Jak se vyvíjejí kybernetické hrozby?

2. 12. 2021. (redaktor: František Doupal, zdroj: Eset)
Nejnovější studie Esetu upozorňuje na několik znepokojivých trendů v současném prostředí informačních technologií. Report se kromě celkového shrnutí věnuje i konkrétním tématům, jako jsou stále agresivnější taktiky útočníků v souvislosti s ransomware útoky, sílící útočné kampaně tzv. brute force metodou nebo podvodné phishingové kampaně zaměřené na lidi pracující z domova.

Podle hlavních zjištění zprávy Threat Report zůstal celkový počet detekovaných hrozeb prakticky stejný jako v prvním čtvrtletí roku 2021 (zvýšení činí 0,2 %). Jedním z největších témat loňského roku byly kybernetické hrozby zaměřené na majitele kryptoměn. U detekcí těchto škodlivých kódů bylo možné pozorovat astronomický růst hodnot v první polovině roku 2021, aktuálně se ale snížily v důsledku otřesů na trhu. Celkově klesají také webové hrozby, zvýšil se ale počet phishingových URL adres, které distribuují malware.

Hrozby pro systém Android začaly v období od května do srpna 2021 opět stoupat, přičemž nejvýraznější nárůst zaznamenaly detekce bankovního malwaru, adwaru a spywaru. Všechny typy hrozeb se pravidelně objevují i v českém prostředí.

„Hrozby pro operační systém Android v tuto chvíli kontinuálně rostou. Ve sledovaném období od května do srpna 2021 byly v českém prostředí aktivní především bankovní malware Cerberus a obecně stalkerware,“ uvedl Robert Šuman, vedoucí pražského viruslabu české pobočky společnosti ESET. „V Česku figurovala především stalkerware aplikace Cerberus, která shodou okolností nese stejný název, jako zmíněný bankovní malware. Aplikace umožňuje pomocí SMS příkazů ovládat telefon oběti. Například je takto možné zapnout data, přesměrovat telefonát nebo číst zprávy. Právě kvůli těmto funkcím není možné stáhnout aplikaci oficiálně přes Google Play, i když vývojáři aplikaci nabízejí jako nástroj pro nalezení telefonu na dálku,“ vysvětlil Šuman.

Po období stagnace se zvýšil počet detekcí e-mailových hrozeb, přičemž hnací silou růstu byly phishingové a podvodné e-maily, za nimiž stála rodina DOC/Fraud. Ve druhém sledovaném období roku 2021 se tyto detekce týkaly především podvodných e-mailů typu sextortion, v nichž se podvodníci snaží příjemce vydírat a přimět je k zaplacení tvrzením, že mají k dispozici videa, jak sledují obsah pro dospělé. Téměř polovina případů v souvislosti s DOC/Fraud byla zjištěna v Japonsku, následovalo Španělsko a Česká republika.

Ransomware má na kontě dosud nejvyšší požadavek na výkupné

V případě ransomwaru byly zaznamenány dosud největší požadavky na výkupné. Útok, který zastavil provoz Colonial Pipeline, největší ropovodní společnosti v USA, a útok typu „dodavatelský řetězec” využívající zranitelnost v softwaru pro správu IT Kaseya VSA, měly dosah za hranice kybernetické bezpečnosti. Oba případy sledovaly spíše finanční zisk než kybernetickou špionáž. Pachatelé útoku na společnost Kaseya stanovili ultimátum ve výši 70 milionů USD. Šlo o dosud nejvyšší známý požadavek na výkupné.

„Útočící ransomwarové gangy šly tentokrát dál, než je obvyklé. Zapojení orgánů činných v trestním řízení do těchto vysoce závažných incidentů donutilo některé útočné skupiny utlumit svou činnost. Výjimkou je ale například malware TrickBot, který zjevně odolal loňským snahám o své odstranění. Zdvojnásobil počet našich detekcí a pochlubil se novými funkcemi. Definitivní zneškodnění botnetu Emotet na konci dubna 2021 mělo vliv na pokles detekcí downloaderů o polovinu oproti prvnímu čtvrtletí. Můžeme tak pozorovat celkově nové uspořádání prostředí kybernetických hrozeb,” dodal Šuman.

Ve sledovaném období od května do srpna 2021 zaznamenali bezpečnostní analytici také nárůst útoků na služby vzdáleného přístupu. Konkrétně šlo o RDS (Remote Desktop Services) a snahu útočníků prolomit přístupová hesla k těmto službám za pomoci hrubé výpočetní síly, tzv. brute force metody. Kompromitované služby pro vzdálený přístup slouží velice často jako vstupní brána pro další napadení infrastruktury pomocí ransomware. Od května do srpna 2021 ESET detekoval 55 miliard nových brute-force útoků proti protokolu RDP služby Remote Desktop Services. Nárůst těchto útoků byl ve srovnání s minulým obdobím vyšší o 104 %.

Telemetrie Esetu zaznamenala také impozantní nárůst průměrného počtu denních útoků brute force metodou na jednoho unikátního klienta, který se zdvojnásobil z 1 392 pokusů na jeden počítač za den v prvním sledovaném období roku 2021 na 2 756 ve druhém sledovaném období.

