Kyberbezpečnost s nádechem končícího léta

Ani jsme se nenadáli a už se nacházíme kdesi na začátku podzimu. Není se ale čemu divit, že občas zapomeneme vnímat čas, který kolem nás uhání. Máme totiž za sebou poměrně náročné období plné neznámých výzev a vracení se do starých dobrých kolejí bývá po dlouhé době časově náročné. Ať už se toho v našem pracovním životě událo hodně, či méně, ještě víc se toho stalo na poli kyberbezpečnosti. Podívejme se na to nejdůležitější a shrneme si události poslední doby.

Karanténa a home office: pro útočníky lákavé příležitosti

Metody a snahy útočníků výrazně ovlivnila virová pandemie. Na nastalou situaci zdatně adaptovali své postupy a začali využívat faktu, že velká většina zaměstnanců byla nucena pracovat z karantény, jen se vzdáleným přístupem k firemní síti a agendě. Taková byla realita prvního kvartálu roku. Experti však stále upozorňují, že od svých nových metod zločinci nemusejí upouštět ani nyní.

Třebaže se opatření uvolňují, práce na dálku pro firmy a jejich zaměstnance zůstává atraktivní a stejně tak atraktivní je pro útočníky této skutečnosti využívat. Podle některých průzkumů totiž chce až polovina Čechů pracovat z domova i nadále a jiné průzkumy uvádějí, že i nyní, kdy jsou kanceláře již otevřené, tři čtvrtiny zaměstnanců stále využívají možnosti práce z domova a do firmy docházejí jen na jediný pracovní den v týdnu. Zranitelnosti a hrozby pro vzdálené pracovníky jsou tedy stále aktuální.

Potřebu zabezpečit své sítě a zařízení pro vzdálený přístup si firmy uvědomují. Podle nedávných statistik společnosti GFI Software se zvedl zájem o bezpečnostní VPN řešení o 86 %, o 30 % pak poptávka po možnostech zabezpečení autentizace a zálohování dat a o 27 % po řešení firewallu. I v tomto případě však odborníci upozorňují, že nejčastějším přístupovým bodem k firemním datům je pro zločince samotný nepozorný uživatel.

K začátku června například společnost Check Point důsledně varovala před působením kybergangů, které se snaží zneužít situace a vydávají se například za finanční ředitele partnerských firem, a tak se pokouší z organizací vylákat vysoké částky. Takzvané BEC útoky, z anglického Business Email Compromise, využívají poznatků sociálního inženýrství. Falešnou zprávu, která tak skončila ve schránce nejednomu řídicímu pracovníkovi, nebylo snadné odhalit. Působila věrohodně, často přímo důvěrně. V mnoha případech totiž útočníci pečlivě analyzovali nejen chování vytipovaných cílů, ale třeba i pravidelnost firemních transakcí. Některé organizace měli zločinci pod drobnohledem celé měsíce. Tyto nahlášené incidenty jsou podle expertů výjimečné především tím, že jsou kolektivní snahou celých skupin útočníků. BEC útoky se totiž podle zvyklostí dříve připisovaly spíš osamělým hackerům.

O tom, že se hackeři snažili využít situace a strachu z nákazy, se můžeme dočíst i v pravidelných statistikách společnosti Eset. Ta zjistila, že v prvních měsících roku narostl počet falešných webových stránek o celých 21 % a těch souvisejících s nemocí covid-19 se zničehonic objevil až šestinásobek. Ačkoliv se snažily působit jako odborné weby, značná část z nich obsahovala různé formy phishingu. Nejčastěji se s těmito hrozbami setkávali uživatelé v nejvíce postižených oblastech, v Rusku, Peru, Japonsku, USA a třeba Francii.

Kvůli dopadům pandemie byly nuceny mnohé podniky zavřít a propouštět, vzrostla tedy také nezaměstnanost a současně poptávka po práci. I zde zločinci vycítili svou příležitost. V polovině června jsme tak mohli zaznamenat nárůst nebezpečných souborů, které se maskovaly coby životopisy a šířily se v e-mailech se žádostí o zaměstnání. Po kliknutí na soubor se do počítače nainstaloval malware, který dokázal krást například přihlašovací údaje k firemnímu bankovnictví.

