Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Pozor na kritickou zranitelnost Java knihovny Apache Commons JXPathhttps://antivirus.cz/Blog/Stranky/pozor-na-kritickou-zranitelnost-java-knihovny-apache-commons-jxpath.aspxPozor na kritickou zranitelnost Java knihovny Apache Commons JXPath<p>Důležitá zpráva! Používá vaše aplikace knihovnu Java s názvem Apache Commons JXPath? Můžete být zranitelní vůči útoku vzdáleného spuštění kódu. Nová kritická zranitelnost zveřejněná pod identifikátorem CVE-2022-41852 se týká všech verzí včetně té nejnovější.  </p><p>Vzhledem k tomu, že knihovny Apache preferuje velké množství firem, lze naléhavost tohoto varování označit za extrémně vysokou (závažnost 9,8!). Na uvedenou zranitelnost dosud není k dispozici odpovídající patch, ale expertní tým našeho HackingLabu přináší už nyní jako vůbec první odpovídající řešení. ​ </p><p>Potřebujete si ověřit, zda se vás daná zranitelnost týká? Chcete vědět, jakým způsobem ji lze neprodleně řešit? Vše nezbytné se dozvíte v <a href="https://hackinglab.cz/en/blog/remote-code-execution-in-jxpath-library-cve-2022-41852/">článku​</a> našich etických hackerů.</p>1
Black Friday přináší slevy i kyberpodvody, každý 6. škodlivý e-mail souvisí s přepravouhttps://antivirus.cz/Blog/Stranky/black-friday-prinasi-slevy-i-kyberpodvody-kazdy-6-skodlivy-email-souvisi-s-prepravou.aspxBlack Friday přináší slevy i kyberpodvody, každý 6. škodlivý e-mail souvisí s přepravou<ul><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">17 % všech škodlivých souborů zaslaných e-mailem souviselo v listopadu s přepravou. </span></strong></li><li> <strong style="color:#6773b6;"> <span style="color:#6773b6;">Každá 25. nová webová stránka spojená s nakupováním byla v listopadu podvodná. </span></strong><br></li></ul> <br> <p>Check Point Research, varuje uživatele, aby si dávali během slevových akcí pozor na podvodné phishingové stránky, protože došlo k prudkému nárůstu falešných e-shopů a také stránek napodobujících přepravní společnosti. Check Point odhaduje, že každý šestý škodlivý e-mail souvisel v listopadu s přepravou. Kyberzločinci se snaží potenciální oběti lákat také na známé značky, jako je třeba Louis Vuitton. </p><h2>Napodobování značky Louis Vuitton </h2><p>Výzkumný tým zachytil nebezpečný e-mail napodobující tuto ikonickou módní značku. Zpráva se snažila nalákat uživatele předmětem „Slevy Black Friday. Začínáme na 100 dolarech. Ceny, do kterých se zamilujete“. Po kliknutí byl uživatel přesměrován na podvodnou stránku. Vytvořeno bylo hned několik falešných domén stejného formátu:<br>88off-bags.co / 87off-bags.co/ 86off-bags.co / 89off-bags.co</p><p>Všechny napodobovaly legitimní stránky Louis Vuitton poměrně zdařile. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/black-friday-1.jpg" data-themekey="#" alt="" style="margin:5px;width:127px;" /> <br> <br> </p><h2>Přepravení podvody </h2><p>Kyberpodvodníci také často napodobují zprávy od přepravních společností a využívají rušného nákupního období, aby zmátli uživatele. Jedna z kampaní se například zaměřovala na DHL. V e-mailu byl uveden odkaz https://lutufedo[.]000webhostapp[.]com/key[.]php na podvodné stránky a uživatel byl vyzván k zaplacení drobného přepravního poplatku. Cílem podvodu bylo ukrást přihlašovací údaje oběti. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/black-friday-2.jpg" data-themekey="#" alt="" style="margin:5px;width:276px;" /> <br> <br> </p><p>Škodlivý e-mail obsahoval předmět „[Upomínka]: Váš balíček JJD01558535 čeká na doručení“. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/black-friday-3.jpg" data-themekey="#" alt="" style="margin:5px;width:289px;" /> <br> <br> </p><p>„Když na internetu hledáte slevy a výhodné akce, dávejte si pozor. Kyberpodvodníci napodobují zprávy i webové stránky luxusních značek i přepravních společností. A také rádi hrají na city. Když se těšíte na nějakou výhodnou nabídku nebo se bojíte, že něco propásnete, můžete zbytečně riskovat a nakupovat na neznámých stránkách nebo poskytnout citlivé informace. Kyberzločinci to dobře ví a snaží se této psychologie nakupování využít. Dodržujte proto základní bezpečnostní opatření, nakupujte vždy u oficiálních prodejců, nenechte se zlákat nabídkami, které jsou příliš dobré, aby to byla pravda, a dávejte si pozor na podezřelé platební metody,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p>Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a designu stránek. Hackeři chtějí využít důvěry a lidské emoce, jako je strach z promeškání slevy. Pocit naléhavosti může způsobit, že uživatelé na něco kliknou, aniž by si předtím ověřili, zda e-mail skutečně pochází od dané značky. Může tak dojít ke stažení malware nebo krádeži cenných osobních údajů. Phishingová zpráva vám nemusí přijít jen e-mailem, ale i v SMS, přes Messenger, WhatsApp a podobně. Zprávy mohou navíc vypadat velmi personalizovaně, protože útočníci jsou schopni si poměrně snadno, například ze sociálních sítí, zjistit řadu osobních informací. </p><h2>Kyberzločinci se snaží využít sváteční nálady, proto je při nakupování na internetu důležité dodržovat základních bezpečnostní opatření: </h2><p> <b>1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla.</b> Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám. </p><p> <b>2. Pozor na e-maily s žádostí o resetování hesla. </b>Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům. </p><p> <b>3. Nenechte se zmanipulovat. </b>Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu. </p><p> <b>4. Všímejte si detailů. </b>Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se třeba o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. Nikdy nedůvěřujte podezřelým zprávám. </p><p> <b>5. Obecně platí, že v žádném případě nesdílejte více, než je nezbytně nutné.</b> Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám. </p><p> <b>6. Smažte podezřelé zprávy. </b>Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy. </p><p> <b>7. Neklikejte na přílohy. </b>Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF, ale samozřejmě ani přílohy typu EXE, MSI nebo BAT. </p><p> <b>8. Ověřte odesílatele. </b>U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele. </p><p> <b>9. Neodkládejte aktualizace. </b>V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím. </p><p> <b>10. Nikdy nevěřte příliš dobrým nabídkám</b>, jako „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zpráv a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce. </p><p> <b>11. Chraňte se před phishingovými útoky.</b> Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení. </p> <br>0
