Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Ponaučení z jednoho předvánočního pokusu o podvodhttps://antivirus.cz/Blog/Stranky/ponauceni-z-jednoho-predvanocniho-pokusu-o-podvod.aspxPonaučení z jednoho předvánočního pokusu o podvod<h3> <span style="color:#6773b6;">​V předvánočním čase, v době prudce stoupající nákupní horečky, začínají žně i svérázným „obchodníkům“ v prostředí internetu. Určitý typ podvodů lze v tomto období nalézt na každé sociální síti, všude tam, kde lidé prodávají lidem. </span><br></h3> <br> <p>V našem textu vám na jednom takovém reálném pokusu o podvod ukážeme, jak podobný úskok rozpoznat a případně se mu vyhnout. Pokus o podvod, který spolu rozebereme, se udál v prostředí Facebooku, konkrétně v jeho části Marketplace. Byla při něm použita platforma EMS (Express Mail Service), která umožňuje přepravovat zásilky napříč sítí poštovních institucí. </p><h2>Prvním varovným indikátorem bývá jazyk zprávy </h2><p>Celá kauza začala inzerátem na sociální síti Facebook a následným kontaktováním prodejce. V článku popsaný princip funguje jak v případě, že jste prodávajícím, tak i v případě, že nakupujete. Zájemce o koupi navrhl jako způsob dodání zboží využít mezinárodní službu EMS Express. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-01.png" data-themekey="#" alt="" style="margin:5px;width:370px;" /> <br> <br> </p><p>Prvním indikátorem, který by vám měl po přečtení zprávy v hlavě rozblikat červenou kontrolku, je jazyk, jímž je zpráva napsaná, včetně některých použitých formulací. V okamžiku, kdy obdržíte podobný text, vřele doporučujeme pozorněji si prohlédnout profil kontaktující osoby. Zda má nějaké příspěvky, vyplněné informace, přidané přátele (sociální síť bez přátel nedává příliš smysl), přidané fotky atd. Tím získáte alespoň hrubou představu o tom, zda se jedná o validního uživatele, anebo o falešný profil. </p><p>Coby prodávající jsme souhlasili s použitím služby EMS, abychom vzápětí obdrželi od kupujícího požadavek na doplnění dalších osobních údajů. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-02.png" data-themekey="#" alt="" style="margin:5px;width:336px;" /> <br> <br> </p><p>Zde byste měli opět zpozornět. Právě v této fázi obchodu se nervózní, a tedy obvykle ne příliš zkušení podvodníci začínají domáhat bližších informací o vaší platební kartě, respektive dalších osobních údajů. V našem případě byl útočník opatrnější a po poptávaných informacích se přesunul z Facebookového chatu do e-mailové komunikace. </p><h2>Pozor na falešnou e-mailovou adresu </h2><p>Podoba obdrženého e-mailu od údajné služby EMS vypadala následovně: </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-03.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Tady si můžeme na první pohled povšimnout zvláštního předmětu zprávy a podivných svislých čar v levé části e-mailu. V rámci jeho podrobnějšího ověření je samozřejmě záhodno zkontrolovat také adresu odesílatele. V případě služby EMS bychom mohli po právu očekávat, že odesílatelem e-mailu bude některá z pošt, například Česká pošta, tedy cpost.cz. </p><p>V našem případě je však odesílatelem express.ems.via.service(zavináč)gmail.com. Přitom je velice nepravděpodobné, že by kterákoliv ze služeb EMS či jiných, prostřednictvím nichž budete kupovat zboží, používaly doménu gmail.com. Služby, které budete využívat, budou mít ve většině případů doménu shodnou se svým názvem, například společnost Zalando rozesílá e-maily z adresy info@service-mail.zalando.cz. </p><h2>Útočníci se často pokoušejí přesměrovat platbu </h2><p>Pokračujme dále k samotnému textu e-mailu: </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-04.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Na první pohled nás tu do očí udeří kostrbatá čeština a nešikovné formulace, včetně podivného oslovení. Málokterá seriózní služba je tak „friendly“, že vám bude v takovém e-mailu a hned napoprvé tykat. Ani s uvedeným střídáním malých a velkých liter v textu se běžně nesetkáváme, stejně jako s různými barvami a velikostí písma. </p><p>Pokračujeme-li v četbě e-mailu, dostaneme se k informacím o platbě. Zde je uveden (vcelku) přehledný výčet, co všechno je třeba uhradit a proč. Ale opět špatnou češtinou, znovu za použití kombinace různých barev. Co je zde ale nejdůležitější, je přidaný odkaz, který nás má nasměrovat k platbě – v tomto případě se jedná o stránku dundle(tečka)com. </p><p>Pokud si o stránce dohledáme více informací, zjistíme, že si zde můžeme zakoupit předplacený kredit, který lze použít na nákupy, hry nebo telefonování, a to bezpečně a bez starostí. „Digitální kódy posíláme ihned do e-mailu, a to 24 hodin denně, 7 dní v týdnu.“ </p><p>Tady by nám měl v hlavě vyskočit druhý velký červený vykřičník. Chceme přece posílat zboží přes EMS, proč tedy není platba řešena přes jejich portál, ale je využívána jiná služba? </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-05.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Ověřte si podmínky služby přímo na jejich oficiálních stránkách </h2><p>Pokud si v obdobných případech nebudete jisti, jak dále postupovat, uděláte nejlépe, když se podíváte přímo na stránky služby, kterou chcete pro doručení zboží použít nebo která vám byla pro přepravu doporučena. </p><p>V našem případě se jedná o EMS, takže jsme si otevřeli jejich web a zjistili, že služba opravdu existuje, a dokonce funguje pod záštitou České pošty (viz <a href="https://www.ceskaposta.cz/sluzby/baliky/cr/ems" target="_blank">https://www.ceskaposta.cz/sluzby/baliky/cr/ems</a>). Na stránkách EMS se také nachází sekce s kontaktními údaji, které je možné použít pro ověření legitimnosti zásilky. </p><p>Kontaktovali jsme tedy telefonní operátorku, abychom si ověřili referenční číslo transakce. Dáma na druhé straně aparátu nás však okamžitě upozornila, že referenční čísla zásilek České pošty začínají vždy znaky abecedy, nikoli číslicemi, a tudíž zde něco nesedí. </p><p>Podezření na to, že se nás někdo pokouší podvést, se ještě zvýšilo ve chvíli, kdy jsme operátorce sdělili, že zpráva přišla z adresy gmailu. Pracovnice nám obratem potvrdila domněnku, že česká EMS nepoužívá žádnou jinou adresu než (zavináč) cpost.cz. </p><p>Osoba, která od nás chtěla zboží zakoupit, měla na svém profilu vyplněnou zemi pobytu Německo. I v konverzaci se zmínila, že není českou občankou. Zamířili jsme proto na stránky centrální služby EMS, tedy <a href="https://www.ems.post/en" target="_blank">https://www.ems.post/en</a>, a dohledali jsme si německou pobočku. </p><p>Hned v první části textu byla uvedena kontaktní e-mailová adresa na německou EMS službu. Zde si povšimněme, že za zavináčem není gmail, ale deutschepost. Další střípek do skládačky zapadl. Pro potvrzení naší teorie, že obdržený e-mail nebyl legitimní, jsme se ještě obrátili přímo na Deutsche post. Ta nás bleskově ujistila, že žádný gmailový účet nepoužívá. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-06.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Buďte obezřetní, neposkytujte nikomu údaje o své kartě </h2><p>Je více než pravděpodobné, že za e-mailem stál útočník, který podnikl předvánoční pokus dostat se coby fiktivní zájemce o koupi k cizím penězům. </p><h2>Jaké ponaučení z toho všeho plyne? </h2><p>Buďte opatrní a v prostředí internetu obzvlášť. Nepoužívejte služby, které neznáte. Neklikejte bezhlavě, zejména ne na odkazy, které jsou vložené v e-mailech, a pozorně čtěte zprávy, které obdržíte. Rozhodně nikdy a za žádných okolností nikam nevkládejte údaje ze své karty a už vůbec si je neukládejte. </p><p>Plaťte raději převodem, případně mějte pro tyto účely separátní (virtuální) kartu. Zvažte, zda by se vám místo debetní karty nevyplatilo používat kreditní. </p>​<br> <p> </p><div align="right"><table width="390"><tbody><tr><td width="100" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/lubomir-almer-aec-2021.jpg" alt="Lubomír Almer, AEC" data-themekey="#" style="margin:5px;width:90px;height:120px;" /> </td><td width="290" align="left" valign="top"><p> <br> <strong>Lubomír Almer​</strong><br>Head of Cyber Defense Center<br>AEC a.s.</p><p> <img src="/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-cdc.png" alt="security is our DNA" data-themekey="#" style="margin:5px;width:150px;height:20px;" /> </p></td></tr></tbody></table></div>1