Podobné schéma šíření využili zločinci i u škodlivých souborů maskovaných za zdravotnické formuláře. Dokumenty s názvy jako „COVID -19 FLMA CENTER.doc“ infikovaly počítač bankovním malwarem IcedID, který se zaměřuje na banky, poskytovatele platebních karet, mobilních služeb a e-commerce stránky. Škodlivé soubory se stále šíří i v těchto měsících, například v e-mailech vydávajících se za informace k zaměstnaneckému formuláři pro žádosti o dovolenou.

Po útlumu viru se věci vrátily „do starých kolejí“

Postupem času a s příchodem léta, jak se pomalu vytrácela společenská omezení a virus začal ustupovat, změnily se současně i priority útočníků. Ty se tematicky vrátily před začátek pandemie. Po výrazném oslabení spywaru na začátku roku se už v květnu vrátily dobře známé kampaně, jejichž cílem je získat přístupové údaje uživatelů. K začátku léta se trojský kůň Spy.Agent.AES se svými 43 % detekcí vyhoupl na první příčku škodlivých kódů. Za tak agresivní nárůst také může neaktivita jiných, sofistikovanějších útoků. Během pandemie se totiž řada dřív aktivních útočníků stáhla do ústraní a své škodlivé kódy vylepšila nebo dosud vylepšuje.

S tím úzce souvisí také prognózy bezpečnostních organizací. Zatímco ještě ke konci května bylo možné hovořit o globálním poklesu ransomwarových útoků na firmy, odborníci se shodují, že jejich návrat, ba dokonce nárůst oproti původním číslům lze očekávat nejpozději do poloviny podzimu. Škodlivý software, k jehož vylepšení měli zločinci během pandemie čas, je možné zakoupit na černém trhu nebo si ho pronajmout jako službu. Příkladem může být backdoor FormBook, který útočí na hesla uložená v prohlížečích, a díky pronájmu ho mohou využívat i technicky méně zdatní zločinci. O tom, že se tento malware vyskytuje a také testuje i v českém prostředí, svědčí fakt, že podle společnosti Eset jde o druhou nejčastěji detekovanou hrozbou k začátku června.

Kapitolu samu o sobě tvoří hlášení a výstrahy o nebezpečných aplikacích pro zařízení s operačním systémem Android. Společnost Google si v poslední době posvítila na podezřelé soubory a dospěla k dosti nelichotivému odhalení. Malware v obchodě Google Play obsahují desítky aplikací, které firma po odhalení z platformy stáhla. Ve většině případů šlo o neověřené a na první pohled aplikace od neznámých vývojářů, které kromě otravného adwaru také odesílaly informace o nakažených zařízeních a aktivitách uživatelů.

Nedávno však došlo i k vážnějším útokům na službu Play. Například když se ukázalo, že dalších minimálně jedenáct aplikací obsahovalo malware Joker, se kterým má platforma potíže už řadu let. Malware v nové verzi využíval složitější metody ke svému maskování a ukrýval se v datovém souboru, který je nutnou instalační součástí každé aplikace pro Android. Jako nechtěnou součást zcela legitimních aplikací si jej stáhlo půl milionu uživatelů.

Do konce roku bude ještě veselo

Je zcela jasné, že kyberbezpečnostní scénu tohoto roku definuje pandemie, a tak se z hlediska bezpečnosti nacházíme v jakémsi mezidobí. V tomto období, kdy polevuje a doznívá panika a strach z viru a očekává se jeho návrat během druhé poloviny roku, mají kyberzločinci dostatek času na to, aby do svých útoků zakomponovali to, co se naučili během první čtvrtiny roku. Předpokládá se, že jejich chování bude v následujících měsících ještě agresivnější. Z chování uživatelů a firem během první vlny nemoci se zločinci ještě nestihli poučit, tentokrát už však mají k dispozici jak data, tak čas. Záleží tedy na tom, jak se poučily jejich cíle, uživatelé a společnosti, které čeká náročné období.