Formbook je infostealer (malvér získavajúci citlivé a dôležité informácie) zameraný na OS Windows a bol prvýkrát odhalený v roku 2016. Na utajených hackerských fórach sa predáva pod názvom Malware as a Service (malvér ako služba) pre svoje silné únikové techniky a relatívne nízku cenu. FormBook zbiera prihlasovacie údaje z rôznych webových prehliadačov, zhromažďuje snímky obrazoviek, monitoruje a zaznamenáva stlačenie klávesov a môže sťahovať a spúšťať súbory podľa príkazov zo svojho Command-and-Control servera (kontrolný server útočníka).

↑ Emotet – Emotet je pokročilý, samostatne sa šíriaci a modulárny trójsky kôň. Emotet sa kedysi používal ako bankový trójsky kôň a nedávno sa stal distribútorom iného malvéru alebo škodlivých kampaní. Používa viacero metód na udržanie perzistencie a rôzne techniky úniku, aby zabránil svojej detekcii. Okrem toho sa môže šíriť prostredníctvom phishingových spamových e-mailov obsahujúcich škodlivé prílohy alebo odkazy.

↔ GuLoader – Guloader je downloader (menší neškodný program slúžiaci na stiahnutie a spustenie malvéru), ktorý sa vo veľkom šíri od decembra 2019. Keď sa objavil prvýkrát, využíval na sťahovanie Parallax RAT, ale bol aplikovaný aj na iné trójske kone a infostealery, ako sú Netwire, FormBook a Agent Tesla.

↑ XMRig – XMRig je softvér na ťažbu pomocou CPU (centrálna procesorová jednotka) s otvoreným zdrojom, ktorý sa používa na získavanie kryptomeny Monero. Aktéri hrozieb často zneužívajú tento softvér s otvoreným zdrojovým kódom tak, že ho integrujú do svojho malvéru na vykonávanie nelegálnej ťažby na zariadeniach obetí.

↓ AgentTesla – AgentTesla je pokročilý RAT (Remote Access Trojan, t.j. trójsky kôň pre vzdialený prístup) fungujúci ako keylogger (program na zaznamenávanie informácií o stlačených klávesoch) a infostealer, ktorý je schopný monitorovať a zhromažďovať vstupy obete z klávesnice, systémovej klávesnice, vytvárať snímky obrazovky a získavať prihlasovacie údaje do rôznych softvérov nainštalovaných na počítači obete (vrátane Google Chrome, Mozilla Firefox a e-mailový klient Microsoft Outlook).

↑ Remcos – Remcos je RAT, ktorý sa prvýkrát objavil v roku 2016. Remcos sa distribuuje prostredníctvom škodlivých dokumentov balíka Microsoft Office, ktoré sú pripojené k spamovým e-mailom. Je navrhnutý tak, aby obchádzal bezpečnostný systém UAC Microsoft Windows (systém riadenia užívateľských účtov) a spúšťal malvér s oprávneniami na vysokej úrovni.

↑ Nanocore – NanoCore je trójsky kôň so vzdialeným prístupom, ktorý sa zameriava na používateľov operačného systému Windows a bol prvýkrát spozorovaný v roku 2013. Všetky verzie RAT obsahujú funkcie, ako je snímanie obrazovky, ťažba kryptomien, vzdialené ovládanie pracovnej plochy a krádež relácie webovej kamery.

↓ Lokibot – LokiBot, ktorý bol prvýkrát identifikovaný vo februári 2016, je komoditný infostealer s verziami pre OS Windows aj Android. Zhromažďuje prihlasovacie údaje z rôznych aplikácií, webových prehliadačov, e-mailových klientov, nástrojov na správu IT, ako je PuTTY a ďalších. LokiBot sa predáva na hackerských fórach a predpokladá sa, že jeho zdrojový kód unikol, čo umožnilo vznik mnohých jeho variantov. Od konca roku 2017 niektoré verzie systému LokiBot pre Android obsahujú nielen funkciu infostealera, ale aj ransomvéru.

↓ NJRat – NJRat je trójsky kôň so vzdialeným prístupom, ktorý sa zameriava najmä na vládne agentúry a organizácie na Blízkom východe. Trójsky kôň sa prvýkrát objavil v roku 2012 a má viacero vlastností. Zaznamenáva stlačenie klávesov, má prístup ku kamere obete, kradne doménové poverenia uložené v prehliadačoch, nahráva a sťahuje súbory, vykonáva manipulácie s procesmi a súbormi a prezerá si pracovnú plochu obete. NJRat infikuje obete prostredníctvom phishingových útokov (neoprávnené získavanie údajov) a útokov cez drive-by download (škodlivý kód, ktorý sa do zariadenia obete stiahne, keď si v prehliadači pozerá internetové stránky). Šíri sa prostredníctvom infikovaných USB kľúčov alebo sieťových diskov s podporou serverového softvéru Command & Control.

 

Najviac napadnuté odvetvia na celom svete

Vzdelávanie a výskum ostáva na prvom mieste ako celosvetovo najviac atakované odvetvie, za ním nasleduje vláda a armáda a zdravotníctvo.

 

Najčastejšie využívaná zraniteľnosť

Minulý mesiac bola najvyužívanejšou zraniteľnosťou „Web Servers Malicious URL Directory Traversal“, ktorá ovplyvnila 51 % organizácií na celom svete, po nej nasledovalo „Vzdialené spustenie kódu Apache Log4j“ so 46 % organizácií na celom svete. „Vzdialené spustenie kódu hlavičky HTTP” bolo treťou najpoužívanejšou zraniteľnosťou s globálnym dopadom 44 %.