Ukrajinské vládní subjekty čelí špionážním útokům, krádeže dat hrozí i českým organizacímhttps://antivirus.cz/Blog/Stranky/ukrajinske-vladni-subjekty-celi-spionaznim-utokum-kradeze-dat-hrozi-i-ceskym-organizacim.aspxUkrajinské vládní subjekty čelí špionážním útokům, krádeže dat hrozí i českým organizacím<h3> <span style="color:#6773b6;">Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého čelily v únoru ukrajinské vládní subjekty zvýšenému náporu špionážních kyberútoků. </span><br></h3> <br> <p>I když mezi říjnem 2022 a únorem 2023 počet kyberútoků na ukrajinské organizace klesl o 44 %, je Ukrajina i nadále oblíbeným terčem kyberzločinců. Hackeři například šíří e-maily napodobující zprávy od společnosti Ukrtelecom JSC. Příloha ve formátu .rar ovšem obsahuje nebezpečný trojan Remcos, který hackerům umožňuje krást v infikovaném počítači data a spouštět další příkazy. Ze vzorců chování a z analýzy incidentů vyplývá, že probíhající útoky souvisí s kybernetickými špionážními operacemi. </p><p>„Přestože počet politicky motivovaných útoků na Ukrajinu klesl, zůstává i nadále kybernetickým bojištěm. Od začátku rusko-ukrajinské války je hacktivismus hlavním motivem řady hackerských skupin a většina z nich dává přednost destruktivním útokům, jako je DDoS, aby získaly co největší publicitu. Nejnovější kampaň ale používá tradičnější způsob útoku, pomocí phishingových podvodů se snaží získat informace o uživatelích a vylákat citlivá data. Je důležité, aby všechny organizace a státní orgány dodržovaly při práci s e-maily doporučené bezpečnostní postupy a používaly preventivní bezpečnostní technologie, které eliminují hrozby. Každopádně je potřeba nestahovat přílohy bez jejich předchozího prověření, neklikat na odkazy v těle e-mailu a zkontrolovat adresu odesílatele, zda neobsahuje nějaké neobvyklé znaky nebo chyby,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p>Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace. </p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika v únoru patřila opět mezi nebezpečné země, obsadila 24. pozici. Naopak Slovensko se nadále řadí mezi bezpečnější země, druhý měsíc za sebou se umístilo na 73. příčce. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko. </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v únoru Qbot, který měl dopad na 7 % organizací. FormBook na druhé příčce zasáhl 5 % společností a Top 3 uzavírá Emotet s dopadem na 4 % organizací. </p><p>1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace. </p><p>2. ↑ FormBook – krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. </p><p>3. ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy. </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly, stejně jako v lednu, malwary Hiddad a AhMyth. </p><p>1. ↔ Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google. </p><p>2. ↔ Hiddad – malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému. </p><p>3. ↔ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 47 % organizací. Následovala zranitelnost „Web Server Exposed Git Repository Information Disclos“ s dopadem na 46 % společností, Top 3 pak uzavírá zranitelnost „Apache Log4j Remote Code Execution“ s dopaden na 45 % organizací. </p><p>1. ↑ Web Servers Malicious URL Directory Traversal – úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru. </p><p>2. ↓ Web Server Exposed Git Repository Information Disclosure – úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. </p><p>3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Backdoor Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů, i nadále výrazně ohrožuje české organizace, přesto klesl z 1. místa až na 3. pozici. V únoru totiž masivně útočil malware GuLoader, který dokáže stahovat a šířit velmi nebezpečné hrozby. Pokud tedy pronikne do podnikové sítě, může způsobit značné a těžko předvídatelné škody. Znovu vzrostly také útoky zlodějského malwaru FormBook, protože krádeže cenných data jsou velmi lukrativní. České organizace musí věnovat maximální pozornost i zabezpečení IoT zařízení. Malware Mirai totiž napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům. </p>​<br> <p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - únor 2023</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad ve světě</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">GuLoader</td><td class="ms-rteTable-default">GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.</td><td class="ms-rteTable-default">2,49 %</td><td class="ms-rteTable-default">8,42 %</td></tr><tr><td class="ms-rteTable-default">FormBook</td><td class="ms-rteTable-default">FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.</td><td class="ms-rteTable-default">4,60 %</td><td class="ms-rteTable-default">8,42 %</td></tr><tr><td class="ms-rteTable-default">Qbot</td><td class="ms-rteTable-default">Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.</td><td class="ms-rteTable-default">7,18 %</td><td class="ms-rteTable-default">5,94 %</td></tr><tr><td class="ms-rteTable-default">Emotet</td><td class="ms-rteTable-default">Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.</td><td class="ms-rteTable-default">3,90 %</td><td class="ms-rteTable-default">2,72 %</td></tr><tr><td class="ms-rteTable-default">Snake Keylogger</td><td class="ms-rteTable-default">Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.</td><td class="ms-rteTable-default">1,08 %</td><td class="ms-rteTable-default">2,72 %</td></tr><tr><td class="ms-rteTable-default">Tofsee</td><td class="ms-rteTable-default">Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn.</td><td class="ms-rteTable-default">1,51 %</td><td class="ms-rteTable-default">2,48 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,61 %</td><td class="ms-rteTable-default">2,48 %</td></tr><tr><td class="ms-rteTable-default">AveMaria</td><td class="ms-rteTable-default">Malware AveMaria je RAT (Remote Access Trojan), který umožňuje vzdáleně ovládat počítač oběti a krást informace.</td><td class="ms-rteTable-default">0,97 %</td><td class="ms-rteTable-default">2,23 %</td></tr><tr><td class="ms-rteTable-default">Pony</td><td class="ms-rteTable-default">Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby.</td><td class="ms-rteTable-default">0,52 %</td><td class="ms-rteTable-default">1,73 %</td></tr><tr><td class="ms-rteTable-default">Cutwail</td><td class="ms-rteTable-default">Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.</td><td class="ms-rteTable-default">0,20 %</td><td class="ms-rteTable-default">1,49 %</td></tr><tr><td class="ms-rteTable-default">Mirai</td><td class="ms-rteTable-default">Mirai je IoT malware, který napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům. Botnet Mirai byl poprvé objeven v září 2016 a rychle se stal nebezpečnou zbraní, která byla použita například k DDoS útoku na společnost Dyn zajišťující významnou část internetové infrastruktury Spojených států nebo k paralyzování Liberijské republiky.</td><td class="ms-rteTable-default">0,79 %</td><td class="ms-rteTable-default">1,49 %</td></tr></tbody></table><p> </p>​​<br>0
Hrozby pro Windows: únor 2023https://antivirus.cz/Blog/Stranky/hrozby-pro-windows-unor-2023.aspxHrozby pro Windows: únor 2023<h3><span style="color:#6773b6;">Kromě osvědčené strategie v podobě nebezpečných e mailových příloh, kterými byla v únoru také domnělá potvrzení k dovoleným, zkouší útočníci obcházet zabezpečení novými metodami. </span><br></h3> <br> <p>Ačkoli se počet detekcí všech dlouhodobě přítomných škodlivých kódů pro operační systém Windows v Česku zatím nemění, bezpečnostní experti zachytili v únoru nebývale silný útok na české uživatele. Detekovanými škodlivými kódy byly tentokrát kromě spywaru Agent Tesla také spyware Formbook a downloader Agent.PLI, který útočníci šířili prostřednictvím škodlivých skriptů v poznámkových souborech programu OneNote. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET. Spyware Agent Tesla se v únoru ve statistice společnosti ESET objevil opět ve zhruba 15 procentech všech případů. Tentokrát byl aktivní především závěrem měsíce a nejrozšířenější škodlivá e-mailová příloha, jejíž prostřednictvím se šířil, se jmenovala „IMG_Evaluate_AWB_HBL & CHECKLIST Docs..exe“. Na rozdíl od spywaru Agent Tesla ale bezpečnostní specialisté zaznamenali silné útoky 21. února, a to v případě obou dalších nejčastěji detekovaných škodlivých kódů. </p><p>„Spyware Formbook, jeden z malwarů, které jsme v rámci silného únorového útoku objevili, se šířil přes e mailovou přílohu s názvem Booking Details!!.exe. Předpokládáme tak, že cílem spywaru byli uživatelé, kteří již v těchto měsících začali objednávat dovolené. Dalším typem útočícího malwaru byl Agent.PLI. Zde vidíme nový trend v útočných kampaních – zasílání poznámkových dokumentů programu OneNote, které obsahují škodlivé skripty. Agent.PLI se nejčastěji objevoval jako sdílený dokument s názvem Invoice 575367.bat. Tuto metodu útočníci zkouší pravděpodobně kvůli zpřísňujícím se pravidlům pro posílání e-mailových příloh, a hledají možnosti, jak toto omezení obejít,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Přílohy a dokumenty s příponami .exe. nebo .bat označují typy spustitelných programů v operačním systému Windows. Bezpečnostní experti upozorňují uživatele, aby takové programy nikdy nespouštěli, pokud si nejsou jisti jejich původem, obsahem a funkcionalitami. </p><h2>Místo přílohy v e-mailu sdílené poznámky OneNote </h2><p>Bezpečnostní specialisté opakovaně upozorňují, že útočníci budou mít letos velký zájem přehodnocovat současné strategie a investovat do nových typů útoků. </p><p>„Přestože útoky s použitím programu OneNote aktuálně slábnou a zdá se tedy, že úspěšné nebyly, princip této strategie se určitě může znovu objevit,“ říká Jirkal. „Celkově byl útok velmi jednoduchý. V poznámkovém dokumentu s příponou .one bylo vloženo několik škodlivých .bat skriptů, které byly překryty obrázkem. Obrázek nabádal uživatele ke kliknutí a otevření dokumentu. Kliknutím na tento obrázek se spustil jeden ze škodlivých skriptů, který začal stahovat do zařízení další malware, nejčastěji z rodin Qbot, IceId, AgentTesla nebo RedLine,“ dodává Jirkal z ESETu. </p><p>Infostealery, mezi které nejčastěji detekované škodlivé kódy v operačním systému Windows spadají, jsou aktuálně jednou z největších hrozeb v Česku. Kybernetičtí útočníci je používají ke krádeži osobních dat uživatelů, a to nejčastěji uživatelských hesel. Nejvíce zranitelná jsou pak hesla ukládaná do internetových prohlížečů, které nejsou před útoky spywaru dostatečně zabezpečené. Bezpečnostní specialisté tak uživatelům doporučují využívat tzv. správce hesel, programy, které hesla ukládají v zašifrované podobě. Správce hesel bývají také součástí kvalitních bezpečnostních programů, které uživatele před spywarem spolehlivě ochrání. </p><h2>Nejčastější kybernetické hrozby pro operační systém Windows v České republice za únor 2023: </h2><p>1. MSIL/Spy.AgentTesla trojan (15,14 %) <br> 2. Win32/Formbook trojan (9,61 %) <br> 3. BAT/Agent.PLI trojan (3,54 %) <br> 4. Win32/PSW.Fareit trojan (1,96 %) <br> 5. MSIL/Spy.Agent.AES trojan (1,95 %) <br> 6. Win32/Shafmia trojan (1,43 %) <br> 7. BAT/Runner trojan (1,22 %) <br> 8. MSIL/Disdroth trojan (1,17 %) <br> 9. MSIL/Spy.RedLine trojan (1,15 %) <br> 10. Win32/Warzone trojan (1,01 %) <br> </p>0
