Nové finty útočníků v kyberprostoru
Bezpečnostní společnost ESET zveřejnila analýzu vývoje malware za poslední čtvrtletí roku 2020. Objevily se první spamy zneužívající vakcíny nebo nové postupy na vydírání infiltrovaných firem. U většiny typů malware je nicméně vidět klesající trend. Česko v závěru roku patřilo mezi nejzranitelnější země v oblasti útoků na služby vystavené do internetu. Odborníci proto doporučují se na jejich bezpečnost zaměřit.
V závěru
roku o pětinu ubylo e-mailových rizik. Nejvýraznější koncentrace škodlivých
e-mailů zachytili analytici společnosti ESET v polovině listopadu a
v prosinci, kdy útočníci zneužívali boom předvánočních akcí nebo Black
Friday, který je zejména v anglofonních zemích velmi populární. Malware se
šířil infikovanými přílohami, ty útočníci vydávali za faktury, logistické
dokumenty, potvrzení objednávek, notifikace z bank nebo za zprávy související
s pandemií koronaviru.
„V
minulém čtvrtletí jsme zachytili první spamy, které jako vějičku používaly
vakcínu. Zachytili jsme například e-maily s předmětem: Vakcína Pfizer: 11
věcí, které musíte vědět. Tyto zprávy šířily malware. V Česku zatím takové
zprávy nejsou, ale lze očekávat nárůst podobných podvodů, alespoň do doby, než
se lidé přestanou o toto téma zajímat,“ popisuje Robert Šuman, vedoucí výzkumného
pražského centra společnosti ESET.
Pokračoval
klesající trend v objemu webových hrozeb. Celkově jich analytici
detekovali o 23 % méně. Mírné navýšení nastalo na konci listopadu, kdy
útočníci zneužili období předvánočních nákupů. V tomto období detekční
nástroje ESETu blokovaly 8,5 milionů webových hrozeb denně, mezi tyto hrozby
patřily zejména online podvody, stránky obsahující malware a phishing.
Útočníci
stále častěji zneužívají homoglyfové útoky, u nichž analytici zachytili nárůst.
Jde o techniku, kdy útočník zamění stejně vypadající nebo velmi podobné znaky,
aby adresa webu vizuálně připomínala nějakou legitimní značku či stránku. Využívají
k tomu jiné znakové sady – například cyrilici. Lidské oko rozdíl prakticky
nepozná, ale počítač ano.
V Česku krade spyware hesla,
v zahraničí vyhledává antivir
Pokles
o pětinu zaznamenali analytici i v případě spyware, který dokáže odcizit
nějaký typ uživatelských dat. V Česku se nicméně jedná o dlouhodobě
dominantní hrozbu.
„Ve
světě detekujeme trochu jiné typy malware než u nás. V Česku jsou cílem spyware
především přihlašovací údaje uživatelů, například celosvětově nejvýraznější
hrozba HoundRat sbírá spíše technické informace o daném zařízení, například typ
verze operačního systému, typ prohlížeče, přítomnost antiviru a podobně. Tyto
informace se útočníkům hodí především pro vytipování možných zranitelností a provádění
dalších nelegálních aktivit,“ říká Šuman
Nadále roste počet útoků na služby
vzdáleného připojení
Experti
stále pozorují rostoucí trend v útocích na služby pro práci na dálku, jako
služby RDS (služby vzdálené plochy), VPN (virtuální privátní síť) brány, webové
či poštovní servery – v praxi jde o nástroje, které umožňují pracovat na
dálku. Počet unikátních zařízení, která hlásily pokusy o prolomení služby RDS,
vzrostl v minulém čtvrtletí o 17 %. Zranitelné mohou být i VPN brány.
V loňském roce například útočníci využívali zranitelnost z roku 2019
v programu Pulse Secure Connect, což je renomovaná služba pro bezpečné VPN
připojení. Na zmíněnou zranitelnost existuje od dubna 2019 bezpečnostní oprava.
Pokles ukazují data jen v době okolo Vánoc, tedy v době pracovního
volna.
„Celkově
jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji
ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České
republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik
zajímavé. Svědčí o tom i nárůst detekcí
ransomware a penetračních průniků. Je možné, že jen našli dost zranitelných
míst. Apeloval bych proto na všechny instituce, aby zabezpečení bodů
vystavených do internetu nepodceňovali,“ vysvětluje Šuman. „Podle dostupných dat
útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a
EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na
pravidelné aktualizace.“
Pokud
se útočníkům podaří do sítě proniknout, zpravidla se pokusí ukrást maximum dat,
které by bylo možné prodat či jinak zpeněžit, a následně ještě veškerá data
zašifrovat a požadovat výkupné.
Tvůrci ransomware používají nové taktiky
vydírání
Objem
ransomware útoků klesal postupně v průběhu celého roku, ve čtvrtém čtvrtletí
klesl o 4 %. Naprostá většina z detekovaných kódů se šířila masově
distribuovanými e-maily, objem masově šířených útoků však v průběhu roku klesl
o 35 %. Podle expertů mezi útočníky stoupá popularita cílených útoků. Nejčastějším
ransomware po celém světě zůstal WannaCryptor (známý také jako WannaCry).
„Nejvíce
ransomware útoků jsme zachytili v Rusku, Turecku, Jižní Africe a jihovýchodní
Asii. Nejčastěji se jednalo o ransomware WannaCry, který zneužívá několik let
starou zranitelnost, na kterou existuje bezpečnostní aktualizace. Pečlivé
aktualizace jsou nezbytnou prevencí těchto útoků,“ popisuje Šuman.
V
listopadu ukončila činnost skupina Maze, jedná se o nejvýraznějšího hráče na
poli ransomware. Zástupci skupiny nijak
nevysvětlili, proč se rozhodli odejít. Také v prohlášení vyvrátili, že by kdy
existoval kartel Maze, což je ovšem v rozporu s používanými metodami skupiny.
Mimo jiné skupina také v prohlášení zdůraznila význam ochrany dat a zabezpečení
sítí.
Minulé
čtvrtletí přineslo také novou metodu, jak na útok mohou útočníci upozornit: tou
je tzv. print bombing, kdy všechny dostupné tiskárny v síti oběti začnou tisknout
žádost o výkupné, a to včetně pokladních tiskáren na účtenky. Další metodou
nátlaku je telefonování zaměstnancům firmy, pokud mají útočníci dojem, že firma
data obnovila ze záloh bez zaplacení výkupného.
Na konci roku rostl počet malware k těžbě
kryptoměn
V listopadu
začala opět růst hodnota bitcoinu, v reakci na to mírně přibylo detekcí
podvodů a útoků, které s kryptoměnami souvisí. Například objem malware,
který nelegálně těží kryptoměny na zařízení uživatele se zvýšil o 4 %.
„Ačkoli
se může zdát, že malware těžící kryptoměny nepředstavuje vážnou hrozbu, není
dobré jej podceňovat. Krom vytížení výpočetního výkonu počítače, v sobě
může skrývat další nebezpečnější škodlivý kód. V České republice se místo
něj setkáváme spíše s falešnými investičními stránkami, případně
s vyděračskými e-maily, které vyžadují platbu v bitcoinech,“ dodává Šuman.
Zveřejněno: 25. 02. 2021 | Počet zobrazení: 195x