Androxgh0st s Mozi útočí i na IoT a kritickou infrastrukturu

Kritická infrastruktura, zahrnující energetické sítě, dopravní systémy nebo třeba zdravotnické sítě, je častým terčem kyberútoků, protože narušení bezpečnosti těchto systémů může vést k chaosu, obrovským finančním škodám nebo ohrozit lidské životy. V případě úspěšného útoku mohou kyberzločinci žádat vysoké výkupné nebo získat velmi cenná data.

Výzkumníci zjistili, že Androxgh0st zneužívá zranitelnosti napříč platformami, včetně zařízení internetu věcí a webových serverů, klíčových součástí kritické infrastruktury. Androxgh0st převzal taktiku botnetu Mozi a používá vzdálené spouštění kódu a krádeže přihlašovacích údajů, aby v napadeném systému zůstal dlouhodobě bez odhalení, což mu umožňuje provádět řadu škodlivých aktivit, jako jsou DDoS útoky a krádeže dat. Botnet proniká do kritických infrastruktur prostřednictvím neopravených zranitelností. Integrace schopností Mozi a Androxgh0st významně rozšířila dosah, což umožňuje infikovat více IoT zařízení a ovládat širší škálu cílů. Tyto útoky pak vytvářejí kaskádové efekty napříč odvětvími a zvyšují riziko pro vlády, podniky a jednotlivce závislé na těchto infrastrukturách.

Nejrozšířenějším mobilním malwarem zůstává Joker, který krade SMS zprávy, kontakty a informace o zařízeních a současně oběti bez jejich souhlasu přihlašuje k prémiovým službám. Mobilní bankovní trojan Anubis na druhém místě získal nové velmi nebezpečné funkce, včetně vzdáleného přístupu, sledování stisknutých kláves a vyděračských útoků.

„Vzestup malwaru Androxgh0st a jeho propojení s botnetem Mozi ukazuje, že kyberzločinci neustále vyvíjejí své taktiky. Organizace se proto musí rychle přizpůsobit a používat komplexní bezpečnostní opatření, která dokáží tyto pokročilé hrozby identifikovat a neutralizovat dříve, než stihnou způsobit nějaké škody,“ upozorňuje Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu posunula o 2 příčky mezi méně bezpečné země, nově jí patří 43. pozice. Naopak Slovensko se nadále drží na bezpečnějším 81. místě. První, tedy nejnebezpečnější, pozici obsadila Etiopie.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují komunikační společnosti a vládní a vojenské subjekty.

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v listopadu znovu Androxgh0st, který měl dopad na 5 % společností po celém světě. Na druhém místě je nebezpečný downloader FakeUpdates a na třetím zlodějský a špionážní malware AgentTesla.

1. ↑ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty zaměřené na vyhledávání a krádež různých informací.
2. ↓ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
3. ↔ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Bankovní trojan Joker byl v listopadu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a Necro.

1. ↔ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
2. ↑ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
3. ↓ Necro – Necro je trojan dropper pro Android, který dokáže stahovat další malware, zobrazovat nevyžádanou reklamu a krást peníze přihlašováním k placeným službám.

Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.

Nejrozšířenější ransomwarovou skupinou byl v listopadu RansomHub, který byl zodpovědný za 16 % zveřejněných útoků. Skupina Akira měla na svědomí 6 % zveřejněných ransomwarových útoků, stejně jako KillSec3 na třetím místě.

1. RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
2. Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
3. KillSec3 – KillSec je rusky mluvící hackerská skupina, která vznikla v říjnu 2023. Skupina provozuje ransomware jako službu a nabízí také řadu dalších útočných kybernetických služeb, včetně DDoS útoků. Z přehledu obětí vyplývá velmi vysoký počet cílů v Indii a neobvykle nízký podíl amerických obětí ve srovnání s podobnými skupinami. Mezi hlavní cíle patří zdravotnictví a státní správa.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Androxgh0st potvrzuje svou sílu a i pro české organizace se jedná o největší hrozbu. Naopak trojan BMANAGER je celosvětově méně výrazný, ale v Česku jsou jeho útoky velmi rozšířené a organizace by se měly mít na pozoru, protože hrozí krádeže dat a přihlašovacích údajů. Zlodějské malwary jsou celkově velmi rozšířenou hrozbou a potvrzují to i Torpig a Makoob, které se poprvé dostaly do Top 10 malwarových rodin. Naopak nebezpečný downloader FakeUpdates, v globálním žebříčku druhý nejrozšířenější malware, v Česku oslabil,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.