Ruská hackerská skupina útočila na ČSOB, slovenská ministerstva a další institucehttps://antivirus.cz/Blog/Stranky/ruska-hackerska-skupina-utocila-na-csob-slovenska-ministerstva-a-dalsi-instituce.aspxRuská hackerská skupina útočila na ČSOB, slovenská ministerstva a další instituce<h3> <span style="color:#6773b6;">​Ruská hacktivistická skupina NoName057(16), která je aktivní od března 2022 a jejíž vznik může souviset s válečným konfliktem, znovu významně útočila v České republice a na Slovensku. </span><br></h3> <br> <p>ČSOB se celé dopoledne <a href="https://www.seznamzpravy.cz/clanek/ekonomika-finance-csob-napadli-hackeri-a-nektere-sluzby-nefunguji-penize-klientu-jsou-v-bezpeci-227024" target="_blank">potýkala s kybernetickým útokem​</a>, kvůli kterému nefungovalo internetové bankovnictví, platby kartou na Internetu a aplikace Smart. Zhruba o půl druhé odpoledne se podařilo všechny služby obnovit. </p><p>ČSOB je stoprocentní dceřinou společností KBC Bank NV, jejíž akcie jsou drženy (přímo nebo nepřímo) společností KBC Group NV. Obě společnosti sídlí v Bruselu v Belgii.<br><br></p><h3>Banka vydala následující <a href="https://www.csob.cz/portal/-/n230303" target="_blank">prohlášení</a>:</h3><p style="text-align:left;"> <em>Vážení klienti, </em></p><p style="text-align:left;"> <em>zaznamenali jsme kybernetický útok, který způsobil výpadek bankovních služeb. Při útoku nebyly nikterak zasaženy interní systémy, veškeré finance i klientská data jsou v bezpečí. Aktuálně jsou již všechny služby funkční, v ojedinělých případech se může vyskytnout výpadek. Plně funkční jsou také bankomaty ČSOB i platební terminály. Služby jsme také spustili v pobočkové síti skupiny ČSOB a na České poště. Za veškeré komplikace se vám omlouváme. </em></p><p style="text-align:left;"> <em> Vaše ČSOB</em> </p><p> <br>„Proruská skupina NoName057(16) se už dříve snažila ovlivnit české prezidentské volby, když opakovaně útočila na vládní webové stránky, stránky některých prezidentských kandidátů i významné společnosti ve výrobním sektoru. Nyní jsme viděli masivní vlnu útoků na ČSOB a také na slovenská ministerstva vnitra a obrany nebo na energetickou společnost Slovenské elektrárne. Skupina se útoky chlubí na svých stránkách, má se jednat o další odvetu za podporu Ukrajiny. Hackeři z této skupiny útočí od začátku války po celém světě a napadají země, které se snaží nějakým způsobem podpořit Ukrajinu. Skupina komunikuje primárně prostřednictvím Telegramu, kde má hlavní ruskojazyčný kanál s více než 20 000 členy, kanál v angličtině a kromě toho nabízí dobrovolníkům účast v projektu DDosia Projects, v rámci kterého se mohou dobrovolníci zapojit do plánovaných útoků. Nejaktivnější z nich dokonce dostávají finanční odměny ve výši až 25 000 Kč,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p style="text-align:center;"> <img src="/Blog/PublishingImages/Clanky/2023/230303_NoName057(16)_CSOB.png" data-themekey="#" alt="" style="margin:5px;width:333px;" />  </p><p style="text-align:center;"> </p><p style="text-align:center;"> <img src="/Blog/PublishingImages/Clanky/2023/230303_NoName057(16)_prohlaseni.png" data-themekey="#" alt="" style="margin:5px;width:330px;" />  </p><p style="text-align:center;"> </p><div style="text-align:center;">​ </div><p style="text-align:center;"> <img src="/Blog/PublishingImages/Clanky/2023/230303_NoName057(16)_Slovensko_elektrina.png" data-themekey="#" alt="" style="margin:5px;width:329px;" />  </p><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2023/2230303_NoName057(16)_Slovensko_ministerstvo.png" data-themekey="#" alt="" style="margin:5px;width:348px;" /> <br> </p>​ <p>​​<br></p>0
Česká republika byla v lednu 5. nejnebezpečnější evropskou zemíhttps://antivirus.cz/Blog/Stranky/ceska-republika-byla-v-lednu-5-nejnebezpecnejsi-evropskou-zemi.aspxČeská republika byla v lednu 5. nejnebezpečnější evropskou zemí<p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v lednu vrátil zlodějský malware Vidar, který útočil aktivně i v České republice a ještě zvýšil riziko krádeží dat. </span></strong><br></p><p>„V lednu se infostealer Vidar šířil prostřednictvím falešných domén napodobujících společnost AnyDesk. Malware využíval napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Výzkumníci také odhalili rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a otevření trojan infikoval napadené zařízení a kradl citlivé informace.“ V</p><p>ýzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace. </p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko. </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě. </p><p> <b>1. ↔ Qbot</b> – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace. </p><p> <b>2. ↑ LokiBot</b> – zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům. </p><p> <b>3. ↑ AgentTesla</b> – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook) </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth. </p><p> <b>1. ↔ Anubis</b> – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google. </p><p> <b>2. ↔ Hiddad</b> – malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému. </p><p> <b>3. ↑ AhMyth</b> – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací. </p><p> <b>1. ↔ Web Server Exposed Git Repository Information Disclosure </b>– Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. </p><p> <b>2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)</b> - Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti. </p><p> <b>3. ↑ MVPower DVR Remote Code Execution</b> – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla, Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si na zlodějské malwary pozor, protože jejich útoků neustále přibývá. </p> <br> <p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - leden 2023</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad ve světě</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">Qbot</td><td class="ms-rteTable-default">Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.</td><td class="ms-rteTable-default">6,50 %</td><td class="ms-rteTable-default">7,36 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">4,69 %</td><td class="ms-rteTable-default">5,58 %</td></tr><tr><td class="ms-rteTable-default">FormBook</td><td class="ms-rteTable-default">FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.</td><td class="ms-rteTable-default">3,96 %</td><td class="ms-rteTable-default">5,58 %</td></tr><tr><td class="ms-rteTable-default">Vidar</td><td class="ms-rteTable-default">Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů a digitálních peněženek. Vidar se prodává na různých online fórech a používá se také ke stahování ransomwaru GandCrab.</td><td class="ms-rteTable-default">2,14 %</td><td class="ms-rteTable-default">5,08 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.</td><td class="ms-rteTable-default">1,21 %</td><td class="ms-rteTable-default">3,30 %</td></tr><tr><td class="ms-rteTable-default">Emotet</td><td class="ms-rteTable-default">Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.</td><td class="ms-rteTable-default">3,44 %</td><td class="ms-rteTable-default">3,05 %</td></tr><tr><td class="ms-rteTable-default">Pony</td><td class="ms-rteTable-default">Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby.</td><td class="ms-rteTable-default">0,56 %</td><td class="ms-rteTable-default">3,05 %</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač.</td><td class="ms-rteTable-default">0,75 %</td><td class="ms-rteTable-default">2,79 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,46 %</td><td class="ms-rteTable-default">2,5​​4 %</td></tr><tr><td class="ms-rteTable-default">LokiBot</td><td class="ms-rteTable-default">LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce.</td><td class="ms-rteTable-default">5,50 %</td><td class="ms-rteTable-default">1,78 %</td></tr><tr><td class="ms-rteTable-default">GuLoader</td><td class="ms-rteTable-default">GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.</td><td class="ms-rteTable-default">2,04 %</td><td class="ms-rteTable-default">1,78 %</td></tr></tbody></table><p> </p><br>0
