Uličku hanby nahrazují stránky hanby: Ransomwarové skupiny veřejně vydírají své oběti

19. 8. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Relativní nováček mezi ransomwarem jako služba RansomHub předstihl jednu z nejnebezpečnějších ransomwarových skupin na světě LockBit3 a stal se nejaktivnější skupinou zaměřenou na veřejné vydírání.

Minulý měsíc se RansomHub stal nejrozšířenější RaaS (ransomware jako služba) skupinou poté, co únorová policejní operace proti LockBit3 způsobila ztrátu loajality mezi spřátelenými kyberzločinci. LockBit3 proto v dubnu zaznamenal rekordně nízký počet obětí, pouhých 27. V květnu sice přišel naopak jejich výrazný nárůst, více než 170, ale v červnu počet opět klesl pod 20 obětí, což ukazuje na možný úpadek této nechvalně známé skupiny.

Mnoho kyberzločinců spojených s ransomwarovou skupinou LockBit3 nyní používá šifrovací nástroje jiných RaaS skupin, a přispívá tak k jejich růstu. RansomHub se poprvé objevil až v únoru 2024 a je údajně reinkarnací ransomwaru Knight. V červnu zaznamenal prudký nárůst a téměř 80 nových obětí.

„Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn, a ještě zintenzivnit své vyděračské kampaně,“ upozornil Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu posunula o tři příčky mezi bezpečnější země a nově jí patří 51. pozice. Naopak mezi nebezpečnější země se posunulo Slovensko, v červnu se umístilo na 82. příčce, což je změna o 18 míst. Mezi nebezpečné země se nejvíce posunula Namibie, o 50 míst, až na 58. příčku. První, tedy nejnebezpečnější, pozici obsadila nově Etiopie.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunulo zdravotnictví.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v červnu znovu nebezpečný downloader FakeUpdates, který měl dopad na sedm procent společností po celém světě. Následovaly malwary Androxgh0st, s dopadem na 6 % organizací, a AgentTesla (3 %).

  1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
  2. ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
  3. ↑ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 - mobilní malware:

Bankovní trojan Joker byl v červnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a AhMyth.

  1. ↑ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
  2. AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  1. Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.

Top 3 – ransomwarové skupiny:

Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.

Nejrozšířenější ransomwarovou skupinou byl v červnu RansomHub, který byl zodpovědný za 21 % zveřejněných útoků. Skupina Play měla na svědomí osm procent zveřejněných ransomwarových útoků a Akira na třetím místě pět procent.

  1. ↑ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
  2. ↑ Play – Ransomware Play, označovaný také jako PlayCrypt, se poprvé objevil v červnu 2022 a zaměřuje se na široké spektrum organizací včetně oblasti kritické infrastruktury. Obvykle získává přístup k sítím prostřednictvím napadených účtů nebo zneužitím neopravených zranitelností. Jakmile se dostane dovnitř organizace, používá techniky, jako je LOLBins (living-off-the-land binaries), pro krádeže dat a přihlašovacích údajů.
  3. ↑ Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Řadu měsíců dominoval českému žebříčku backdoor Jorik, který hackerům umožňoval ovládat infikovaný počítač. Ale v červnu prudce oslabil, a dokonce se nevešel ani do Top 10. Naopak botnet Androxgh0st posílil a je novým nejrozšířenějším malwarem. Výrazně se prosadil i modulární trojan BMANAGER, který hned vyskočil až na druhou příčku a podobně jako Androxgh0st se může používat ke krádeži citlivých informací a přihlašovacích údajů. Mezi nejvýraznější hrozby pro české společnosti se prosadil také mobilní malware Joker, který ohrožuje zařízení se systémem Android a často číhá i v aplikacích na Google Play. Znovu se tak potvrzuje, že je potřeba věnovat mimořádnou pozornost i zabezpečení mobilních zařízení,“ uvedl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – červen 2024

Malwarová rodina

Popis

Dopad v ČR

Dopad ve světě

Androxgh0st

Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.

6,06 %

5,52 %

BMANAGER

BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat.

3,92 %

0,66 %

FakeUpdates

FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

3,21 %

7,03 %

TechJourney

TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru.

2,67 %

0,22 %

AZORult

AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.

2,67 %

0,80 %

Remcos

Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

2,32 %

1,90 %

CrimsonRAT

CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity.

2,32 %

0,61 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

2,32 %

3,47 %

AsyncRat

AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.

2,14 %

1,55 %

Joker

Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.

1,60 %

1,25 %

Štítky: 

Podobné články

Check Point zaznamenal rekordní nárůst vyděračských útoků

23. 5. 2025. (redaktor: František Doupal, zdroj: Check Point)
Ransomware je i nadále jednou z nejnebezpečnějších kybernetických hrozeb, což potvrzuje i analýza kyberbezpečnostní společnosti Check Point Software Technologies. Z ní vyplývá, že 74 ransomwarových skupin v prvním čtvrtletí 2025 veřejně vydíralo 2 289 obětí, což je meziroční nárůst o 126 %. Čtěte více

Nedostatky na perimetru sítě oslabují kybernetickou odolnost

23. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Podle studie Threat Report: Cybercrime on Main Street 2025 společnosti Sophos zůstává ransomware největší hrozbou, zejména pro malé a středně velké podniky. V současné chvíli ransomware těží především ze zastaralých nebo špatně nakonfigurovaných síťových zařízení, která jsou pro kyberzločince hlavní vstupní branou. Čtěte více

Vloni bylo kyberzločinci veřejně vydíráno 16 českých společností

26. 2. 2025. (redaktor: František Doupal, zdroj: Check Point)
Ransomware překonal v roce 2024 všechny dosavadní rekordy. Z dat Enterprise Risk Management týmu kyberbezpečnostní společnosti Check Point vyplývá, že kyberzločinci s pomocí ransomwaru celosvětově napadli a veřejně vydírali 5 414 společností, což je nárůst o 11 % oproti roku 2023. Útočníci se vypořádali nejen s tlakem policejních složek, ale ještě dál vylepšili své postupy a taktiky. Čtěte více

N-able integruje novou funkci pro silnější ochranu záloh proti ransomwaru

30. 1. 2025. (redaktor: František Doupal, zdroj: Zebra systems)
Společnost N-able integrovala do produktu Cove Data Protection funkci Fortified Copies. Tato funkce, umožňující nezměnitelnost záloh, přidává další vrstvu ochrany pro servery, pracovní stanice a zálohy Microsoft 365. Funkce nezměnitelnosti záloh je do architektury Cove zabudována automaticky bez nutnosti dodatečné správy nebo extra nákladů. Čtěte více