Hrozby pro Android: říjen 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-android-rijen-2022.aspxHrozby pro Android: říjen 2022<h3> <span style="color:#6773b6;">​Nejčastějšími škodlivými kódy pro platformu Android v Česku byly i v říjnu adware Andreed, adware Hiddad.AYF a dropper Agent.KEQ. Šíří se především prostřednictvím her a aplikací. Útočníci se zaměřují na uživatele, kteří stahují software z veřejných internetových úložišť. </span><br></h3> <br> <p><b>Také v říjnu se v pravidelné statistice kybernetických hrozeb od společnosti ESET pro platformu Android objevila tři aktuálně největší rizika pro české uživatele – adwary Andreed a Hiddad a nový dropper Agent.KEQ. V říjnu na ně mohli uživatelé narazit především při stahování obsahu z internetových úložišť či mobilních aplikací a her z neoficiálních obchodů třetích stran. Bezpečnostní specialisté doporučují věnovat pozornost především zabezpečení chytrého telefonu a vyhýbat se podezřele lákavým nabídkám na stahování softwaru a aplikací zdarma či ve výhodných balících. </b><br></p><p>Na předních místech detekcí škodlivých kódů pro platformu Android v Česku se v říjnu objevily opět stejné hrozby, před kterými bezpečnostní specialisté z ESETu varovali již v září. Nejčastěji detekovaný adware Andreed se stále objevuje ve čtvrtině všech případů. </p><p>„Adware Andreed má již několikátý měsíc po sobě velmi stabilní detekce a nadále se šíří prostřednictvím různých modifikací známých her. V září to byla například neoficiální verze hry The Battle of Polytopia. Tuto strategii útočníci využívají už od okamžiku, kdy se Andreed vyšplhal do čela naší pravidelné bezpečnostní statistiky,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Uživatelé si mohli Andreed i v říjnu stáhnout nejčastěji při hledání neoficiálně upravených aplikací pro Android, které najdou v nabídce obchodů třetích stran. Po stažení přitom není vyloučené, že se daná aplikace bude chovat správně a uživatelé nepojmou žádné podezření, že by něco nemuselo být v pořádku. Jako bonus ke stažení ale získají škodlivý kód.“ </p><p>Pokud adware Andreed infikuje naše zařízení, zobrazuje na něm nevyžádanou agresivní reklamu. I když se například v porovnání s <a href="/Blog/Stranky/hrozby-pro-windows-rijen-2022.aspx">infostealery​</a> nejedná o srovnatelně závažné riziko, může Andreed představovat nebezpečí pro naše soukromí a v konečném důsledku nás odvést na daleko rizikovější webové stránky, které mohou obsahovat další škodlivé kódy. </p><h2>Na mobilní malware narazíme nejčastěji při stahování </h2><p>Stejně jako v září, byly v říjnu dalšími nejčastěji detekovanými škodlivými kódy dropper Agent.KEQ a trojský kůň Hiddad.AYF – počet jeho detekcí dokonce oproti září vzrostl na desetinu všech zachycených případů. </p><p>„Hlavním úkolem dropperu Agent.KEQ je stáhnout do zařízení jiný, složitější malware. Sám Agent.KEQ je velmi jednoduchý škodlivý kód, který má v zařízení nejdříve provést průzkum, aby útočníci následně věděli, jakým dalším škodlivým kódem se jim vyplatí útočit,“ vysvětluje Jirkal. „Dropper Agent.KEQ se podle našich zjištěných dat pravděpodobně šíří prostřednictvím podvodných webových stránek pro stahování obsahu. V okamžiku, kdy chce uživatel stáhnout například nějaký program, ho web upozorní, že ke stažení potřebuje speciální aplikaci. Agent.KEQ se takto ukrýval v domnělé aplikaci pro stahování obsahu s názvem Your File Is Ready To Download.apk. Aplikace samozřejmě nefungovala a jejím úkolem bylo dostat do zařízení škodlivý kód,“ dodává Jirkal. </p><p>Adware Hiddad patří do větší malware rodiny Hiddad a v Česku se po delší odmlce znovu objevil v září. Zobrazuje reklamu skrytým způsobem. To znamená, že uživatel prakticky nemá možnost zjistit, ze které aplikace se daná reklama zobrazuje. </p><p>„Hiddad.AYF se v říjnu vydával za různé falešné verze aplikací nebo modifikací pro chytrý telefon. Uživatelé ho tentokrát mohli stahovat v domnění, že stahují doplněk pro animované znázornění dobíjení telefonu nebo různé hry. V jednom případě jsme ho identifikovali i ve verzi hry, která vypadala podobně jako hra Minecraft. Jsou to právě známá jména her nebo populární trendy, které útočníci rádi zneužívají – sázejí totiž na to, že známý název nebo vizuální podobnost bude pro uživatele atraktivní a takovou hru nebo aplikaci stáhnou s větší pravděpodobností,“ vysvětluje Jirkal. </p><h2>Aplikace zdarma se v tomto případě nevyplatí </h2><p>V případě aktuálních hrozeb pro platformu Android v Česku platí nadále varování bezpečnostních specialistů, abychom nestahovali aplikace a hry mimo oficiální obchod pro platformu Android, Google Play. Přestože může být v jiném obchodu třetí strany stažení programu výhodnější či zcela zdarma, riziko, že při stažení vpustíme škodlivý kód do našeho chytrého telefonu, je poměrně vysoké. </p><p>„V první řadě by si uživatelé měli vždy položit otázku, zda danou aplikaci nebo hru skutečně potřebují. V případě, že se přesto rozhodnou pro stažení, bych jim doporučil využívat výhradně oficiální obchody, kde mají větší jistotu, že jsou programy a aplikace na přítomnost malwaru pravidelně kontrolované. V neposlední řadě je také důležité, aby měli uživatelé i na svém chytrém telefonu nainstalovaný kvalitní bezpečnostní software, který je kromě potenciálně nechtěných aplikací a podvodných webových stránek ochrání před celou řadou dalších škodlivých kódů,“ říká Jirkal z ESETu. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za říjen 2022: </h2><p>1. Android/Andreed trojan (26,01 %) <br> 2. Android/TrojanDropper.Agent.KEQ trojan (10,72 %)<br> 3. Android/Hiddad.AYF trojan (10,40 %) <br> 4. Android/TrojanDropper.Agent.JDU trojan (4,08 %) <br> 5. Android/Spy.Cerberus trojan (3,91 %) <br> 6. Android/Triada trojan (2,57 %) <br> 7. Android/TrojanDropper.Agent.GKW trojan (2,09 %) <br> 8. Android/TrojanDropper.Agent.DMJ trojan (1,98 %) <br> 9. Android/Spy.Agent.CBT trojan (1,93 %) <br> 10. Android/Agent.DKK trojan (1,45 %)<br> </p>​<br>0
Mezinárodní konflikty přinesou další vlnu hacktivismu, hrozbou deepfake i útoky na energetické sítěhttps://antivirus.cz/Blog/Stranky/mezinarodni-konflikty-prinesou-dalsi-vlnu-hacktivismu-hrozbou-deepfake-i-utoky-na-energeticke-site.aspxMezinárodní konflikty přinesou další vlnu hacktivismu, hrozbou deepfake i útoky na energetické sítě<p><strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point zveřejnil kyberbezpečnostní předpověď na rok 2023. Počet kybernetických útoků vzrostl ve třetím čtvrtletí 2022 ve srovnání s rokem 2021 o </span></strong><a href="https://blog.checkpoint.com/2022/10/26/third-quarter-of-2022-reveals-increase-in-cyberattacks/" target="_blank"><strong style="color:#6773b6;"><span style="color:#6773b6;">28 %</span></strong></a><strong style="color:#6773b6;"><span style="color:#6773b6;"> a Check Point předpovídá další prudký nárůst útoků po celém světě. Ransomware budou používat k vydírání i menší hackerské skupiny a mezinárodní konflikty zvednou další vlnu hacktivismu. Bezpečnostní týmy budou zároveň čelit obrovskému tlaku, protože v oblasti kyberbezpečnosti chybí </span></strong><a href="https://www.isc2.org/Research/Workforce-Study" target="_blank"><strong style="color:#6773b6;"><span style="color:#6773b6;">3,4 milionu zaměstnanců</span></strong></a><strong style="color:#6773b6;"><span style="color:#6773b6;"> a problém se bude dále stupňovat. Odborníci také očekávají, že vlády zavedou nové kybernetické regulace na ochranu občanů. </span></strong><br></p><p>V roce 2022 bylo hybridní pracovní prostředí zneužíváno kyberzločinci i státy sponzorovanými hackerskými skupinami. Významný dopad na kybernetický svět měl zároveň rusko-ukrajinský válečný konflikt. </p><p>Organizace musí konsolidovat a automatizovat svou bezpečnostní infrastrukturu, aby mohly lépe monitorovat prostředí hrozeb a předcházet útokům a zároveň aby snížily nároky na personál. </p><p>„V roce 2023 nás čeká velký problém jménem deepfake. Hacktivisté i kyberzločinci budou využívat video a hlasové zprávy k úspěšným phishingovým a ransomwarovým útokům,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. „Jako reálnou hrozbu vidíme také útoky na energetické sítě, což povede k přerušení dodávek energií a bude to mít zásadní dopad na organizace i celou společnost.