Nové aktivity severokorejské skupiny Lazarus, kybernetický útok má stopy i v Českuhttps://antivirus.cz/Blog/Stranky/nove-aktivity-severokorejske-skupiny-lazarus-kyberneticky-utok-ma-stopy-i-v-cesku.aspxNové aktivity severokorejské skupiny Lazarus, kybernetický útok má stopy i v Česku<h3><span style="color:#6773b6;">Analytici společnosti ESET objevili nový útok malwaru Wslink, který je využíván pro kyberšpionáž. Následnou analýzou bylo zjištěno, že tento škodlivý kód byl využit pro zločinecké aktivity v několika zemích Severní Ameriky, Blízkého východu a střední Evropy. ESET může potvrdit, že tento malware byl detekován i v České republice. Podle všech dostupných informací za ním stojí kyberkriminální APT skupina Lazarus, která má vazby na režim v Severní Koreji. </span><br></h3> <br> <p>„Útočníci pomocí škodlivého kódu mají možnost vniknout do vnitřní sítě napadené organizace skrze útočníkem vytvořená zadní vrátka – tuto roli hraje v námi popsaném útoku jeden z modulů programu Wslink – backdoor WinorDLL64. Malware pak může získat v podstatě libovolné informace, které mohou útočníci následně zpeněžit, nebo využít takto získaná data pro špionáž. Objevený backdoor dokáže exfiltrovat, přepisovat a odstraňovat soubory, spouštět příkazy a získávat rozsáhlé informace o systému,“ říká Vladislav Hrčka, výzkumný analytik společnosti ESET, který aktuální útok objevil. </p><p>„Technicky přesně lze detekovaný útok popsat následovně – Wslink, který obsahuje soubor s názvem WinorLoaderDLL64.dll, je loader binárních souborů systému Windows, který funguje jako server a spouští přijaté moduly v paměti. Jedná se tak o univerzální jádro čekající na napadeném zařízení na dodání dalšího škodlivého kódu, který pak provede konkrétní, závadnou akci, tedy vpuštění vlastního malwaru do již napadeného systému. Díky své modularitě a schopnosti stáhnout a zavést další modul může být později využíván také k dalším krokům. Wslink naslouchá na portu uvedeném v konfiguraci a může obsluhovat další připojující se klienty a načítat další škodlivé kódy,“ vysvětluje Hrčka. </p><p>WinorDLL64 se svou podobou i chováním překrývá s několika vzorky skupiny Lazarus, což naznačuje, že by mohlo jít o nástroj z rozsáhlého arzenálu této severokorejské APT skupiny. </p><p>Původně neznámý DLL modul WinorDLL64 byl na bezpečnostní web VirusTotal nahrán z Jižní Koreje, krátce po zveřejnění příspěvku na blogu společnosti ESET, a tím odhalil, jaké moduly malware Wslink stahuje a spouští. Telemetrie společnosti ESET zaznamenala pouze několik detekcí loaderu Wslink v Severní Americe, na Blízkém východě a ve střední Evropě, a to včetně České republiky. Společnost AhnLab ve své telemetrii také potvrdila oběti z Jižní Koreje, což je relevantní ukazatel vzhledem k tradičním cílům skupiny Lazarus a k tomu, že společnost ESET zaznamenala pouze několik detekcí. </p><h2>Škodlivý kód ze Severní Koreje </h2><p>Útoky APT skupin se vyznačují vysokou specializací a jejich kód bývá zpravidla jedinečný. Jejich cílem jsou konkrétní instituce a organizace, často ve spojitosti s kritickou infrastrukturou. APT neboli Advance Persistent Threat (pokročilá přetrvávající hrozba) je označení pro různými státy sponzorované kybernetické útočníky, kteří se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. </p><p>„Takové útoky jsou velmi pokročilé a nákladné na přípravu, obvykle jsou tak vedeny skupinami, které jsou napojeny na státní aktéry. To, že jsme útok detekovali také v České republice, jasně vypovídá o tom, že ani pokročilé hrozby se Česku nevyhýbají,“ vysvětluje Hrčka. </p><p>Hlavní cílový region útoku, samotný kód i jeho chování naznačují, že nástroj používá nechvalně známá APT skupina Lazarus, která je napojená na Severní Koreu. Skupina je aktivní nejméně od roku 2009. Má na svědomí známé incidenty, jako je například útok na společnost Sony Pictures Entertainment, kybernetické loupeže za desítky milionů dolarů v roce 2016, masivní rozšíření ransmowaru WannaCryptor (alias WannaCry) v roce 2017 a dlouhou historii útoků narušujících jihokorejskou veřejnou a kritickou infrastrukturu, a to nejméně od roku 2011. Americké organizace US-CERT a FBI tuto skupinu nazývají HIDDEN COBRA. </p><h3>Více informací </h3><p>Více informací o aktuálním útoku APT skupiny Lazarus najdete na stránkách odborného magazínu <a href="https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/" target="_blank">We Live Security​</a>. </p>​<br>0
Válka rok poté: Kyberútoky na Ukrajinu vystřídaly útoky na země NATO, ofenzivě čelí i Česká republikahttps://antivirus.cz/Blog/Stranky/valka-rok-pote-kyberutoky-na-ukrajinu-vystridaly-utoky-na-zeme-nato-ofenzive-celi-i-ceska-republika.aspxVálka rok poté: Kyberútoky na Ukrajinu vystřídaly útoky na země NATO, ofenzivě čelí i Česká republika<h3><ul><li> <span style="color:#6773b6;">Září 2022 přineslo zlom v kyberútočných strategiích, nově čelí vlně útoků země NATO. </span></li><li> <span style="color:#6773b6;">Srovnání březen–září 2022 vs. říjen 2022–únor 2023: </span></li><ul><li> <span style="color:#6773b6;">Pokles průměrného týdenního počtu útoků na jednu ukrajinskou organizaci o 44 %, z 1 555 útoků na 877. </span></li><li> <span style="color:#6773b6;">​Nárůst průměrného týdenního počtu útoků na jednu ruskou organizaci o 9 %, z 1 505 na 1 635. </span></li></ul><li> <span style="color:#6773b6;">České organizace v ohrožení. V průměru čelí jedna česká společnost 1810 kyberútokům týdně. </span><br></li></ul></h3> <br> <br> <p>Check Point Research analyzoval dopady rusko-ukrajinské války v kyberprostoru, od září 2022 sledujeme zásadní změnu útočných strategií. Postupně klesl počet kybernetických útoků na Ukrajinu (o 44 %), naopak sledujeme masivní kybernetické útoky na členské státy NATO, v některých případech se jedná až o 57% nárůst. </p><p>„Vidíme první velkou hybridní válku, která využívá kyberprostor jako jedno z bojišť. Válka přinesla vzestup hacktivismu a destruktivního malwaru a je stále složitější určit, jestli za některými kybernetickými aktivitami stojí národní státy, hacktivisté nebo kyberzločinci,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies </p><h2>Nasazení destruktivního malwaru </h2><p>Válka výrazně změnila také použití wiperů, které mají mazat data a celkově ničit a narušit provoz zasažených systémů. Dříve se wipery používaly jen ojediněle, v posledním roce ovšem vidíme velmi aktivní využití destruktivního malwaru. </p><p>Na začátku války došlo k dramatickému nárůstu kybernetických útoků, které proti Ukrajině vedli útočníci napojení na Rusko. V předvečer únorové invaze byly nasazeny tři wipery: HermeticWiper, HermeticWizard a HermeticRansom. K dalším útokům na ukrajinskou rozvodnou síť byla v dubnu 2022 použita nová verze nebezpečného malwaru Industroyer, který ochromil Ukrajinu už v roce 2016. Celkově bylo na Ukrajině za necelý rok použito nejméně devět různých wiperů. Řada z nich byla vyvinuta ruskými zpravodajskými službami a využívá pokročilé destruktivní a maskovací mechanismy. </p><p>Na Rusko napojená hacktivistická skupina From Russia With Love (FRwL) nasadila wiper Somnia proti ukrajinským cílům. CryWiper byl zase použit k útokům na ruské úřady a soudy. A těmito útoky se inspirovaly i další hackerské skupiny, které použily wipery i v dalších regionech. Skupiny napojené na Írán zaútočily na cíle v Albánii a po celém světě se šířil záhadný ransomware Azov, který byl ve skutečnosti destruktivním data wiperem. </p><h2>Kyberútoky nedílnou součástí války </h2><p>Check Point upozorňuje, že některé kyberútoky proti Ukrajině měly jen způsobit škody a narušit každodenní život a morálku civilního obyvatelstva. Jiné útoky byly naopak přesně cílené a měly pomoci dosáhnout taktických cílů a byly koordinovány s pozemním bojem. Útok na společnost Viasat, který začal několik hodin před pozemní invazí na Ukrajinu, měl za cíl narušit satelitní komunikaci a ochromit vojenské a civilní subjekty na Ukrajině. Útok využíval wiper AcidRain a ničil modemy a routery a odřízl přístup k internetu desítkám tisíc systémů. Další příklad takticky koordinovaného útoku je z 1. března 2022, kdy byla ruskými raketami zasažena kyjevská televizní věž a kyberútoky měly ještě zesílit dopady ofenzivy a znemožnit televizní vysílání. </p><p>„Tyto přesně cílené kyberútoky vyžadují pečlivou přípravu a plánování. Základem je získat přístup k cílovým sítím, což často vyžaduje i vytvoření speciálních nástrojů pro různé fáze útoku. Podobně jako u pozemní ofenzívy i v případě kybernetické války vše naznačuje, že se Rusové nepřipravovali na dlouhou kampaň. Od dubna 2022 jsme viděli změnu a odklon od přesných útoků s jasnými taktickými cíli, jako byl útok na Viasat. Nasazení nových nástrojů a wiperů, které bylo charakteristické pro počáteční fázi kampaně, bylo později nahrazeno rychlým využíváním aktuálních příležitostí s pomocí již známých útočných nástrojů a taktik, jako jsou CaddyWiper a FoxBlade. Cílem těchto útoků nebylo koordinovaně podpořit jiné operace, ale spíše způsobit fyzické i psychické škody ukrajinskému civilnímu obyvatelstvu,“ dodává Daniel Šafář. </p><p>Data kyberbezpečnostní společnosti Check Point Software Technologies ukazují, že ve třetím čtvrtletí 2022 začal na Ukrajině postupný, ale významný pokles útoků. Naopak došlo k výraznému nárůstu útoků proti členským státům NATO. Obrovskému riziku čelí i české organizace. V průměru mířilo na jednu českou společnost během února více než 1800 kyberútoků týdně, přitom celosvětový průměr je „jen“ okolo 1350 útoků týdně na jednu organizaci. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/kybervalka-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <span style="color:#6773b6;">Průměrný týdenní počet kyberútoků na jednu organizaci</span></em> </p><p>Reakce Ukrajiny na kybernetické útoky se výrazně zlepšila a šéf britské zpravodajské, kybernetické a bezpečnostní agentury ji dokonce označil za „nejúčinnější obrannou kybernetickou aktivitu v historii“. Důvodem úspěchu je částečně skutečnost, že Ukrajina byla od roku 2014 opakovaně vystavena kybernetickým útokům a zkušenosti využila k lepšímu zabezpečení. Například útok pomocí Industroyeru2 na energetický sektor v březnu 2022 nebyl vzhledem k jeho schopnostem a potenciálu tak ničivý jako v případě prvního útoku Industroyeru v roce 2016. Ukrajina také s pomocí zahraničních vlád a soukromých společností zvládla lépe odstraňovat škody způsobené těmito kybernetickými útoky a rychle převedla velkou část své IT infrastruktury do cloudu, aby byla datová centra co nejdále od bojových zón a získala další ochranné vrstvy od poskytovatelů služeb. </p><h2>Vzestup hacktivismu </h2><p>Ukrajina vytvořila „IT armádu“ z dobrovolných IT specialistů a své příznivce mobilizovalo také Rusko. Dříve byl hacktivismus doménou decentralizované skupiny Anonymous a jednalo se o volnou a nepravidelnou spolupráci jednotlivců. Nyní jsme viděli vznik profesionálních hacktivistických skupin s jasnou strukturou, které provádí víceméně vojenské operace. Skupiny dělají nábory, školí své členy, využívají moderní nástroje a stanovují jasně definované cíle a útočí například na infrastrukturu nebo finanční a vládní subjekty. </p><p>Check Point upozorňuje také na zajímavou změnu. Od září 2022 významně roste počet útoků na ruské vládní a vojenské organizace, naopak útoky na Ukrajině klesají. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/kybervalka-02.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <span style="color:#6773b6;">Průměrný týdenní počet kyberútoků na jednu vládní nebo vojenskou organizaci</span></em> </p><p>Většina nových hacktivistických skupin má jasnou a konzistentní politickou ideologii, která je spojena s vládními narativy. Proruští hacktivisté se nyní zaměřili na členské státy NATO a další spojence. Killnet provedl cílené DDoS útoky na kritickou infrastrukturu v USA, přičemž se zaměřil na zdravotnické organizace, nemocnice a letiště. Na Rusko napojená hackerská skupina NoName057(16) zase vytrvale útočila během českých prezidentských voleb. Některé kyberzločinecké skupiny byly nuceny připojit se k celostátnímu úsilí a musely omezit svou vlastní trestnou činnost. Zároveň vidíme kyberútoky na ruské podniky, které byly dříve považovány za nedotknutelné. Rusko se tak potýká s bezprecedentní vlnou hackerských útoků. Zajímavé je, že hranice mezi aktivitami národních států, hacktivistů a kyberzločinců se postupně stírají. </p><p>Různé národní skupiny využily také válku pro své vlastní zájmy. Check Point například odhalil několik kampaní různých APT skupin, které využívaly válečná témata k nejrůznějším útokům. V rámci operace Twisted Panda byly například špehovány státní ruské obranné instituce čínskými hackery a hackerská skupina Cloud Atlas se zaměřoval na ruské a běloruské subjekty a k útokům používala různé válečné dokumenty. </p><p>Válka se zásadním způsobem promítá i do kybernetického světa a pokud bude pokračovat, nepochybně uvidíme i další související kybernetické útoky a hrozby. </p> <br>0
Hrozby pro Android: leden 2023https://antivirus.cz/Blog/Stranky/hrozby-pro-android-leden-2023.aspxHrozby pro Android: leden 2023<h3><span style="color:#6773b6;">Rizikovou skupinou jsou fanoušci populárních her, škodlivý kód se šíří i přes herní mody. Agresivní reklama na sebe brala v lednu nejčastěji podobu hry Tower Conquest, škodlivý kód se objevil také v modifikacích pro hry Zombie War Idle Defense a Archero.</span> </h3> <br><strong> </strong><p><strong>Mezi škodlivými kódy na platformě Android v Česku stále dominuje adware. Jeho hlavním zdrojem nadále zůstávají různé verze her, na které mohou uživatelé narazit mimo oficiální obchod Google Play. V lednu bezpečnostní specialisté objevili i několik modifikací pro hry, které při podrobnější analýze také šířily škodlivé kódy. S ohledem na skutečnost, že herní modifikace či zkráceně mody mohou být legitimními aplikacemi, které slouží k různým herním vylepšením, doporučují, aby uživatelé nepodceňovali zabezpečení svých chytrých telefonů spolehlivým bezpečnostním programem, který riziko včas rozpozná. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.</strong> </p><p>Ani v lednu nechyběl v pravidelné statistice hrozeb pro platformu Android v Česku adware Andreed. I přes pokles v počtu detekcí zůstává nejčastějším škodlivým kódem pro tento operační systém. Celosvětově se jedná o agresivní reklamu, která si drží konstantní počet detekcí. </p><p>„Adware Andreed detekujeme na předních místech naší statistiky od loňského dubna. Již od samého začátku se drží tato agresivní škodlivá reklama stejné, a pravděpodobně tedy stále fungující strategie – šíří se prostřednictvím různých verzí známých her a nejčastěji na ni narazíme v jednom obchodě třetí strany, tedy mimo oficiální obchod Google Play. Typicky se může jednat o situaci, kdy hru, kterou chceme stáhnout, vyhledáváme přes vyhledávač, a ne přímo na oficiálních distribučních místech,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Zatímco na přelomu roku byla nejčastěji detekovanou hrou, která adware Andreed obsahovala, verze hry Bridge Constructor, v lednu se adware nejčastěji objevil ve verzi hry Tower Conquest. Bezpečnostní specialisté navíc varují, že útočníci mohou prostřednictvím mobilních her cílit na všechny věkové kategorie uživatelů, tedy i na ty nejmladší uživatele z řad dětí. </p><h2>Zdrojem škodlivých kódů jsou hry i jejich vylepšení </h2><p>Na rozdíl od minulých měsíců v lednu klesly detekce trojského koně Hiddad, který se nejvíce šíří přes hry napodobující velmi populární hru Minecraft. Bezpečnostní experti nicméně zaznamenali zvýšenou aktivitu v případě dropperu Agent.KMZ. </p><p>„Dropper Agent.KMZ má v současnosti podobu nahrávače modifikací, zkráceně modů do aplikací, nejčastěji jsme ho v lednu objevili jako modifikaci pro hru Zombie War Idle Defense nebo modifikaci pro známou hru Archero. To samo o sobě nemusí být nebezpečné a škodlivé, i když je samozřejmě otázka, nakolik je využívání takových nástrojů, které jsou většinou zpoplatněné a hru nějakým způsobem vylepšují, při hraní etické. Takový typ aplikace detekujeme jako PUA – potenciálně nechtěnou aplikaci,“ vysvětluje Jirkal a dodává: „Z podrobnější analýzy jsme poté zjistili, že tato aktuální kampaň opravdu v některých případech distribuovala škodlivý kód – s jistotou jsme odhalili, že se jejím prostřednictvím určitě šířil adware a nemůžeme vyloučit ani jiný, závažnější malware.“ </p><h2>Škodlivý kód se nevydává jen za hry, ale i za další aplikace </h2><p>Již několikátý měsíc po sobě se v českém prostředí objevuje také dropper Agent.KEQ. Droppery jsou obecně typem škodlivého kódu, který útočníci využívají k šíření dalšího malwaru, a právě v případě platformy Android se objevují pravidelně a ve větším množství. Hlavní funkcí dropperu je další škodlivý kód v sobě skrýt jako v obálce a nepozorovaně ho „doručit“ do chytrých telefonů nebo tabletů. </p><p>„Agent KEQ se nejčastěji objevuje na veřejných internetových úložištích jako soubor Your File Is Ready To Download.apk a uživatelé na něj narazí při stahování obsahu, který na těchto úložištích hledají. Toto chování pozorujeme v Česku od začátku nárůstu jeho detekcí a jeho posunu na přední místa naší statistiky. V lednu se nicméně šířil i ve verzi aplikace Chrome. I přestože neútočí v nijak výrazných kampaních, zvýšenou aktivitu jsme u něj pozorovali 13. a 24. ledna,“ říká Jirkal. </p><p>Pro ochranu před droppery, adwarem a dalším malwarem na platformě Android doporučují specialisté využívat kvalitní bezpečnostní software. Sami uživatelé ale mohou snížit riziko také svým chováním. </p><p>„Vzhledem k tomu, že malware se může ukrývat i v aplikacích, které na první pohled nemusí vypadat nebezpečně, bych uživatelům doporučil používat i v případě chytrých telefonů spolehlivý antivirový software. V telefonech již uchováváme celou řadu citlivých osobních dat, využíváme je k placení, při práci a pro přístup do celé řady služeb, a je proto na místě jejich ochraně věnovat zvýšenou pozornost. Uživatelům bych dále doporučoval, aby se vyhýbali stahování aplikací mimo oficiální obchody. I když bude nějaká populární hra nebo nějaký nástroj nabízený jinde zcela zdarma nebo za výhodných podmínek, riziko, které uživatelé v důsledku takového stažení podstupují, se jim prostě nevyplatí,“ dodává Jirkal z ESETu. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za leden 2023: </h2><p> 1. Android/Andreed trojan (19,55 %) <br> 2. Android/TrojanDropper.Agent.KEQ trojan (13,64 %)<br> 3. Android/TrojanDropper.Agent.KMZ trojan (7,61 %)<br> 4. Android/Hiddad.AYF trojan (7,27 %)<br> 5. Android/TrojanDropper.Agent.GKW trojan (2,67 %)<br> 6. Android/TrojanDropper.Agent.JDU trojan (2,61 %)<br> 7. Android/TrojanDropper.Agent.IVJ trojan (2,56 %)<br> 8. Android/TrojanDropper.Agent.JGZ trojan (2,33 %)<br> 9. Android/Triada trojan (2,10 %)<br> 10. Android/TrojanDropper.Agent.JFX trojan (1,93 %)<br> </p><br>0
