Trojan za trojanem: oto TOP 5 malware'u w Polsce

Przeczytaj także: Polska 14. w rankingu cyberbezpieczeństwa

Jak wynika z danych Check Pointa, w ostatnim miesiącu 2021 roku Emotet wykryty został w przeszło 3 proc. firm na całym świecie, stając się numerem trzy pod względem infekcji, zaraz po Trickbocie (4,3 proc.) oraz Formbooku (3,2 proc). W naszym kraju botnet powrócił na pozycję bezwzględnego lidera infekcji. Wpływając niemal na 9,3 proc. polskich firm, Emotet - po przeszło roku – ponownie stał się programem najczęściej atakującym polskie organizacje i internautów.

Zlikwidowany na początku 2021 roku przez Interpol botnet Emotet, określany jako „najniebezpieczniejsze złośliwe oprogramowanie na świecie”, odradzał się w już kwietniu zeszłego roku dzięki aktywności malware’u Trickbot. Zdaniem specjalistów, już w połowie listopada maszyny zainfekowane Trickbotem zaczęły „zrzucać” próbki Emoteta, zachęcając użytkowników do pobrania chronionych hasłem plików zip, zawierających złośliwe dokumenty, które odbudowują sieć botnetu Emoteta. Ten w międzyczasie unowocześnił swoje możliwości, dodając kilka nowych sztuczek do swojego zestawu narzędzi.

Emotet, który niegdyś funkcjonował jako trojan bankowy, stał się w pełni rozwiniętym botnetem, będąc najbardziej udanym i rozpowszechnionym złośliwym oprogramowaniem roku 2020. Dane z ThreatCloud firmy Check Point Research wskazywały, że w 2020 roku Emotet zaraził aż 19% firm na całym świecie. Botnet zyskał swoją reputację dzięki wysoce zorganizowanemu przestępczemu modelowi biznesowemu - zamiast działać w pojedynkę, hakerzy stojący za Emotetem zdecydowali się współpracować z innymi grupami cyberprzestępczymi, twórcami Trickbota i Ryuk ransomware.

TOP 5 malware'u w grudniu 2021

1. Emotet – 9,25% zaawansowany malware, modułowy trojan, który kiedyś był używany jako trojan bankowy, a obecnie rozpowszechnia inne złośliwe oprogramowanie lub złośliwe kampanie. Emotet wykorzystuje wiele metod i technik unikania, aby zapobiec wykryciu. Może być rozprzestrzeniany za pośrednictwem wiadomości e-mail typu phishing zawierających złośliwe załączniki lub łącza.
2. Trickbot – 4,88% – modułowy trojan botnetowy i bankowy, dostarczany głównie za pośrednictwem kampanii spamowych lub innych rodzin złośliwego oprogramowania. Trickbot wysyła informacje o zainfekowanym systemie, a także może pobierać i uruchamiać dowolne moduły z szerokiej gamy dostępnych modułów: od modułu VNC do zdalnego sterowania po moduł SMB do rozprzestrzeniania się w zaatakowanej sieci. Hakerzy wykorzystują tę szeroką gamę modułów nie tylko do kradzieży danych uwierzytelniających bankowe z docelowego komputera, ale także do ruchu bocznego i rekonesansu w samej zaatakowanej organizacji przed dostarczeniem ukierunkowanego ataku ransomware.
3. Formbook – 3,6% – infoStealer, którego celem jest system operacyjny Windows. Jest sprzedawany jako MaaS na podziemnych forach hakerskich ze względu na silne techniki uników i stosunkowo niską cenę. FormBook zbiera dane uwierzytelniające z różnych przeglądarek internetowych, zbiera zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i uruchamiać pliki zgodnie z poleceniami ze swojego centrum kontroli.
4. Dridex – 1,8% – trojan bankowy atakujący platformę Windows, dostarczany przez kampanie spamowe i zestawy exploitów, który wykorzystuje WebInjects do przechwytywania i przekierowywania danych uwierzytelniających bankowych na serwer kontrolowany przez atakującego. Dridex kontaktuje się ze zdalnym serwerem, wysyła informacje o zainfekowanym systemie, a także może pobierać i uruchamiać dodatkowe moduły do zdalnego sterowania.
5. Agent Tesla – 1,8% – zaawansowany trojan zdalnego dostępu, aktywny od 2014 roku jako keyloggery i złodziej haseł. AgentTesla może monitorować i gromadzić dane wejściowe z klawiatury ofiary i schowka systemowego, a także nagrywać zrzuty ekranu i eksfiltrować dane uwierzytelniające wprowadzone do różnych programów zainstalowanych na komputerze ofiary.