“ </p><p>„Kybernetické pojištění prochází výraznými změnami. Organizace s největší pravděpodobností nebudou moci spoléhat na pojištění jako na záchrannou síť. Můžeme také očekávat, že výrobci softwaru budou zodpovědní za případné zranitelnosti a budou muset implementovat bezpečnostní prvky,“ dodává Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. „Inflace a zpomalení globální ekonomiky přinesou další nárůst digitálních podvodů a kyberzločinci budou stále častěji využívat k útokům sociální sítě a komunikační aplikace, jako Telegram nebo WhatsApp. Porostou i útoky na blockchainové platformy Webu3. Cílem bude ovládnout jak tyto platformy, tak i kryptoaktivy uživatelů.“ </p><p>Check Point ve své kyberbezpečnostní předpovědi na rok 2023 varuje i před dalšími trendy: </p><h2>Nárůst malwaru a útoků na nástroje pro spolupráci</h2><ul><li><b>Ransomware bude ještě děsivější: </b>Ransomware byl hlavní hrozbou v první polovině roku 2022 a jeho ekosystém se bude nadále vyvíjet. Uvidíme menší a agilnější zločinecké skupiny, které budou ransomware používat k útokům na organizace všech velikostí.<br><br> </li><li><b>Nástroje pro spolupráci v ohrožení:</b> „Phishingové útoky na firemní a osobní e-mailové účty jsou každodenní hrozbou, v roce 2023 se ale kyberzločinci zaměří i na nástroje pro firemní spolupráci, jako jsou Slack, Teams, OneDrive a Google Drive. Musíme se připravit na daleko sofistikovanější a nebezpečnější phishing. Pokud útočníci získají přístup do podobných služeb, mohou být následky velmi bolestivé. Jedná se totiž o lukrativní zdroj soukromých i podnikových dat. Hrozba je o to větší, že řada zaměstnanců pracuje na dálku,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </li></ul> <br> <p></p><h2>Vzestup hacktivismu a deepfake</h2><ul><li><b>Hacktivismus: </b>V letošním roce se hacktivismus zcela změnil. Dříve to byla doména decentralizovaných skupin s proměnlivou agendou, jako je Anonymous, ale nyní vidíme útoky skupin podporovaných státy, které jsou organizovanější, strukturovanější a sofistikovanější. Takové skupiny útočily po celém světě, včetně České republiky, a tyto ideologické útoky budou v roce 2023 dále růst. „Vstupujeme do nové éry hacktivismu, kdy přibývá politicky a sociálně motivovaných útoků. Hackeři jsou stále troufalejší a svou pozornost obrátí i na kritickou infrastrukturu,“ varuje Daniel Šafář.<br><br> </li><li><b>Deepfake:</b> V říjnu 2022 se rozšířil deepfake amerického prezidenta Joea Bidena, který místo státní hymny zpíval Baby Shark. Šlo ale jen o žert nebo o pokus ovlivnit důležité americké volby? Deepfake technologie budou stále častěji využívané k manipulaci s názory nebo k oklamání zaměstnanců a ke krádežím přihlašovacích údajů. </li></ul> <br> <p></p><h2>Vlády posílí opatření na ochranu občanů</h2><ul><li><b>Nové zákony zaměřené na úniky dat:</b> Únik dat v australské telekomunikační společnosti Optus přiměl vládu k zavedení nových předpisů, týkajících se úniků dat, které musí telekomunikační společnosti dodržovat, aby ochránily zákazníky před podvody. V roce 2023 uvidíme, že kromě stávajících opatření, jako je GDPR, budou příklad australské vlády následovat i další země. „Budeme svědky mnohem větší debaty a tlaku na regulaci bezpečnosti, protože současná metoda cukru a biče nefunguje,“ dodává Miloslav Lujka.<br><br> </li><li><b>Nové národní pracovní skupiny pro boj s kybernetickou kriminalitou: </b>Další vlády budou následovat příklad Singapuru a vytvoří meziresortní pracovní skupiny pro boj s ransomwarem a kybernetickou kriminalitou, které spojí podniky, státní úřady a orgány činné v trestním řízení v boji proti rostoucí hrozbě. Jedná se částečně i o odpověď na otázky, zda se lze spolehnout na kybernetické pojištění jako na záchrannou síť pro případ kybernetických incidentů.<br><br> </li><li><b>Povinné zabezpečení a ochrana soukromí: </b>Automobilový průmysl již zavedl opatření na ochranu údajů majitelů vozidel. Podobně budou postupovat i další sektory, které uchovávají a zpracovávají data. Výrobci budou zodpovědní i za zranitelnosti svých výrobků. </li></ul> <br> <p></p><h2>Konsolidace cestou k bezpečí</h2><ul><li><b>Zjednodušení přinese snížení rizika:</b> Organizace mají v důsledku pandemie složitější distribuované sítě a cloudová prostředí. Bezpečnostní týmy musí konsolidovat IT a bezpečnostní infrastruktury, aby zlepšily obranu a udržely si náskok před hrozbami. Více než dvě třetiny manažerů informační bezpečnosti (CISO) uvedlo, že spolupráce s menším počtem dodavatelů zabezpečení by zlepšila jejich ochranu. „V multi-hybridním prostředí má mnoho manažerů informační bezpečnosti problém vytvořit komplexní bezpečnostní strategii, když musí spolupracovat s více dodavateli. Rok 2023 přinese tlak na snižování počtu nasazených bezpečnostních řešení. Klíčem je konsolidace a použití jednoho komplexního řešení,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Transformace cloudu zpomalí kvůli nákladům a narůstající složitosti. Řada organizací bude dokonce zvažovat návrat k vlastním nebo soukromým datovým centrům.“ </li></ul> <br> ​<br>0