Hrozby pro Windows: leden 2023https://antivirus.cz/Blog/Stranky/hrozby-pro-windows-leden-2023.aspxHrozby pro Windows: leden 2023<h3><span style="color:#6773b6;">Spyware od začátku roku opět posílil, útočníci budou investovat do vylepšení svých strategií. Bezpečnostní experti očekávají, že v nadcházejícím období poroste počet útoků infostealery na české uživatele. Útočníci mohou investovat do lepších překladů do češtiny.</span> </h3> <br> <p><strong>I přes pokles v počtu detekcí na přelomu roku zůstává spyware Agent Tesla stabilním rizikem pro uživatele operačního systému Windows v České republice. Jak spyware Agent Tesla, tak spyware Formbook, další ze stabilně přítomných škodlivých kódů, se v lednu šířily prostřednictvím anglicky pojmenovaných příloh, útočné kampaně s využitím češtiny byly naopak doménou password stealeru Fareit. Infostealery, mezi které se spyware a password stealer řadí, zůstávají hlavní hrozbou pro uživatele v Česku a bezpečnostní specialisté budou v následujícím období sledovat především vývoj strategií těchto útoků. Nevylučují, že se útočníci zaměří na zlepšení překladů do češtiny. Vyplývá to z pravidelné statistiky hrozeb od společnosti ESET.</strong> </p><p>Spyware Agent Tesla v lednu posílil o několik procent. Zatímco v prosinci ho bezpečnostní specialisté detekovali ve zhruba desetině všech případů, v lednu už celkový počet detekcí vzrostl na 15,14 % všech detekovaných hrozeb pro operační systém Windows v Česku. </p><p>„Současný stav poklesu detekcí na začátku roku již pozorujeme druhým rokem. Jedná se o standardní vývoj a rozhodně to neznamená, že by infostealery v Česku, mezi které právě spadá spyware nebo password stealery, přestaly být rizikem,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce ESET. </p><p>Spyware je typ malwaru, který se zaměřuje na krádež osobních údajů. V současnosti je považován bezpečnostními experty za jednu z nejrozšířenějších kybernetických hrozeb. Spyware se nejčastěji šíří prostřednictvím e-mailového spamu, kterým se útočníci snaží přimět uživatele ke spuštění infikovaných souborů v příloze. Dlouhodobě se vyskytuje také v České republice s jasným záměrem útočníků proniknout k údajům českých uživatelů. </p><p>„V Česku můžeme pozorovat střídající se kampaně, které jsou buď vedené globálně, v angličtině, nebo se snaží lokálně přizpůsobit zdejším uživatelům využitím českých překladů, které ale zpravidla nebývají správné a mohou uživatele upozornit na to, že něco není v pořádku,“ říká Jirkal. „Spyware Agent Tesla se v lednu nejčastěji šířil v příloze s názvem PAYMENT SLIP_002_JPEG.exe a nejvíce aktivní byl ve dnech 12. a 30. ledna,“ dodává. </p><h2>Čeština jako ukazatel bezpečnosti </h2><p>Druhým nejčastějším škodlivým kódem, který spyware Agent Tesla již více než rok v útočných kampaní v Česku doprovází, zůstává spyware Formbook. Útočil především od 23. ledna a nejčastěji se objevoval v příloze s názvem RFQ-HKSCAN.exe. V jednotkách procent ani v lednu nechyběl password stealer Fareit, který je i přes malý počet detekcí v Česku stabilní. V jeho případě se objevily útoky v češtině. </p><p>„Útočníci využívají v případě infostealerů manipulativní komunikaci a snaží se uživatele přesvědčit, že příloha v e mailu obsahuje nějaké důležité informace. Zatímco Agent Tesla i Formbook se tentokrát šířily v anglicky psaných e-mailech s anglicky pojmenovanými přílohami, Fareit se objevoval v přílohách s názvy Objednávka TR04_ B004-V021_Patrem S.R.O.exe, Unicredit_SVX5700736_Elektronická platební.exe či Objednávek(P.O_R6790074)_INTERCOM_Bohemia.exe. Pokud se na přílohy podíváte, můžete pozorovat jasně viditelné chyby vzniklé nesprávným překladem. Uživatelé ale mohou ve spěchu a v nepozornosti přílohy otevřít v domnění, že se jedná o skutečný doklad k objednávce nebo o fakturu,“ říká Jirkal. </p><p>Čeština je podle bezpečnostních specialistů stále jedním z důvěryhodných ukazatelů, že komunikace, a to nejen v e-mailu, ale také v chatovacích aplikacích nebo v SMS, není v pořádku a může se jednat o snahu získat přístup k našim údajům. Podle nich je to ale oblast, na kterou se mohou útočníci v budoucnu zaměřit. </p><p>„Malware se stále vyvíjí a stejně tak se vyvíjejí strategie útoků. Počítáme s tím, že útočníci mohou v budoucnu investovat také do věrohodnějších jazykových překladů. V posledních týdnech se také zvedla diskuze o generování spamu za pomoci algoritmů umělé inteligence, tam ale spíše můžeme počítat s tím, že v následujících letech převáží především angličtina a do češtiny zůstane text překládán spíše strojově,“ doplňuje Jirkal. </p><h2>Nejčastějším cílem infostealerů jsou hesla </h2><p>Útočníci využívají infostealery především k odcizení našich přihlašovacích údajů k různým online službám, přičemž těmi nejvíce poptávanými jsou přístupové údaje k našim bankovním účtům. Bezpečnostní specialisté proto opakovaně upozorňují na to, abychom věnovali pozornost celkové bezpečnosti hesel, a to jak na samém začátku v jejich vytváření, tak při jejich správě. </p><p>„Silné a spolehlivé heslo by mělo mít nejméně 10 znaků a mělo by být složené z malých a velkých písmen a číslic, popřípadě i speciálních znaků, pokud to daná služba při tvorbě hesla umožňuje. Pro lepší zapamatování mohou uživatelé využít i heslovou frázi, která mívá podobu dohromady spojené věty či slov, jejichž význam dává uživateli smysl. Heslo si nikam nezapisujte a k jeho uchování a správě využijte ideálně správce hesel,“ radí Jirkal z ESETu. </p><p>Správce hesel je specializovaný program, který si mohou uživatelé pořídit samostatně nebo jako součást <a href="https://www.aec.cz/cz/av">bezpečnostního softwaru​</a>. Uložená hesla uchovává v zašifrované podobě a vyplňuje je při přihlašování do dané online služby. Uživatel si pak musí pamatovat jen jedno heslo, a to pro přístup do tohoto programu. </p><h2>Nejčastější kybernetické hrozby pro operační systém Windows v České republice za leden 2023: </h2><p>1. MSIL/Spy.AgentTesla trojan (15,14 %) <br> 2. Win32/Formbook trojan (9,61 %) <br> 3. Win32/PSW.Fareit trojan (1,96 %) <br> 4. MSIL/Spy.Agent.AES trojan (1,95 %) <br> 5. Win32/Shafmia trojan (1,43 %) <br> 6. BAT/Runner trojan (1,22 %) <br> 7. MSIL/Disdroth trojan (1,17 %) <br> 8. MSIL/Spy.RedLine trojan (1,15 %) <br> 9. Win32/Warzone trojan (1,01 %) <br> 10. Win32/Spy.VB.OLN trojan (0,92 %) <br> </p><br>0
Hrozby pro macOS: leden 2023https://antivirus.cz/Blog/Stranky/hrozby-pro-macos-leden-2023.aspxHrozby pro macOS: leden 2023<h3><span style="color:#6773b6;">Nejčastějším škodlivým kódem pro platformu macOS byl v lednu adware Pirrit, škodlivá reklama ale opět zneužívala také legitimní online nástroje a sledovala aktivity uživatelů. </span><br></h3> <br> <p><b>Adware i nadále zůstává nejčastěji detekovaným škodlivým kódem pro platformu macOS v České republice. V lednu jeho detekce tvořily 40 % všech případů škodlivých kódů pro tento operační systém. Bezpečnostní specialisté z ESETu dále detekovali kromě adwaru Pirrit opět také adware MacSearch, který sleduje aktivity uživatelů při prohlížení internetového obsahu, a adware MaxOfferDeal, který ke svému šíření zneužívá optimalizaci pro vyhledávače (Search Engine Optimization, SEO). Uživatelům doporučují, aby byli opatrní při stahování aplikací a her a věnovali pozornost ochraně svých údajů. Vyplývá to z pravidelné statistiky kybernetických hrozeb společnosti ESET. </b><br></p><p>V čele statistiky škodlivých kódů pro platformu macOS v Česku se v lednu objevily rodiny adwaru, na které mohli čeští uživatelé narážet v průběhu celého minulého roku. Podíl detekovaného adwaru na této platformě je aktuálně 40 % všech hrozeb, které bezpečnostní specialisté ve svých statistikách sledují. </p><p>„První letošní čísla v naší statistice opět potvrdila, že adware zůstává na platformě macOS nejčastější strategií, s jejíž pomocí se útočníci pokoušejí dostat k uživatelům a jejich datům. Je to díky tomu, že není tolik nebezpečný jako například trojské koně, a uživatelé mu tudíž nevěnují takovou pozornost – nevidí například nic závažného na agresivní a obtěžující reklamě kromě toho, že jim taková reklama překáží, a nepokládají ochranu před adwarem za důležitou. Tím se samozřejmě stává ideálním k útokům,“ vysvětluje Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. </p><p>Nejčastěji detekovaný adware Pirrit se v zařízení projevuje například vyskakujícími reklamními okny nebo tím, že vkládá odkazy do webového obsahu či zvýrazňuje při prohlížení webových stránek některá slova. V nejhorším možném scénáři pak může vést ke stažení škodlivého kódu, který je již přímým rizikem pro osobní data uživatelů. Malware přitom není v případě adwaru jediným rizikem pro naše údaje. Sám adware může například sledovat naše chování na internetu. </p><h2>Adware se často vydává za doplněk do prohlížeče </h2><p>Bezpečnostní specialisté, kteří sledují chování adwaru v Česku dlouhodobě, upozorňují, že adware nás v okamžiku, kdy ho stáhneme do našeho zařízení, může začít špehovat a získaná data využívat k lepšímu zacílení další reklamy nebo k přípravě dalších kybernetických útoků. </p><p>„Vedle adwaru Pirrit se v lednu objevily reklamní škodlivé kódy, které jsou rizikem hlavně kvůli tomu, že zneužívají legitimní online nástroje. Adware MaxOfferDeal ke svému šíření využívá optimalizaci pro vyhledávače, SEO, a díky tomu dokáže uživateli nabídnout výsledky vyhledávání s nabídkami aplikací nebo programů, které využívá ke své distribuci. Adware MacSearch se zase šíří v podobě rozšíření internetového prohlížeče Safari, Firefox nebo Chrome a sleduje chování uživatele na internetu – zpravidla to, jaké stránky navštěvuje, jak dlouho na nich tráví čas nebo jaké zboží nakupuje online,“ říká Kropáč a dodává: „Adware se nejčastěji dostane do zařízení tak, že ho uživatelé sami stáhnou. Například hledají hry nebo aplikace mimo oficiální obchody, ve kterých jsou placené nebo již nedostupné. A jakmile si adware stáhnou, ten následně pokračuje v akci – může uživatelům nabízet při vyhledávání podvržené výsledky vyhledávání, zacílit na ně další sponzorovanou reklamou, stahovat další doplňky do prohlížečů, další adware atd. Zůstává přitom v zařízení dlouho skrytý, vše provádí nenápadně a odhalit ho není úplně snadné. Tím je srovnatelným rizikem s jinými škodlivými kódy.“ </p><h2>Útočníci čím dál častěji pracují s naší psychikou </h2><p>Útoky využívající manipulativní komunikaci a nátlak jsou řazeny mezi tzv. techniky sociálního inženýrství, kam spadá například i phishing, podvodné volání (vishing) nebo smishing (SMS phishing). Jejich popularita mezi útočníky stále roste a vyrovnávají se již pomalu útokům malwarem. </p><p>„Adware se šíří spolu s neoficiálními verzemi známých her nebo prémiových aplikací a jejich výrobci je nabízejí v obchodech třetích stran zdarma nebo ve výhodných balících. Využívají nástroje online marketingu a snaží se uživatele přimět kliknout na nějakou zajímavou nabídku. Často sází na témata, která zrovna ve společnosti rezonují, například v souvislosti s dlouho očekávanou premiérou nějakého seriálu nebo celospolečenským děním, či cílí na uživatele především během prázdnin a svátků, protože správně předpokládají, že budou více online a nebudou třeba tolik ve střehu,“ říká Kropáč. </p><p>„Uživatelé by měli aplikace stahovat pouze z oficiálních obchodů, a to platí hlavně v případě online her, u kterých bych určitě investoval do verzí dostupných v oficiálním obchodě či na oficiálních stránkách vývojářů, ta investice se zkrátka v kontextu rizika vyplatí. Je také důležité, aby obezřetně přistupovali k informacím na internetu, především k těm senzačním nebo katastrofickým, které mají zapůsobit na naše lidské emoce a přinutit nás k nějaké unáhlené akci. A v neposlední řadě používat bezpečnostní řešení, které je bude chránit v okamžiku, kdy přeci jen na nějaký nebezpečný odkaz kliknou,“ shrnuje Kropáč z ESETu. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu macOS za leden 2023: </h2><p>1. OSX/Adware.Pirrit (21,28 %)<br> 2. OSX/Adware.MacSearch (6,38 %) <br> 3. OSX/Adware.MaxOfferDeal (6,38 %) <br> 4. OSX/Adware.Bundlore (3,19 %) <br> 5. OSX/TrojanDownloader.Agent (2,13 %) </p>​<br>0