 

↔ Web Servers Malicious URL Directory Traversal – Na rôznych webových serveroch existuje zraniteľnosť týkajúca pri prechodu cez adresár. Zraniteľnosť je spôsobená chybou overenia vstupu na webovom serveri, ktorý správne nedezinfikuje URI pri prechode adresárom. Jeho využitie umožňuje vzdialeným útočníkom odhaliť alebo získať prístup k ľubovoľným súborom na zraniteľnom serveri.

↔ Vzdialené spustenie kódu Apache Log4j (CVE-2021-44228) – V Apache Log4j existuje zraniteľnosť vzdialeného spustenia kódu. Úspešné využitie tejto zraniteľnosti by mohlo umožniť vzdialenému útočníkovi spustiť ľubovoľný kód v zasiahnutom systéme.

↔ Vzdialené spustenie kódu hlavičky HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – hlavička odpovede HTTP umožňuje klientovi a serveru odovzdať dodatočné informácie ako reakciu na HTTP požiadavku. Vzdialený útočník môže použiť zraniteľnú hlavičku HTTP na spustenie ľubovoľného kódu na počítači obete.

↑ Obídenie autentifikácie smerovača Dasan GPON (CVE-2018-10561) – V smerovačoch Dasan GPON existuje zraniteľnosť pri obídení autentifikácie. Využitie tejto zraniteľnosti by umožnilo vzdialeným útočníkom získať citlivé informácie a neoprávnený prístup do napadnutého systému.

↓ Vzdialené spustenie kódu MVPower CCTV DVR (CVE-2016-20016) – V MVPower CCTV DVR existuje zraniteľnosť vzdialeného spustenia kódu. Jej využitie by mohlo umožniť vzdialenému útočníkovi spustiť ľubovoľný kód na napadnutom systéme.

↑ Vzdialené spustenie kódu F5 BIG-IP (CVE-2021-22986) – V zariadeniach F5 BIG-IP existuje chyba zraniteľnosť vzdialeného spustenia kódu. Jej využitie by mohlo umožniť vzdialenému útočníkovi spustiť ľubovoľný kód na napadnutom systéme.

↑ Odhalenie informácií PHP Easter Egg (CVE-2015-2051) – Na stránkach PHP bola hlásená zraniteľnosť v oblasti sprístupnenia informácií. Zraniteľnosť je spôsobená nesprávnou konfiguráciou webového servera. Vzdialený útočník môže zneužiť túto zraniteľnosť odoslaním špeciálne vytvorenej adresy URL na napadnutú stránku PHP.

↔ Vloženie príkazu cez HTTP (CVE-2021-43936, CVE-2022-24086) – Bola hlásená zraniteľnosť vloženia príkazu cez HTTP. Vzdialený útočník môže tento problém zneužiť tak, že odošle špeciálne upravenú žiadosť obeti. Zneužitie by umožnilo útočníkovi spustiť ľubovoľný kód na cieľovom počítači.

↑ Obídenie autentifikácie WordPress portable-phpMyAdmin Plugin (CVE-2012-5469) – V doplnku WordPress portable-phpMyAdmin Plugin existuje zraniteľnosť v súvislosti s obchádzaním autentifikácie. Úspešné využitie tejto zraniteľnosti by umožnilo vzdialeným útočníkom získať citlivé informácie a neoprávnený prístup do napadnutého systému.

↓ Odhalenie informácií OpenSSL TLS DTLS Heartbeat (CVE-2014-0160, CVE-2014-0346) – Táto zraniteľnosť, známa ako Heartbleed, je spôsobená chybou pri spracovávaní paketov TLS/DTLS heartbeat. Útočník ju môže na odhalenie obsahu pamäte pripojeného klienta alebo servera.

 

Top malvér pre mobilné zariadenia

Minulý mesiac SpinOk poskočil na prvé miesto a stal sa najrozšírenejším mobilným malvérom. Nasledovali Anubis a AhMyth.

 

SpinOk – SpinOk je softvérový modul pre Android, ktorý funguje ako spyware (špionážny softvér). Zhromažďuje informácie o súboroch uložených v zariadeniach a dokáže ich doručiť útočníkovi. Škodlivý modul bol nájdený vo viac ako 100 aplikáciách pre Android a do 23. mája bol stiahnutý viac ako 421 000 000-krát.

Anubis – Anubis je bankový trójsky malvér určený pre mobilné telefóny so systémom Android. Od počiatočnej detekcie získal ďalšie funkcie vrátane funkcie trójskeho kôňa so vzdialeným prístupom (RAT), keylogger, možnosti nahrávania zvuku a rôzne funkcie ransomvéru. Bol zistený v stovkách rôznych aplikácií dostupných v obchode Google Store.

AhMyth – AhMyth je trójsky kôň so vzdialeným prístupom objavený v roku 2017. Je distribuovaný prostredníctvom aplikácií pre Android, ktoré možno nájsť v obchodoch s aplikáciami a na rôznych webových stránkach. Keď si používateľ nainštaluje jednu z týchto infikovaných aplikácií, malvér môže zo zariadenia získavať citlivé informácie a vykonávať akcie, ako je zaznamenávanie klávesov, vytváranie snímok obrazovky, odosielanie SMS správ a aktivácia kamery, ktorá sa zvyčajne používa na odcudzenie citlivých informácií.

 

Globálny index hrozieb spoločnosti Check Point a jej mapa ThreatCloud využívajú  Check Point ThreatCloud. ThreatCloud poskytuje informácie o hrozbách v reálnom čase využívajúc stovky miliónov senzorov po celom svete, siete, koncové body a mobilné zariadenia. Inteligencia je obohatená o enginy (softvéry generujúce zdrojový kód) založené na AI (artificial inteligence, t.j. umelej inteligencii) a o exkluzívne výskumné údaje od Check Point Research, spravodajskej a výskumnej časti spoločnosti Check Point Software Technologies.