Hrozby pro Windows: říjen 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-windows-rijen-2022.aspxHrozby pro Windows: říjen 2022<p><strong>Podle poslední statistiky nejčastějších hrozeb pro operační systém Windows v Česku je s téměř pětinou všech detekcí největším rizikem spyware Agent Tesla. Kybernetičtí útočníci využili k jeho šíření opět česky pojmenované přílohy. Bezpečnostní experti ze společnosti ESET v říjnu sledovali možné propojení všech nejčastějších útoků a domnívají se, že za nimi může stát stejný útočník nebo skupina útočníků. Nejčastější e-mailové přílohy, jejichž prostřednictvím se malware v českém prostředí šířil, tentokrát odkazovaly na dokumenty k platbám, jako jsou faktury nebo potvrzení od přepravních společností. </strong><br></p><p>Největší útok spywaru Agent Tesla proběhl v České republice 3. října. Cílem útočníků, kteří tento škodlivý kód ve svých útočných kampaních využívají, jsou uživatelská hesla. Zranitelná a snadno dostupná jsou pak především hesla uložená v internetových prohlížečích. </p><p>„Počet detekcí spywaru Agent Tesla se i další měsíc drží stabilně na zhruba pětině všech zachycených případů pro platformu Windows v Česku,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „U říjnových útoků jsme mohli tentokrát pozorovat strategii, ve které se útočníci zaměřili na země ve střední a jihovýchodní části Evropy a na Turecko. Česká republika byla v říjnu čtvrtou nejvíce zasaženou zemí,“ dodává Jirkal. </p><p>Spyware se dlouhodobě šíří prostřednictvím nebezpečných e-mailových příloh. Často mají podobu spustitelného souboru s příponou .exe. Útočníci se snaží přimět uživatele ke spuštění či stažení takového souboru tím, že přílohy vydávají za dokumenty k platbám, faktury či potvrzení od přepravních společností. Na spyware Agent Tesla mohli uživatelé v říjnu narazit především v e-mailu s česky pojmenovanou přílohou Zpusob_platby, jpg.exe. </p><h2>Bezpečnostní specialisté upozornili na provázanost útoků </h2><p>V počtu kolem desetiny všech detekcí se v říjnu objevily také další stabilně přítomné škodlivé kódy v Česku, a to password stealer Fareit a spyware Formbook. </p><p>„Největší aktivitu jsme u password stealeru Fareit zaznamenali ve dnech 11. až 12. října. Útočníci tentokrát své útoky nelokalizovali do češtiny, nejčastěji jsme narazili na infikovanou přílohu s názvem Enquiry&Specification.exe,“ říká Jirkal. </p><p>Spyware Formbook se v útocích objevoval stejně jako Agent Tesla 3. října a stejně jako password stealer Fareit 11. října. Podle bezpečnostních expertů může jeho chování ukazovat na jistou provázanost všech těchto útoků. </p><p>„Není nic neobvyklého, že si jeden útočník nebo skupina útočníků na černém trhu koupí více typů různého malwaru a pak je ve svých útocích souběžně využívá. V případě spywaru Formbook jsme nejčastěji narazili na přílohy s názvy DHL Notification_pdf.exe či Potvrzení_platby,png.scr. Právě druhá jmenovaná příloha má velmi nápadnou podobnost s přílohou, která se objevila v útocích spywarem Agent Tesla. Můžeme tak usuzovat, že za útoky může být opravdu stejný distributor malwaru,“ shrnuje Jirkal. </p><h2>Hesla v hledáčku kyberútočníků </h2><p>Agent Tesla je v českém prostředí dlouhodobou hrozbou a bezpečnostní specialisté nepředpokládají, že by se tato situace měla v následujícím období výrazně měnit. Uživatelská hesla jsou ceněnou komoditou, kterou mohou útočníci velmi dobře zpeněžit, což je dnes hlavním motivem většiny kybernetických útoků. </p><p>„Uživatelé si často mohou říct, že se vlastně nic tak strašného nestane, když jim někdo z internetového prohlížeče odcizí heslo například do nějakého internetového obchodu, kde nemají žádné uložené peníze ani platební kartu. Často ale nevědí, co se s hesly a přihlašovacími údaji, které jsou většinou ve formě e-mailu, děje dál. Útočníci mohou naše další účty zkusit prolomit kombinací stejného přihlašovacího jména a hesla, tzv. credential stuffingem. Z našich průzkumů a zkušeností přitom víme, že stále dost uživatelů opravdu stejná hesla používá u více různých účtů. A samozřejmě to vědí také útočníci,“ dodává Jirkal z ESETu. </p><p>Bezpečnostní experti uživatelům doporučují, aby především v období zvýšených online nákupů věnovali pozornost nevyžádané a podezřelé e-mailové komunikaci. S bezpečnou správou jejich hesel jim pak mohou pomoct správci hesel, specializované programy, které hesla ukládají v zašifrované podobě a automaticky je doplňují při přihlášení do konkrétního online účtu. Uživatelé si pak musí pamatovat pouze jedno heslo, a to pro přístup do tohoto programu. Správce hesel mohou uživatelé pořídit jako samostatný software, nebo jako součást prémiového bezpečnostního řešení. </p><h2>Nejčastější kybernetické hrozby pro operační systém Windows v České republice za říjen 2022: </h2><p>1. MSIL/Spy.AgentTesla trojan (19,18 %) <br> 2. Win32/PSW.Fareit trojan (12,12 %) <br> 3. Win32/Formbook trojan (9,26 %) <br> 4. MSIL/Spy.Agent.AES trojan (3,79 %) <br> 5. VBS/Agent.QJA trojan (3,60 %) <br> 6. Win32/Delf.NBX virus (2,53 %) <br> 7. VBS/Agent.QJV trojan (1,55 %) <br> 8. DOC/Agent.IS trojan (1,43 %) <br> 9. Win32/Rescoms trojan (1,10 %) <br> 10. VBS/Agent.QKF trojan (0,86 %) <br> </p><br>0
Pozor na krádeže dat a přihlašovacích údajů, říjen přinesl vzestup zlodějských malwarůhttps://antivirus.cz/Blog/Stranky/pozor-na-kradeze-dat-a-prihlasovacich-udaju-rijen-prinesl-vzestup-zlodejskych-malwaru.aspxPozor na krádeže dat a přihlašovacích údajů, říjen přinesl vzestup zlodějských malwarů<p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v říjnu nejrozšířenějším malwarem keylogger AgentTesla. Výrazně vzrostl také počet útoků zlodějských malwarů SnakeKeylogger a LokiBot, což jen podtrhuje, že uživatelé musí být během nadcházející nákupní sezóny velmi opatrní. </span></strong><br></p><p>LokiBot krade zejména přihlašovací údaje z webových prohlížečů, e-mailových klientů a nástrojů pro správu IT. Do systému se snaží proniknout nepozorovaně a maskuje se za legitimní programy. Může být distribuován prostřednictvím phishingových e-mailů, škodlivých webových stránek, SMS nebo pomocí jiných platforem pro zasílání zpráv. Nárůst útoků souvisí i se spamovými kampaněmi zaměřenými na online poptávky, objednávky a potvrzení plateb. </p><p>V říjnu byla také odhalena nová kritická zranitelnost Text4Shell (CVE-2022-42889), která umožňuje útoky po síti, aniž by bylo nutné získat speciální oprávnění nebo to vyžadovalo nějakou aktivitu uživatelů. Text4shell připomíná zranitelnost Log4Shell, která na konci minulého roku odstartovala lavinu útoků. I po roce je jednou z hlavních hrozeb a v říjnovém žebříčku se umístila na druhém místě. Text4Shell zatím takovou kalamitu nezpůsobil, ale organizace by se měly adekvátně připravit a chránit proti všem zranitelnostem. </p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v říjnu lehce posunula o 3 příčky mezi méně bezpečné země a patřila jí celosvětově 35. pozice. Slovensko se naopak posunulo o 4 místa směrem k bezpečnějším zemím na aktuálně 59. místo. První, tedy nejnebezpečnější, místo obsadilo už několik měsíců po sobě Mongolsko. V říjnu se výrazně mezi nebezpečné země posunula Ukrajina, která poskočila o 26 míst na 37. příčku. </p><p>„V říjnu došlo k řadě změn a viděli jsme pád tradičních hrozeb i vzestup nových. Alarmující je zejména nárůst zlodějských malwarů a phishingových útoků. Během nadcházejícího nákupního období je potřeba dávat mimořádný pozor na podezřelé e-maily, které mohou obsahovat malware. Věnujte vždy chvilku času kontrole zpráv, jestli neobsahují podezřelé odkazy, od koho zprávy pochází a zda nežádají o osobní data. Pokud máte jakékoli pochybnosti, raději vždy navštivte přímo webové stránky dané společnosti a vyhledejte si příslušné informace z ověřených zdrojů. Zároveň používejte moderní zabezpečení, které vás ochrání i proti phishingovým