Zprávy

Vývoj v oblasti hrozeb: Nové postupy, jak vydírat napadané firmy

Bezpečnostní společnost ESET zveřejnila analýzu vývoje malwaru za poslední čtvrtletí roku 2020.

Objevily se první spamy zneužívající vakcíny nebo nové postupy na vydírání infiltrovaných firem. U většiny typů malwaru je nicméně vidět klesající trend.

Česko v závěru roku patřilo mezi nejzranitelnější země v oblasti útoků na služby vystavené do internetu. Odborníci proto doporučují se na jejich bezpečnost zaměřit.

V závěru roku o pětinu ubylo e-mailových rizik. Nejvýraznější koncentrace škodlivých e-mailů zachytili analytici ESETu v polovině listopadu a v prosinci, kdy útočníci zneužívali boom předvánočních akcí nebo Black Friday, který je zejména v anglofonních zemích velmi populární. Malware se šířil infikovanými přílohami, ty útočníci vydávali za faktury, logistické dokumenty, potvrzení objednávek, notifikace z bank nebo za zprávy související s pandemií koronaviru.

„V minulém čtvrtletí jsme zachytili první spamy, které jako vějičku používaly vakcínu. Zachytili jsme například e-maily s předmětem: Vakcína Pfizer: 11 věcí, které musíte vědět. Tyto zprávy šířily malware. V Česku zatím takové zprávy nejsou, ale lze očekávat nárůst podobných podvodů, alespoň do doby, než se lidé přestanou o toto téma zajímat,“ popsal Robert Šuman, vedoucí výzkumného pražského centra společnosti ESET.

Pokračoval klesající trend v objemu webových hrozeb. Celkově jich analytici detekovali o 23 % méně. Mírné navýšení nastalo na konci listopadu, kdy útočníci zneužili období předvánočních nákupů. V tomto období detekční nástroje ESETu blokovaly 8,5 milionu webových hrozeb denně, mezi tyto hrozby patřily zejména online podvody, stránky obsahující malware a phishing.

Útočníci stále častěji zneužívají homoglyfové útoky, u nichž analytici zachytili nárůst. Jde o techniku, kdy útočník zamění stejně vypadající nebo velmi podobné znaky, aby adresa webu vizuálně připomínala nějakou legitimní značku či stránku. Využívají k tomu jiné znakové sady – například cyrilici. Lidské oko rozdíl prakticky nepozná, ale počítač ano.

V Česku krade spyware hesla, v zahraničí vyhledává antivir

Pokles o pětinu zaznamenali analytici i v případě spywaru, který dokáže odcizit nějaký typ uživatelských dat. V Česku nicméně jde o dlouhodobě dominantní hrozbu.

„Ve světě detekujeme trochu jiné typy malwaru než u nás. V Česku jsou cílem spywaru především přihlašovací údaje uživatelů, například celosvětově nejvýraznější hrozba HoundRat sbírá spíše technické informace o daném zařízení, například typ verze operačního systému, typ prohlížeče, přítomnost antiviru a podobně. Tyto informace se útočníkům hodí především pro vytipování možných zranitelností a provádění dalších nelegálních aktivit,“ řekl Šuman

Nadále roste počet útoků na služby vzdáleného připojení

Experti stále pozorují rostoucí trend v útocích na služby pro práci na dálku, jako služby RDS (služby vzdálené plochy), VPN (virtuální privátní síť) brány, webové či poštovní servery – v praxi jde o nástroje, které umožňují pracovat na dálku. Počet unikátních zařízení, která hlásila pokusy o prolomení služby RDS, vzrostl v minulém čtvrtletí o 17 %. Zranitelné mohou být i VPN brány. V loňském roce například útočníci využívali zranitelnost z roku 2019 v programu Pulse Secure Connect, což je renomovaná služba pro bezpečné VPN připojení. Na zmíněnou zranitelnost existuje od dubna 2019 bezpečnostní oprava. Pokles ukazují data jen v době okolo Vánoc, tedy v době pracovního volna.

„Celkově jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik zajímavé.  Svědčí o tom i nárůst detekcí ransomwaru a penetračních průniků. Je možné, že jen našli dost zranitelných míst. Apeloval bych proto na všechny instituce, aby zabezpečení bodů vystavených do internetu nepodceňovali,“ vysvětlil Šuman. „Podle dostupných dat útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na pravidelné aktualizace.“

Pokud se útočníkům podaří do sítě proniknout, zpravidla se pokusí ukrást maximum dat, které by bylo možné prodat či jinak zpeněžit, a následně ještě veškerá data zašifrovat a požadovat výkupné.

Tvůrci ransomwaru používají nové taktiky vydírání

Objem ransomwarových útoků klesal postupně v průběhu celého roku, ve čtvrtém čtvrtletí klesl o 4 %. Naprostá většina z detekovaných kódů se šířila masově distribuovanými e-maily, objem masově šířených útoků však v průběhu roku klesl o 35 %. Podle expertů mezi útočníky stoupá popularita cílených útoků. Nejčastějším ransomwarem po celém světě zůstal WannaCryptor (známý také jako WannaCry).

„Nejvíce ransomwarových útoků jsme zachytili v Rusku, Turecku, Jižní Africe a jihovýchodní Asii. Nejčastěji šlo o ransomware WannaCry, který zneužívá několik let starou zranitelnost, na kterou existuje bezpečnostní aktualizace. Pečlivé aktualizace jsou nezbytnou prevencí těchto útoků,“ popsal Šuman.

V listopadu ukončila činnost skupina Maze, šlo o nejvýraznějšího hráče na poli ransomwaru.  Zástupci skupiny nijak nevysvětlili, proč se rozhodli odejít. Také v prohlášení vyvrátili, že by kdy existoval kartel Maze, což je ovšem v rozporu s používanými metodami skupiny. Mimo jiné skupina také v prohlášení zdůraznila význam ochrany dat a zabezpečení sítí.

Minulé čtvrtletí přineslo také novou metodu, jak na útok mohou útočníci upozornit: tou je tzv. print bombing, kdy všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné, a to včetně pokladních tiskáren na účtenky. Další metodou nátlaku je telefonování zaměstnancům firmy, pokud mají útočníci dojem, že firma data obnovila ze záloh bez zaplacení výkupného.

Na konci roku rostl výskyt malwaru pro těžbu kryptoměn

V listopadu začala opět růst hodnota bitcoinu, v reakci na to mírně přibylo detekcí podvodů a útoků, které s kryptoměnami souvisí. Například objem malwaru, který nelegálně těží kryptoměny na zařízení uživatele se zvýšil o 4 %.

„Ačkoli se může zdát, že malware těžící kryptoměny nepředstavuje vážnou hrozbu, není dobré jej podceňovat. Krom vytížení výpočetního výkonu počítače v sobě může skrývat další nebezpečnější škodlivý kód. V České republice se místo něj setkáváme spíše s falešnými investičními stránkami, případně s vyděračskými e-maily, které vyžadují platbu v bitcoinech,“ uzavřel Šuman.

Celou zprávu o vývoji malware si můžete stáhnout zde.