Mezi hrozbami se objevují specializované skupiny a cílený malware

Zpráva Threat Report T2 2021 se věnuje také aktivitám APT skupin. APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Zpráva nabízí mimo jiné speciální výzkum, který zahrnuje informace o vysoce cíleném spywaru DevilsTongue. Ten je využíván ke špehování obránců lidských práv, disidentů, novinářů, aktivistů nebo politiků. Dále se zpráva věnuje nové spear phishingové kampani skupiny Dukes APT. Ta zůstává hlavní hrozbou pro západní diplomaty, nevládní organizace a think-tanky. Zpráva také popisuje nové nástroje, které používá vysoce aktivní skupina Gamaredon zaměřená na vládní organizace na Ukrajině.

Report dále shrnuje výzkum malwaru, který se zaměřuje na servery IIS. Tento malware odposlouchává a manipuluje s komunikací infikovaného serveru. Cílí na vládní e-mailové schránky nebo transakce kreditními kartami v internetových obchodech. Obsahuje také funkce pro další distribuci škodlivého kódu.

„IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody. Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé z nich. „Útočníci v tomto případě zneužili ve svůj prospěch modulární architekturu IIS, která je navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům. Z užitečné vlastnosti se tak stal nástroj pro jedince či skupiny, které se orientují na kyberkriminalitu a kybernetickou špionáž,“ podotkl Šuman.

Operační systém Android čelí bankovním hrozbám

Na rozdíl od roku 2020 a prvních čtyř měsíců roku 2021 začal celkový počet hrozeb pro systém Android ve druhém čtvrtletí opět stoupat, a to o 32,6 %. Bankovní malware, který v prvním čtvrtletí roku 2021 vzrostl o neuvěřitelných 158,7 %, zaznamenal další nárůst o 49 %.

Mezi deseti nejčastějšími hrozbami pro Android byl bankovní malware nejvíce zastoupený trojským koněm Android/TrojanDropper.Agent (18,4 %). Dalšími kategoriemi malwaru, které zaznamenaly ve druhém čtvrtletí nárůst, jsou spyware (71 %), zastoupený nejčastěji backdoorem Android/Triada, a adware (63 %), reprezentovaný trojským koněm Andreed a potenciálně nechtěnou aplikací AdDisplay.MobiDash.

„Čeští uživatelé se potýkají s bankovním malwarem dlouhodobě. Za druhé sledované období roku 2021 byl i v českém prostředí velmi aktivní malware Triada a Cerberus. Trojský kůň Triada napadá platby v jiných aplikacích. V okamžiku, kdy si uživatel chce koupit vylepšení nebo vyšší funkci aplikace, napadne Triada platební proces a přesměruje platbu na účet útočníků. Malware Cerberus potom obsahuje funkce pro odečítání přihlašovacích údajů z legitimních webových stránek bank či ke čtení SMS kódů a obcházení dvoufázového ověření. V obou případech je klíčové, aby se uživatel především vyvaroval aplikací z neoficiálních zdrojů a ideálně stahoval služby pouze z Google Play, kde jsou aplikace proaktivně prověřovány,” uzavřel Šuman.

Více informací

Celou zprávu ESET Threat Report T2 2021 (PDF, 11 MB) si můžete stáhnout na webu welivesecurity.com.

Podobné články

Sophos představil vlastní řadu přepínačů

14. 1. 2022. (redaktor: František Doupal, zdroj: Sophos)
Sophos představil řadu přepínačů Sophos Switch Series, která zahrnuje přepínače pro přístupovou vrstvu sítě, jež slouží k připojení, napájení a řízení přístupu zařízení v lokální síti. Nová nabídka rozšiřuje portfolio společnosti Sophos pro zajištění bezpečného přístupu, které zahrnuje rovněž zařízení Sophos Firewall a Sophos Wireless. Čtěte více

Pure Storage roste a rozšiřuje své výzkumné a vývojové centrum v Praze

14. 1. 2022. (redaktor: František Doupal, zdroj: Pure Storage)
Společnost Pure Storage pokračuje ve svém dynamickém růstu. Finanční výsledky Pure za 3. účetní čtvrtletí roku 2022 ukazují pokračující rozmach v mnoha oblastech. Za 3. čtvrtletí 2022 společnost vykázala meziroční nárůst tržeb o 37 % a nárůst tržeb z předplacených služeb o 38 %. Zákazníci včetně těch z ČR oceňují, že řešení Pure Storage jim zjednodušují podnikové IT a podporují vyšší agilitu. Čtěte více

Rok 2022 přinese kyberútoky na mobilní peněženky, kryptoměny i sofistikované deepfake podvody

11. 1. 2022. (redaktor: František Doupal, zdroj: Check Point)
Bezpečnostní předpověď pro rok 2022 firmy Check Point upozorňuje na hlavní kybernetické hrozby, kterým budou organizace čelit. Kyberzločinci budou i nadále zneužívat pandemii COVID-19 a více se zaměří také na deepfake, kryptoměny nebo mobilní peněženky. Čtěte více

Šest technologických trendů, které v roce 2022 ovlivní sektor videodohledu

10. 1. 2022. (redaktor: František Doupal, zdroj: Axis Communications)
Johan Paulsson, technický ředitel společnosti Axis Communications, sestavil seznam technologických trendů, jež podle něj budou ovlivňovat bezpečnostní sektor. Napříč všemi trendy se bude i v příštím roce prolínat téma „důvěra“. Čtěte více