trikům,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v říjnu AgentTesla, který měl v globálním měřítku dopad na 7 % organizací. Na druhou příčku se posunul SnakeKeylogger s dopadem na 5 % společností, LokiBot na třetím místě ovlivnil 4 % organizací. </p><p> <b>1. ↑ AgentTesla</b> – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook) </p><p> <b>2. ↑ SnakeKeylogger</b> – SnakeKeylogger je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. </p><p> <b>3. ↑LokiBot</b> – LokiBot je zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům. </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly bankovní trojan Hydra a spyware Joker. </p><p> <b>1. ↔ Anubis</b> – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google. </p><p> <b>2. ↔ Hydra </b>– Hydra je bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv. </p><p> <b>3. ↔ Joker</b> – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 41 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 39 % organizací. </p><p> <b>1. ↔ Web Server Exposed Git Repository Information Disclosure </b>– Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. </p><p> <b>2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228)</b> – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému. </p><p> <b>3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)</b> – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook po několika dominantních měsících zcela vypadl z čela žebříčku. Nově byl nejrozšířenější hrozbou pro české organizace jiný zlodějský malware SnakeKeylogger, který v říjnu ovlivnil téměř 10 % českých společností. AgentTesla potvrdil svůj celosvětový vzestup a trápil i české organizace. Top 3 uzavírá další škodlivý kód zaměřený na krádeže dat a informací LokiBot, přitom v září vůbec nebyl ani v Top 10.<br></p> <p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - říjen 2022</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad ve světě</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">Snake Keylogger</td><td class="ms-rteTable-default">Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.</td><td class="ms-rteTable-default">4,80 %</td><td class="ms-rteTable-default">9,35 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">7,15 %</td><td class="ms-rteTable-default">7,37 %</td></tr><tr><td class="ms-rteTable-default">LokiBot</td><td class="ms-rteTable-default">LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce.</td><td class="ms-rteTable-default">4,70 %</td><td class="ms-rteTable-default">3,68 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,45 %</td><td class="ms-rteTable-default">2,27 %</td></tr><tr><td class="ms-rteTable-default">IcedID</td><td class="ms-rteTable-default">IcedID je bankovní trojan, který byl poprvé detekován v září 2017. Obvykle k šíření využívá další známé bankovní trojany, včetně Emotet, Ursnif a Trickbot. IcedID krade finanční data a umí přesměrovat uživatele na podvodné stránky (nainstaluje místní proxy k přesměrování uživatelů na falešné weby). Využívá také útoky typu web injection (vloží do prohlížeče proces, který překryje původní stránku falešným obsahem).</td><td class="ms-rteTable-default">3,96 %</td><td class="ms-rteTable-default">1,98 %</td></tr><tr><td class="ms-rteTable-default">AZORult</td><td class="ms-rteTable-default">AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.</td><td class="ms-rteTable-default">0,48 %</td><td class="ms-rteTable-default">1,42 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.</td><td class="ms-rteTable-default">0,16 %</td><td class="ms-rteTable-default">1,42 %</td></tr><tr><td class="ms-rteTable-default">Cutwail</td><td class="ms-rteTable-default">Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.</td><td class="ms-rteTable-default">0,89 %</td><td class="ms-rteTable-default">1,42 %</td></tr><tr><td class="ms-rteTable-default">Crackonosh</td><td class="ms-rteTable-default">Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.</td><td class="ms-rteTable-default">0,48 %</td><td class="ms-rteTable-default">1,13​ %</td></tr></tbody></table><p> </p><br>0
Hrozby pro macOS: říjen 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-macos-rijen-2022.aspxHrozby pro macOS: říjen 2022<h3><span style="color:#6773b6;">Adware Pirrit, dlouhodobě přítomný škodlivý kód pro platformu macOS v Česku, detekovali bezpečnostní specialisté v říjnu téměř ve třetině všech případů. </span><br></h3> <br> <p><b>Bezpečnostní specialisté z ESETu zaznamenali před koncem roku nárůst detekcí u adwaru Pirrit, který je nejčastěji detekovaným škodlivým kódem na platformě macOS v Česku. Počet zachycených případů pak mírně vzrostl i u trojského koně Downloader.Adload, který se v českém prostředí také dlouhodobě objevuje. Bezpečnostní experti opakovaně upozorňují na to, že ačkoli adware není sám o sobě nebezpečným škodlivým kódem, útočníci ho mohou zneužívat jako součást větších útoků a různých podvodů. </b><br></p><p>Apelují tak na uživatele, aby ani tuto hrozbu před koncem roku nepodceňovali. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET. </p><p>Bezpečnostní specialisté z ESETu zaznamenali před koncem roku výraznější nárůst hrozeb pro platformu macOS v Česku. Nejčastěji detekovaným škodlivým kódem zůstává adware Pirrit, který se v říjnu objevil téměř ve třetině všech případů. Adware patří mezi škodlivé kódy, které uživatelům zobrazují nevyžádanou agresivní reklamu, v konečném důsledku je ale může odvést na webové stránky, kde mohou narazit na daleko nebezpečnější malware. </p><p>„Nárůst detekcí před koncem roku není nic neobvyklého. Kybernetičtí útočníci moc dobře vědí, že v podzimních a zimních měsících trávíme na svých zařízeních daleko víc času, a tomu také přizpůsobují své strategie. Již pár měsíců také pozorujeme, jak zneužívají adware k různým podvodům – setkáváme se s falešnými investičními nabídkami, a to i do kryptoměn, nebo nabídkami nekvalitních produktů či dalších služeb, které mají uživatele motivovat k platbě předem. Opakovaně tak uživatele varujeme, aby byli především v těchto měsících před koncem roku, kdy více nakupujeme a trávíme čas online, opatrní,“ říká Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. </p><h2>Nestahujte aplikace z neověřených zdrojů </h2><p>Za rozšířenost adwaru a za to, že ho útočníci s oblibou využívají ve snaze proniknout k našim financím, může také skutečnost, že si ho do zařízení stahujeme často sami. Útočníci šíří adware jako součást jiných aplikací nebo programů, které mohou být v neoficiálních obchodech s aplikacemi nabízeny zdarma nebo ve výhodných balících s dalším softwarem. </p><p>„V říjnu jsme také sledovali pozvolný nárůst detekcí u trojského koně Downloader.Adload, který se snaží uživatele přimět ke stažení dalšího adwaru do zařízení. Útočníci ho velmi často vydávají za populární hry nebo prémiový software, který bude pro uživatele atraktivní a motivovat je ke stažení,“ vysvětluje Kropáč a dodává: „Adload pak v okamžiku, kdy ho stáhneme, do zařízení nainstaluje nějaký další adware, často například v podobě nějaké komponenty nebo doplňku do internetového prohlížeče.