Globální index dopadu hrozeb, který uveřejnil Check Point, ukázal na rychlý vzestup malwaru Androxgh0st, který je nově propojen s botnetem Mozi a zaměřuje se i na IoT zařízení a na kritickou infrastrukturu.
Měli jste chuť někdy využít možnosti, které poskytuje malware jako služba?
Kritická infrastruktura, zahrnující energetické sítě, dopravní systémy nebo třeba zdravotnické sítě, je častým terčem kyberútoků, protože narušení bezpečnosti těchto systémů může vést k chaosu, obrovským finančním škodám nebo ohrozit lidské životy.
V případě úspěšného útoku mohou kyberzločinci žádat vysoké výkupné nebo získat velmi cenná data.
Výzkumníci zjistili, že Androxgh0st zneužívá zranitelnosti napříč platformami, včetně zařízení internetu věcí a webových serverů, klíčových součástí kritické infrastruktury.
Androxgh0st převzal taktiku botnetu Mozi a používá vzdálené spouštění kódu a krádeže přihlašovacích údajů, aby v napadeném systému zůstal dlouhodobě bez odhalení, což mu umožňuje provádět řadu škodlivých aktivit, jako jsou DDoS útoky a krádeže dat. Botnet proniká do kritických infrastruktur prostřednictvím neopravených zranitelností.
Integrace schopností Mozi a Androxgh0st významně rozšířila dosah, což umožňuje infikovat více IoT zařízení a ovládat širší škálu cílů. Tyto útoky pak vytvářejí kaskádové efekty napříč odvětvími a zvyšují riziko pro vlády, podniky a jednotlivce závislé na těchto infrastrukturách.
Dalšími klíčovými škodlivými kódy jsou pak FakeUpdates a Agent Tesla. FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. Šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
AgentTesla zase krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Nejrozšířenějším mobilním malwarem pak zůstává Joker, který krade SMS zprávy, kontakty a informace o zařízeních a současně oběti bez jejich souhlasu přihlašuje k prémiovým službám.
Mobilní bankovní trojan Anubis na druhém místě získal nové velmi nebezpečné funkce, včetně vzdáleného přístupu, sledování stisknutých kláves a vyděračských útoků.
Video ke kávě
Máte čas na rychlé a informativní video?
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu posunula o 2 příčky mezi méně bezpečné země, nově jí patří 43. pozice. Naopak Slovensko se nadále drží na bezpečnějším 81. místě. První, tedy nejnebezpečnější, pozici obsadila Etiopie.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.
Situace v Česku
Co se týče samotné České republiky, Androxgh0st potvrzuje svou sílu a i pro české organizace se jedná o největší hrozbu.
Naopak trojan BManager je celosvětově méně výrazný, ale v Česku jsou jeho útoky velmi rozšířené a organizace by se měly mít na pozoru, protože hrozí krádeže dat a přihlašovacích údajů, tvrdí Check Point.
Zlodějské malwary jsou celkově velmi rozšířenou hrozbou a potvrzují to i Torpig a Makoob, které se poprvé dostaly do Top 10 malwarových rodin. Naopak nebezpečný downloader FakeUpdates, v globálním žebříčku druhý nejrozšířenější malware, v Česku oslabil.
|
Top malwarové rodiny v České republice – listopad 2024 |
|||
|
Malwarová rodina |
Popis |
Dopad v ČR |
Dopad ve světě |
|
Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty zaměřené na vyhledávání a krádež různých informací. |
7,25 % |
5,18 % |
|
|
BMANAGER |
BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat. |
5,53 % |
0,80 % |
|
FormBook |
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. |
4,58 % |
2,98 % |
|
Remcos |
Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. |
2,67 % |
2,41 % |
|
CrimsonRAT |
CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity. |
2,48 % |
0,45 % |
|
Torpig |
Trojan, který krade informace a sbírá citlivá data a bankovní přihlašovací údaje z infikovaného systému a odesílá je na vzdálený server. Počítače infikované Torpigem také vytvářejí masivní botnet. |
2,29 % |
0,62 % |
|
TechJourney |
TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru. |
2,29 % |
0,16 % |
|
FakeUpdates |
FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. |
1,72 % |
5,12 % |
|
AgentTesla |
AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. |
1,53 % |
3,10 % |
|
Makoob |
Makoob je trojan, který umožňuje získat kontrolu nad infikovanými systémy a krást data nebo instalovat další škodlivé komponenty. |
1,53 % |
0,60 % |
Zdroj: Check Point, leden 2025
Ransomwarové skupiny
Experti analyzovali také ransomwarové „stránky hanby“, které provozují skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné.
Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v listopadu RansomHub, který byl zodpovědný za 16 % zveřejněných útoků. Skupina Akira měla na svědomí 6 % zveřejněných ransomwarových útoků, stejně jako KillSec3 na třetím místě.
RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight.
Objevil se začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
Další velice aktivní skupinou je Akira, poprvé detekovaná na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Malware je podobný uniklému ransomwaru Conti v2.
Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
A konečně KillSec3 je rusky mluvící hackerská skupina, která vznikla v říjnu 2023. Skupina provozuje ransomware jako službu a nabízí také řadu dalších útočných kybernetických služeb, včetně DDoS útoků.
Z přehledu obětí vyplývá velmi vysoký počet cílů v Indii a neobvykle nízký podíl amerických obětí ve srovnání s podobnými skupinami. Mezi hlavní cíle patří zdravotnictví a státní správa.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU