Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým varuje před nárůstem útoků trojanu Emotet, který po měsíční odmlce znovu tvrdě udeřil. Dopad měl na 7 % světových organizací a dokonce na 21 % českých společností. Emotet využíval v prosinci spamové kampaně, které během svátků cílily na více než 100 000 uživatelů denně.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se lehce posunula mezi méně bezpečné země, o 4 místa na 50. příčku. Slovensku patřila v prosinci 78. pozice. Na prvním místě v Indexu hrozeb skončil nově Bhútán. Mezi méně bezpečné země se nejvýrazněji posunul Uzbekistán, který poskočil o 46 příček až na 15. pozici. Opačným směrem se nejvíce posunula Uruguay, které v listopadu patřila 33. pozice a v prosinci 84.

V září a říjnu 2020 byl Emotet na čele Indexu hrozeb a byl spojován s vlnou ransomwarových útoků. V listopadu klesl až na 5. místo, pravděpodobně v důsledku aktualizace a rozšíření o nové škodlivé schopnosti. Emotet se nyní také umí ještě lépe vyhnout odhalení. Spamové kampaně šířící Emotet využívají vložené odkazy, škodlivé dokumenty i heslem chráněné soubory ZIP.

Emotet byl poprvé odhalen v roce 2014 a pravidelně byl aktualizován a vylepšován. Ministerstvo vnitřní bezpečnosti USA odhaduje, že každý incident zahrnující Emotet stojí organizace při nápravě škod až 1 milion dolarů.

Top 3 – malware:

Emotet se po listopadovém překvapivém pádu znovu vrátil do čela žebříčku nejčastěji použitých škodlivých kódů k útokům na podnikové sítě s globálním dopadem na 7 % organizací. Následovaly škodlivé kódy Trickbot a FormBook, které ovlivnily shodně 4 % společností.

1. ↑ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
2. ↑ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze využít jako součást víceúčelových kampaní.
3. ↑ FormBook – FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru

Top 3 – mobilní malware:

Škodlivým kódům, nejčastěji použitým k útokům na podniková mobilní zařízení, vládl nadále Android malware Hiddad. Na druhé příčce zůstal xHelper a na třetí místo se posunul modulární backdoor Triada.

1. ↔ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
2. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
3. ↑ Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů.

Top 3 – zranitelnosti:

Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „MVPower DVR Remote Code Execution“ s dopadem na 42 % organizací. Na druhé místo klesla zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ se shodným dopadem na 42 % společností a Top 3 uzavírá zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopaden na 41 % organizací.

1. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
2. ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. I zde dominoval po listopadovém poklesu Emotet. Zajímavostí je, že na čele českého žebříčku jsou i některé malwarové rodiny, které ve světě nemají tak výrazný dopad. Qbot měl v prosinci dopad na 11,55 % českých organizací, přitom v listopadu to bylo jen 1,54 % %. Dridex je dlouhodobě oblíbeným škodlivým kódem používaným k útokům na české organizace, podobně jako RigEK, který oproti listopadu zaznamenal téměř 3,5násobný růst.