“ </p><p>Adware může zůstat dlouhou dobu v zařízení skrytý a není snadné ho odhalit. Upozorní na sebe většinou až kombinací různých ukazatelů, jako je například výrazný pokles výkonu zařízení, agresivními vyskakovacími okny při prohlížení internetu, která nelze zavřít, nebo právě změnami v nastavení internetového prohlížeče, které ale uživatel neprovedl. </p><h2>Útočníci zneužívají legitimní online nástroje </h2><p>Mezi další riziková chování adwaru patří právě jeho vliv a schopnost zneužívat legitimní online nástroje, jako je např. optimalizace pro vyhledávání. Vlivem adwaru mohou útočníci změnit také nastavení internetového prohlížeče uživatele a usnadnit si tak sběr citlivých a soukromých informací. </p><p>„Doporučil bych uživatelům, aby ani riziko v podobě adwaru nepodceňovali. I když se nejedná o srovnatelnou hrozbu s ransomwarem nebo infostealery, i jeho chování může významně ohrozit naše osobní a citlivá data nebo naše finance. Zabezpečení svého zařízení přitom můžeme posílit jednoduše my sami tím, že budeme software a všechny aplikace stahovat pouze z App Store,“ radí Kropáč z ESETu. </p><p>Před webovými stránkami, které mohou být zneužity k různým podvodům či k šíření malwaru, a před potenciálně nechtěnými aplikacemi (tzv. PUA) chrání uživatele také spolehlivý bezpečnostní software. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu macOS za říjen 2022: </h2><p>1. OSX/Adware.Pirrit (31,52 %) <br> 2. OSX/TrojanDownloader.Adload (8,70 %) <br> 3. OSX/Adware.MacSearch (5,43 %) <br> 4. OSX/TrojanProxy.Agent (4,35 %) <br> 5. OSX/Adware.Bundlore (4,35 %) <br> </p>​<br>0
Několikanásobný nárůst podvodů fiktivních přepravních společnostíhttps://antivirus.cz/Blog/Stranky/nekolikanasobny-narust-podvodu-fiktivnich-prepravnich-spolecnosti.aspxNěkolikanásobný nárůst podvodů fiktivních přepravních společností<h3> <span style="color:#6773b6;">Bezpečnostní experti ze společnosti ESET se v poslední studii Threat Report T2 2022 zabývali taktikami phishingových podvodů, nejnovější aktivitou botnetu Emotet a prudkým poklesem počtu RDP útoků. </span><br></h3> <br> <p> <b>Společnost ESET vydala zprávu o kybernetických hrozbách ESET Threat Report T2 2022, která shrnuje klíčové statistiky z jejích detekčních systémů a důležitá zjištění analytiků. Nejnovější zpráva mapuje období od května do srpna 2022 a všímá si vývoje politicky motivovaných ransomwarových útoků, aktivity skupiny Emotet, nejpoužívanějších phishingových taktik a pokračujícího prudkého poklesu pokusů o útoky přes RDP (Remote Desktop Protocol).</b></p><p>Analytici společnosti ESET se domnívají, že RDP útoky ztrácejí na síle především kvůli válce na Ukrajině, návratu zaměstnanců do kanceláří a lepšímu zabezpečení ve firemním prostředí. Návrat počtu RDP útoků k původním hodnotám z dob covidu se nepředpokládá. </p><p>Většina pokusů o útoky přes RDP stále pochází z ruských IP adres. V první třetině letošního roku bylo podle <a href="https://www.welivesecurity.com/wp-content/uploads/2022/06/eset_threat_report_t12022.pdf" target="_blank">zprávy Threat Report​</a> Rusko nejvíce postiženou zemí na světě útoky ransomwaru. Některé útoky byly politicky nebo ideologicky motivované jako reakce na probíhající válku. Ve druhé třetině roku však tato vlna zeslábla a útočníci zaměřili svou pozornost na Spojené státy, Čínu a Izrael. </p><p>Podle telemetrie společnosti ESET byl srpen měsícem, kdy útočníci utlumili svou aktivitu botnetem Emotet. Skupina zodpovědná za tyto útoky se také přizpůsobila opatření společnosti Microsoft, která zakázala VBA makra v dokumentech pocházejících z internetu. Místo maker se útočníci zaměřili na kampaně založené na škodlivých dokumentech Microsoft Office a LNK souborech. </p><h2>Rapidně narostl počet podvodů na internetu </h2><p>Zpráva také zkoumá hrozby, které se nejvíce dotýkají domácích uživatelů. Analýza phishingových hrozeb ukázala až šestinásobný nárůst kybernetických podvodů, při nichž se útočníci vydávali za přepravní společnosti. Ve většině případů se vydávali za společnosti DHL a USPS a zasílali obětem žádosti o ověření doručovací adresy. </p><p>„V Česku útočníci zneužívali také jména tuzemských přepravních společností, a to České pošty a Zásilkovny. Z obětí se snažili vylákat přihlašovací údaje k internetovému bankovnictví nebo údaje k platebním kartám,“ říká Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. „V případě České Pošty se jednalo o klasický phishingový scénář, kdy útočníci získávali údaje pomocí podvodné webové stránky, kde uživatelé chtěli podat nebo vyzvednout zásilku. V případě Zásilkovny útočníci hledali své oběti nejčastěji na online bazarech, kde se snažili uměle navyšovat prodejní cenu zboží (např. neúměrně vysokou cenou za přepravu), a poté vyzvali prodejce k zadání údajů k jeho platební kartě, aby mohl obdržet peníze za zboží,“ vysvětluje Kropáč. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/shipping-ceska-posta-1.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Phishing se v Česku ve sledovaném období nejčastěji šířil prostřednictvím e-mailu (v 66,4 % případů), následovaly podvody zneužívající doručovací společnosti (7,9 %) a finanční instituce (8 %). </p><h2>Phishing se nevyhýbá ani bitcoinu </h2><p>Pokud jde o hrozby přímo související s virtuálními i fyzickými měnami, hlavní hrozbou zůstává webový skimmer známý jako Magecart, který se zaměřuje na údaje platebních karet online nakupujících. </p><p>Bezpečnostní experti zaznamenali také dvojnásobný nárůst phishingu s tématikou kryptoměn a cryptostealerů. </p><p>„Často se z ukradených účtů na Twitteru, Discordu nebo Facebooku šíří odkazy na falešné giveaways, tedy na rozdávací akce kryptoměn jako je Bitcoin, Etherum a další. Cílem je z oběti vylákat menší množství kryptoměny s vidinou získání násobného počtu dané kryptoměny, např. pošlu 1BTC a vrátí se mi 2BTC. Je to samozřejmě nesmysl,“ varuje Jiří Kropáč. </p><p>Masivně rostou i pokusy o podvodné vylákání kryptoměn na diskuzních platformách typu Discord nebo Telegram, kde se útočníci vydávají za správce témat, oficiální zástupce kryptoburz nebo technickou podporu. </p><p>„Typicky se jedná o falešnou technickou podporu, která vám nabízí pomoc s řešením vašeho problému – nepřipsání kryptoměny do peněženky, nedoručená platba apod. – a přitom z vás vyláká další kryptoměny nebo peníze,“ popisuje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET. </p><p>Velmi rozšířená je i technika zveřejnění přístupových údajů ke kryptopeněžence, která již obsahuje nějaké coiny. Pokud se tam pokusíte poslat měnu uvedeného blockchainu (nejčastěji ETH), abyste mohli obsah peněženky prodat nebo převést, je váš vklad okamžitě odcizen. </p><p>Hrozby v oblasti kryptoměn obvykle korelují s jejich směnnými kurzy. Směnné kurzy kryptoměn a ochotu obchodovat nebo je těžit ale negativně ovlivňují rostoucí ceny energií. Stále výhodnější je tedy kryptoměny krást. „Po letním útlumu očekáváme nárůst ve většině oblastí kryptokriminality. Přetrvávat bude trend miningu kryptoměn v prohlížečích a pokračovat budou i cryptostealers útoky,“ předpovídá Robert Šuman z ESETu. </p>​<br>0