Kyberpodvodníci se nejčastěji vydávají za Českou poštu nebo ministerstvohttps://antivirus.cz/Blog/Stranky/kyberpodvodnici-se-nejcasteji-vydavaji-za-ceskou-postu-nebo-ministerstvo.aspxKyberpodvodníci se nejčastěji vydávají za Českou poštu nebo ministerstvo<p>Check Point Research zveřejnil zprávu „Brand Phishing Report“ zaměřenou na phishingové útoky ve 4. čtvrtletí 2022. Z reportu vyplývá, jaké značky kyberzločinci nejčastěji napodobovali při pokusech o krádeže osobních dat nebo platebních údajů. <br></p><p>Nejčastěji napodobovanou značkou při phishingových útocích byla ve 4. čtvrtletí 2022 společnost Yahoo (20 % všech phishingových podvodů napodobujících známé značky), která v žebříčku poskočila o 23 míst. Na druhé místo se posunulo DHL (16 %) a na třetí klesl Microsoft (11 %). </p><p>Check Point zjistil, že kyberzločinci rozesílají e-maily, které informují o zisku ocenění nebo o peněžní výhře. Jako odesílatel jsou uvedeny společnosti Awards Promotion nebo Award Center a zpráva informuje o výhře v řádu stovek tisíc dolarů v soutěži organizované společností Yahoo. Příjemce je požádán o zaslání osobních údajů a bankovních informací, aby bylo možné převést výhru. E-mail obsahuje také varování, že výherce nesmí o výhře informovat další osoby, jinak bude mít právní problémy. </p><p>„Celkově jsou nejčastěji napodobované zprávy a stránky technologických společností, následují přepravní společnosti a sociální sítě,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Vidíme také, že hackeři zkouší nalákat oběti na různá ocenění a finanční odměny. Pokud zní něco až příliš dobře, než aby to byla pravda, pak to také s největší pravděpodobností bude opravdu podvod. Nikdy proto neklikejte na podezřelé odkazy nebo přílohy a vždy zkontrolujte adresu stránky, na kterou se chystáte vstoupit.“ </p><p>Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a jejich designu. Chtějí využít důvěry a lidské emoce, jako je strach z promeškání slevy. Pocit naléhavosti může způsobit, že uživatelé na něco kliknou, aniž by si předtím ověřili, zda e-mail skutečně pochází od dané značky. Může tak dojít ke stažení malware nebo krádeži cenných osobních údajů. </p><h2>Nejčastěji napodobované značky ve phishingových podvodech za 4. čtvrtletí 2022 </h2><p>1. Yahoo (20 % všech phishingových podvodů napodobujících známé značky) <br> 2. DHL (16 %)<br> 3. Microsoft (11 %)<br> 4. Google (5,8 %)<br> 5. LinkedIn (5,7 %) <br> 6. WeTransfer (5,3 %) <br> 7. Netflix (4,4 %)<br> 8. FedEx (2,5 %)<br> 9. HSBC (2,3 %)<br> 10. WhatsApp (2,2 %) </p><p>Kyberzločinci zneužívají ve phishingových podvodech i známé české značky, takže uživatelé musí být velmi opatrní. Stále častěji vidíme, že podvodné zprávy nepřichází jen e-mailem, ale i přes sociální sítě nebo v SMS. Rozesílané byly například SMS zprávy, které se vydávaly za zprávu od ministerstva a vyzývaly k návštěvě stránky https://xmpsv[.]online, kde měl uživatel získat příspěvek na bydlení. Odkaz i samotné stránky zkoušely zmást uživatele a napodobovat styl Ministerstva práce a sociálních věcí. Na podvodném webu byla dokonce informace, že uživatel obdržel informační SMS zprávu, aby se zvýšila důvěryhodnost podvodných stránek. Cílem bylo vylákat přihlašovací údaje do citlivých systémů. Následky podobných triků mohou být velmi bolestivé. Při přihlašování do datové schránky nebo při používání identity občana je potřeba být mimořádně obezřetný. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/phishing-2022-q4-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Kyberpodvodníci zkouší napodobovat také Českou poštu. Podvodné e-maily obsahují předmět „Váš balíček jsme nemohli doručit“ a po kliknutí je uživatel přesměrován na podvodnou stránku https://online[.]ceskakrypt[.]repl[.]co/, kde je nutné zadat adresu a zaplatit malý poplatek, který nepůsobí tak podezřele a zvyšuje šanci na zaplacení a poskytnutí potřebných informací. S těmi lze dále obchodovat na darknetu a využít je k dalším útokům. </p><p style="text-align:center;">​<img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/phishing-2022-q4-02.png" data-themekey="#" alt="" style="margin:5px;width:528px;" /><br><br></p><p>Check Point upozorňuje i na nebezpečné e-maily, které jsou rozesílané z adresy badge@mail-ig[.]com. Zpráva láká na udělení modrého odznáčku s ověřením identity na Instagramu. Účet uživatele byl prý přezkoumán Facebookem, vlastníkem značky Instagram, a uživatel si odznáček zaslouží. Jakmile ale oběť klikne na odkaz, dostane se na podvodnou stránku, která zkouší vylákat přihlašovací údaje. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/phishing-2022-q4-03.png" data-themekey="#" alt="" style="margin:5px;width:402px;" /> <br>Nebezpečný e-mail lákající na udělení modrého odznáčku na Instagramu </em></p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/phishing-2022-q4-04.png" data-themekey="#" alt="" style="margin:5px;width:390px;" /> <br>Podvodná přihlašovací stránka https://www[.]verifiedbadgecenters[.]xyz/contact/</em> </p><p>V dalším phishingovém e-mailu se podvodníci pokoušeli ukrást informace o účtu u společnosti Microsoft. E-mail byl odeslán z adresy teamsalert_Y3NkIGpoY2pjc3dzandpM3l1ODMzM3Nuc2tlY25taXc@gmx[.]com[.]my pod falešným jménem Teams. Zpráva měla předmět „Byli jste přidáni do nového týmu“ a útočníci se snažili nalákat oběť ke kliknutí na škodlivý odkaz pod záminkou přidání do nového týmu v Microsoft Teams. Adresa ale vedla na podvodnou webovou stránku https://u31315517[.]ct[.]sendgrid[.]net/ls/click. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/phishing-2022-q4-05.png" data-themekey="#" alt="" style="margin:5px;width:584px;" /> <br>Škodlivý e-mail, který obsahoval předmět „Byli jste přidáni do nového týmu“</em> </p><h2>Jak se před phishingem chránit? Podívejte se na několik základních bezpečnostních tipů: </h2><p> <b>1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. </b>Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám. </p><p> <b>2. Pozor na e-maily s žádostí o resetování hesla.</b> Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům. </p><p> <b>3. Nenechte se zmanipulovat. </b>Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu. </p><p> <b>4. Všímejte si detailů. </b>Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se třeba o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám. </p><p> <b>5. Obecně platí, že nikdy nesdílejte více, než je nezbytně nutné. </b>Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám. </p><p> <b>6. Smažte podezřelé zprávy. </b>Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy. </p><p> <b>7. Neklikejte na přílohy. </b>Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF, ale samozřejmě ani přílohy typu EXE, MSI nebo BAT. </p><p> <b>8. Ověřte odesílatele. </b>U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele. </p><p> <b>9. Neodkládejte aktualizace. </b>V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím. </p><p> <b>10. Nikdy nevěřte příliš dobrým nabídkám</b>, jako „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zpráv a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce. </p><p> <b>11. Chraňte se před phishingovými útoky. </b>Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i <a href="https://www.aec.cz/cz/av">bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení</a>. </p>​<br>0