Hackeři napodobují známé značky, mutace cílí i na české uživatelehttps://antivirus.cz/Blog/Stranky/hackeri-napodobuji-zname-znacky-mutace-cili-i-na-ceske-uzivatele.aspxHackeři napodobují známé značky, mutace cílí i na české uživatele<p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point Research zveřejnil zprávu „Brand Phishing Report“ zaměřenou na phishingové útoky ve 3. čtvrtletí 2022. Z reportu vyplývá, jaké značky kyberzločinci nejčastěji napodobovali při pokusech o krádeže osobních dat nebo platebních údajů. </span></strong><br></p><p>V prvním i druhém čtvrtletí byl nejčastěji napodobovanou značkou LinkedIn, ovšem ve třetím čtvrtletí na první místo poskočila přepravní společnost DHL (22 % všech phishingových podvodů napodobujících známé značky). Na druhém místě byl Microsoft (16 %) a LinkedIn (11 %) se propadl až na třetí příčku, přitom v předchozím půl roce zcela dominoval. Nárůst u DHL může být způsoben globální phishingovou kampaní, na kterou logistický gigant sám <a href="https://www.dhl.com/gb-en/home/important-information/phishing-attack-shipping-fee.html" target="_blank">upozornil​</a>. Poprvé se v tomto čtvrtletí v první desítce objevil také Instagram, a to v návaznosti na phishingovou kampaň související s modrým odznáčkem. Uživatelé si také nově musí dávat ještě větší pozor na podvodné zprávy od WhatsAppu a na zprávy od služeb na zasílání souborů, jako je například WeTransfer. </p><p>Nejčastěji napodobované jsou zprávy a stránky technologických společností, následují přepravní společnosti. Blíží se nákupní sezóna, takže můžeme očekávat další nárůst podvodů souvisejících s přepravou. </p><p>„Phishing je nejběžnějším typem sociálního inženýrství, což je obecné označení pro pokusy o manipulaci a oklamání uživatelů. Jedná se o stále častější hrozbu, která je součástí většiny bezpečnostních incidentů,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Ve třetím čtvrtletí jsme zaznamenali dramatický pokles phishingových podvodů maskovaných za LinkedIn, což znovu ukazuje, jak kyberzločinci mění taktiku, aby zvýšili své šance na úspěch. Stále se však jedná o třetí nejčastěji napodobovanou značku. Na čele žebříčku je nově DHL, proto pozor na všechny zprávy o zásilkách. Vždy raději navštivte přímo stránky dané společnosti a neklikejte na odkazy ve zprávách.“ </p><p>Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a designu stránek. Hackeři chtějí využít důvěry a lidské emoce, jako je strach z promeškání slevy. Pocit naléhavosti může způsobit, že uživatelé na něco kliknou, aniž by si předtím ověřili, zda e-mail skutečně pochází od dané značky. Může tak dojít ke stažení malware nebo krádeži cenných osobních údajů. </p><h2>Nejčastěji napodobované značky ve phishingových podvodech za 3. čtvrtletí 2022 </h2><p>1. DHL (22 % šech phishingových podvodů napodobujících známé značky)<br> 2. Microsoft (16 %)<br> 3. LinkedIn (11 %)<br> 4. Google (6 %)<br> 5. Netflix (5 %)<br> 6. WeTransfer (5 %)<br> 7. Walmart (5 %)<br> 8. WhatsApp (4 %)<br> 9. HSBC (4 %)<br> 10. Instagram (3 %) </p><p>Kyberzločinci zneužívají ve phishingových podvodech i známé české značky, takže uživatelé musí být extrémně opatrní, nedůvěřovat zprávám a neklikat na odkazy. Celosvětově je nejčastěji napodobovanou značkou DHL, ale čeští uživatelé se mohou setkat i s variantami napodobujícími například Zásilkovnu. Jedná se o oblíbenou techniku, která těží z nárůstu obchodů přes internet a spoléhá na nepozornost uživatelů. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-01.png" data-themekey="#" alt="" style="margin:5px;width:253px;" /> <br> <br> </p><p>Z velmi podobné adresy jsou rozesílané i zprávy, které napodobují Českou spořitelnu, a snaží se nalákat uživatele, aby klikli na podvodný odkaz, na kterém „zkontrolují vrácené peníze“. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-02.png" data-themekey="#" alt="" style="margin:5px;width:192px;" /> <br> <br> </p><p>S blížícími se Vánocemi poroste i počet podvodů souvisejících s přepravou. Phishingové e-maily rozesílané z adresy info@lincssourcing[.]com napodobují DHL a obsahují předmět „Nedoručená zásilka DHL“. Uživatel je vyzván k aktualizaci doručovací adresy, ale odkaz vede na podvodnou stránku. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-03.png" data-themekey="#" alt="" style="margin:5px;width:255px;" /> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-04.png" data-themekey="#" alt="" style="margin:5px;width:258px;" /> <br> </p><p>Velmi časté byly i phishingové e-maily zaměřené na krádeže informací o účtech Microsoft. E-mail byl odeslán z adresy websent@jointak.com.hk a tvářil se jako zpráva od OneDrive s předmětem „Dokument s názvem ‚Návrh‘ byl nasdílen na Onedrive“. Útočníci se snaží nalákat oběť, aby klikla na škodlivý odkaz https://mail-supp-365[.]herokuapp[.]com a prohlédla si sdílený dokument. Uživatel je ovšem přesměrován na podvodnou přihlašovací stránku, kde musí zadat heslo ke svému účtu. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-05.png" data-themekey="#" alt="" style="margin:5px;width:372px;" /> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hacking-brand-06.png" data-themekey="#" alt="" style="margin:5px;width:262px;" /> <br> </p><h2>Jak se před phishingem chránit? Podívejte se na několik základních bezpečnostních tipů: </h2><p><b>1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. </b>Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám. </p><p><b>2. Pozor na e-maily s žádostí o resetování hesla.</b> Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům. </p><p><b>3. Nenechte se zmanipulovat.</b> Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu. </p><p><b>4. Všímejte si detailů.</b> Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se třeba o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám. </p><p><b>5. Nikdy nesdílejte více, než je nezbytně nutné.</b> Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám. </p><p><b>6. Smažte podezřelé zprávy. </b>Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy. </p><p><b>7. Neklikejte na přílohy. </b>Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF, ale samozřejmě ani přílohy typu EXE, MSI nebo BAT. </p><p><b>8. Ověřte odesílatele.</b> U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele. </p><p><b>9. Neodkládejte aktualizace.</b> V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím. </p><p><b>10. Nikdy nevěřte příliš dobrým nabídkám</b>, jako „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zpráv a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce. </p><p><b>11. Chraňte se před phishingovými útoky.</b> Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i <a href="https://www.aec.cz/cz/av">bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení</a>. </p> <br>0