Ransomwarové útoky ochromily několik zemí, ohrožené jsou i další státyhttps://antivirus.cz/Blog/Stranky/ransomwarove-utoky-ochromily-nekolik-zemi-ohrozene-jsou-i-dalsi-staty.aspxRansomwarové útoky ochromily několik zemí, ohrožené jsou i další státy<p>„Zaznamenali jsme velmi závažné kyberútoky zejména na francouzskou a italskou infrastrukturu. Kyberzločinci přišli s novou, podstatně ničivější taktikou, která jde daleko za hranici běžných útoků na soukromé organizace. Podobné ransomwarové útoky mohou mít dopad na všechny občany a způsobit problémy na státní, ale i globální úrovni. </p><p>Ransomware je stále větší hrozbou a od září minulého roku sledujeme neustálý nárůst těchto útoků. V roce 2023 se riziko ještě stupňuje, takže je zásadní, aby jednotlivci, organizace i celé státy používali odpovídající preventivní bezpečnostní opatření a společně dokázali čelit této agresivní hrozbě,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p>„Masivní kyberútoky na ESXi servery jsou jedním z nejrozsáhlejších útoků na stroje s jiným operačním systémem než Windows. Situace je ale mnohem vážnější, protože donedávna se ransomware omezoval primárně na počítače se systémem Windows. Kyberzločinci si však uvědomili, jak jsou linuxové servery pro organizace a instituce klíčové, proto investovali značné úsilí do vývoje nových kybernetických zbraní a vylepšení ransomwaru. </p><p>Podle našich informací se ransomwarový útok neomezoval pouze na francouzskou a italskou IT infrastrukturu, ale útoky měly dopad i na Kanadu, USA a další země. Kyberzločinci využili zranitelnost CVE-2021-21974, která byla nahlášena již v únoru 2021. Útoky mohou mít ještě ničivější dopad, protože na napadených serverech obvykle běží další virtuální servery. Škody jsou tedy pravděpodobně větší, než si vůbec dokážeme představit.“ </p>​<br>0
Ruští hackeři využívají umělou inteligenci k vývoji hrozebhttps://antivirus.cz/Blog/Stranky/rusti-hackeri-vyuzivaji-umelou-inteligenci-k-vyvoji-hrozeb.aspxRuští hackeři využívají umělou inteligenci k vývoji hrozeb<p> <b>Check Point Research již dříve varoval, že kyberzločinci začínají používat ChatGPT k vytváření malwaru, šifrovacích nástrojů a skriptů pro obchod s nelegálním zbožím. Na dark webu jsou stále častěji diskuze o možnostech využití umělé inteligenci k útokům a vývoji malwaru, a to i v zemích, které nejsou podporovány OpenAI. Ruští kyberzločinci zkouší obejít restrikce, takže lze očekávat, že bez ohledu na tato omezení budou ChatGPT brzy zneužívat hackeři po celém světě k zefektivnění svých útoků. </b><br></p><p>Podle kyberzločinců je v nepodporovaných zemích, jako je Rusko, přístup k ChatGPT omezen třemi hlavními parametry: <br> 1. IP adresou<br> 2. Telefonním číslem<br> 3. Platební kartou (u aktualizované verze ChatGPT s přístupem k API musí uživatelé platit platební kartou) </p><p>Ovšem obejít tato opatření není nijak složité. A ruští hackeři již aktivně diskutují a testují, jak ChatGPT využít. </p><p>Všechny níže uvedené screenshoty byly původně v ruštině. </p><p>Check Point objevil mimo jiné prosbu ruského kyberzločince, který žádal o radu ohledně přístupu k API OpenAI. Uvedl, že má potíže s nákupem přístupu pomocí ruské platební karty a požádal o pomoc s použitím ukradené platební karty. </p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-01.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p>Na ruském undergroundovém fóru se objevilo vlákno, jak použít ChatGPT k psaní malwaru a jak obejít geografické kontroly OpenAI. Kyberzločinci také zmiňovali, že různé online SMS služby mohou umožnit obejít ověření telefonu za 6 rublů (asi 2 Kč). </p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-02.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-03.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p>Check Point našel také několik návodů v ruštině o pololegálních službách pro zasílání SMS zpráv, včetně postupu, jak je použít k registraci na ChatGPT. Ty umožňují přijímat SMS zprávy na telefonní číslo v požadované zemi a obvykle se používají právě k obcházení pravidel pro registraci do různých online služeb. </p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-04.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-05.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p style="text-align:center;">​<img src="/Blog/PublishingImages/Clanky/2023/ChatGPT-rus-06.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p>„Pomocí AI technologií bychom mohli výrazně zlepšit náš život. Zlepšit bezpečnost dopravy, zefektivnit medicínu a podobně. A velký potenciál je i v oblasti kybernetické bezpečnosti, kde umělá inteligence může zrychlit vývoj nových ochranných nástrojů a pomoci s odhalováním hrozeb. Ovšem jako u každé nové technologie i zde hrozí zneužití,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies. „ChatGPT je nyní mimořádně populární. Mnoho lidí zkouší pomocí AI psát básně nebo vytvářet recepty, ovšem motivace řady lidí je mnohem temnější. ChatGPT je totiž možné jednoduše použít k vytváření škodlivých e-mailů a kódů. Velmi rychle jsme objevili konkrétní případy, kdy se kyberzločinci, včetně úplných začátečníků, snaží použít umělou inteligenci k útokům. Je to obrovské riziko, kterému budeme v roce 2023 čelit.“ </p>​<br>0
Ruští hackeři se chlubí dalšími kyberútoky na české prezidentské volbyhttps://antivirus.cz/Blog/Stranky/rusti-hackeri-se-chlubi-dalsimi-kyberutoky-na-ceske-prezidentske-volby.aspxRuští hackeři se chlubí dalšími kyberútoky na české prezidentské volby<p> <strong>Check Point Research upozorňuje, že ruští hackeři, v čele s hacktivistickou skupinou NoName057(16), která byla založena v březnu 2022 po začátku válečného konfliktu, znovu stupňují kyberútoky na stránky související s českými prezidentskými volbami. ​</strong><br></p><p>Útočníkům se dnes znovu podařilo shodit například stránky generála Petra Pavla, stránky Hlídač státu nebo stránky ministerstva zahraničí. </p><p style="text-align:center;"> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/prezidentske-volby-2023-2-kolo-noname057-03.png" data-themekey="#" alt="" style="margin:5px;width:428px;" /> <br> <br> </p><p>„Podobné kyberútoky jsme viděli už během prvního kola prezidentských voleb. Varovali jsme, že další vlna bude následovat, protože kyberzločinci si takovouto příležitost nenechají utéct. Ruští hackeři znovu používají především demonstrativní DDoS útoky, které dočasně vyřadí webové stránky z provozu. Není proto důvod k nějaké zásadní panice nebo obavám z ovlivnění výsledků voleb, takové útoky bychom mohli přirovnat například k protestnímu pochodu před budovou ministerstva, který dočasně zhorší přístup do budovy. Ale je potřeba se zároveň připravit i na sofistikovanější hrozby. Můžeme očekávat, že kyberzločinci ještě neřekli poslední slovo a s útoky budou pokračovat. Mohou se také během víkendu zaměřit na weby informující o výsledcích voleb. Síla a úspěch útoků souvisí i s finančními odměnami ve výši 6 500 až 25 000 Kč, které nejaktivnějším hackerům rozdává právě proruská skupina NoName057(16). Kromě vládních a kandidátských webů se kyberzločinci zaměřují i na další významné české společnosti,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/prezidentske-volby-2023-2-kolo-noname057-01.png" data-themekey="#" alt="" style="margin:5px;width:419px;" /> <br> <br> </p> <br>0
Špionážní kampaň skupiny StrongPity cílí přes Telegram na uživatele Androiduhttps://antivirus.cz/Blog/Stranky/spionazni-kampan-skupiny-strongpity-cili-pres-telegram-na-uzivatele-androidu.aspxŠpionážní kampaň skupiny StrongPity cílí přes Telegram na uživatele Androidu<p> <strong>Analytici ze společnosti ESET objevili novou kampaň skupiny StrongPity, kterou skupina distribuuje pomocí plně funkční, ale trojanizované aplikace Telegram. Poprvé se tak podařilo popsat moduly využité při útoku a jejich funkčnost veřejně zdokumentovat. Backdoor, kterým skupina útočí, funguje modulárně a má řadu špionážních funkcí. Pokud oběť udělí škodlivé aplikaci přístup k oznámením a službám přístupnosti, malware je schopen také exfiltrovat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření trojanizované aplikace pak skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé. V Česku tato útočná kampaň není aktuálně detekována, ale bezpečnostní experti společnosti ESET situaci monitorují. </strong><br></p><p>Podle dostupných dat analytiků ze společnosti ESET využívá APT skupina StrongPity plně funkční trojanizovanou verzi legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, kterou lze stáhnout z falešné stránky napodobující web Shagle, a to navzdory tomu, že žádná oficiální verze této aplikace neexistuje. APT neboli Advanced Persistent Threat je označení pro skupiny různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů, nejčastěji za účelem kyberšpionáže. </p><p>Backdoor (tzv. zadní vrátka), který skupina v kampani využívá, má různé špionážní funkce: jeho 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat. </p><p>„Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací,“ popisuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><h2>Útočníci vytvořili aplikaci, která nemá reálnou předlohu </h2><p>Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci. </p><p>Škodlivý kód, jeho funkčnost, názvy tříd i certifikát použitý k podepsání APK souboru jsou totožné s jinou předchozí kampaní, bezpečnostní experti se proto s velkou jistotou domnívají, že pod touto operací je podepsána právě skupina StrongPity. Analýza kódu také odhalila, že backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu. </p><p>„Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ říká Jirkal. </p><p>Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat. „To může znamenat dvě věci – buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné,“ dodává Jirkal z ESETu. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/shagle.png" data-themekey="#" alt="" style="margin:5px;width:284px;" /> <br> <em>Porovnání legitimní webové stránky Shagle (vlevo) s její falešnou verzí.</em> <br></p><h3><br>Více informací </h3><p>Více informací ke kampani APT skupiny StrongPity najdete na stránkách magazínu <a href="https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/" target="_blank">WeLiveSecurity</a>. </p><p>​​​<br></p>0


No More Ransom 

AEC Endpoint Detection and Response

Microsoft Exchange

Threat Cloud Map

AEC Penetrační testy

Coalition Against Stalkerware 

Ransomware Attack Map