Počet kyberútoků na východoevropské země rostehttps://antivirus.cz/Blog/Stranky/pocet-kyberutoku-na-vychodoevropske-zeme-roste.aspxPočet kyberútoků na východoevropské země roste<p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Podle toho byl v září nejrozšířenějším malwarem FormBook, který umožňuje krádeže informací a prodává se na hackerských fórech. Sílu špionážních malwarů potvrdil skokem na osmé místo Vidar, který umožňuje krást z infikovaných zařízení citlivé bankovní informace, přihlašovací údaje, IP adresy, historii prohlížeče a kryptopeněženky. Vidar byl šířen přes falešné webové stránky Zoom, jako například zoomus[.]website a zoom-download[.]space. </span></strong><br></p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v září lehce posunula o 4 příčky mezi bezpečnější země a patřila jí celosvětově 38. pozice. Slovensko se naopak posunulo o 13 míst směrem k méně bezpečným zemím na aktuálně 55. místo. První, tedy nejnebezpečnější místo obsadilo už několik měsíců po sobě Mongolsko. Velmi výrazně se mezi nebezpečné země posunul Izrael a Egypt skokem o 56, respektive 57 pozic. </p><p>„Válka pokračuje i v kyberprostoru. Není náhoda, že se za poslední měsíc zvýšil počet hrozeb v mnoha východoevropských zemích. Všechny organizace jsou ohroženy a musí používat preventivní bezpečnostní technologie,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.“ </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v září FormBook, který měl v globálním měřítku dopad na 3 % organizací. Na druhou příčku se posunul XMRig s dopadem na 2 % společností, stejné množství organizací čelilo i zlodějskému malwaru AgentTesla. </p><p> <b>1. ↔ FormBook</b> – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. </p><p> <b>2. ↑ XMRig</b> – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. </p><p> <b>3. ↓ AgentTesla</b> – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook) </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově bankovní trojan Anubis, následovaly bankovní trojan Hydra a spyware Joker. </p><p> <b>1. ↑ Anubis</b> – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google. </p><p> <b>2. ↑ Hydra</b> – Hydra je bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv. </p><p> <b>3. ↔ Joker</b> – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „Command Injection Over HTTP“ s dopaden na 40 % organizací. </p><p> <b>1. ↑ Web Server Exposed Git Repository Information Disclosure</b> – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. </p><p> <b>2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228)</b> – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému. </p><p> <b>3. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)</b> – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužití by umožnilo útočníkům spustit libovolný kód na cílovém počítači. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook byl sice nejrozšířenější hrozbou pro české organizace, ale jeho dopad klesl o více než polovinu. I další tradiční škodlivé kódy oslabily, naopak jsme viděli vzestup nových malwarů, což jen ukazuje, jak rozmanité je prostředí kybernetických hrozeb. </p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - září 2022</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad ve světě</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">FormBook</td><td class="ms-rteTable-default">FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.</td><td class="ms-rteTable-default">2,96 %</td><td class="ms-rteTable-default">5,49 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">2,21 %</td><td class="ms-rteTable-default">3,66 %</td></tr><tr><td class="ms-rteTable-default">Snake Keylogger</td><td class="ms-rteTable-default">Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.</td><td class="ms-rteTable-default">1,93 %</td><td class="ms-rteTable-default">3,66 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">2,73 %</td><td class="ms-rteTable-default">2,44 %</td></tr><tr><td class="ms-rteTable-default">AZORult</td><td class="ms-rteTable-default">AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.</td><td class="ms-rteTable-default">0,38 %</td><td class="ms-rteTable-default">1,52 %</td></tr><tr><td class="ms-rteTable-default">Cutwail</td><td class="ms-rteTable-default">Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.</td><td class="ms-rteTable-default">0,13 %</td><td class="ms-rteTable-default">1,52 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.</td><td class="ms-rteTable-default">1,31 %</td><td class="ms-rteTable-default">1,52 %</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač.</td><td class="ms-rteTable-default">0,38 %</td><td class="ms-rteTable-default">1,22 %</td></tr><tr><td class="ms-rteTable-default">Crackonosh</td><td class="ms-rteTable-default">Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.</td><td class="ms-rteTable-default">0,70 %</td><td class="ms-rteTable-default">1,22 %</td></tr><tr><td class="ms-rteTable-default">Ramnit</td><td class="ms-rteTable-default">Ramnit je modulární bankovní trojan, který byl poprvé objeven v roce 2010. Dokáže krást přihlašovací údaje ke všem službám, které oběť používá, včetně bankovních účtů, pracovních účtů a účtů na sociálních sítích. Trojan komunikuje s řídícím a velícím serverem a stahuje další moduly.</td><td class="ms-rteTable-default">2,97 %</td><td class="ms-rteTable-default">1,22 %</td></tr></tbody></table><p> </p> ​<br>0
Slovenský a polský parlament terčem kyberútoků, pod palbou i německý dodavatel energiíhttps://antivirus.cz/Blog/Stranky/slovensky-a-polsky-parlament-tercem-kyberutoku-pod-palbou-i-nemecky-dodavatel-energii.aspxSlovenský a polský parlament terčem kyberútoků, pod palbou i německý dodavatel energií<p><strong>V uplynulých dnech byly terčem kyberútoků slovenský a polský parlament a útokům čelil také významný německý dodavatel energií Enercity. </strong><br></p><p>"V předchozích týdnech a měsících jsme viděli řadu útoků na nejrůznější země ve jménu politických cílů. Často se jednalo o DDoS útoky proruských skupin Killnet, která disponuje jedním z největších botnetů na světě, a NoName057(16). Terčem masivních útoků byla i Česká republika. Podobné skupiny se obvykle svými úspěchy chlubí, k aktuálním útokům na polský a slovenský parlament se ale zatím nikdo nepřihlásil. Celkově sledujeme velmi alarmující nárůst hacktivismu, žádná země není v bezpečí. Dříve jsme podobné útoky viděli pouze od decentralizované skupiny Anonymous, ovšem nyní sledujeme útoky dobře organizovaných profesionálních skupin, které se snaží ochromit vlády i velké korporace. Zatím se jednalo spíše o demonstrativní útoky, které strhnou pozornost a umožní zviditelnit nějaké prohlášení a varování. Ale musíme se připravit i na sofistikované špionážní kampaně a útoky, které se budou snažit způsobit co největší škody. Vážnost situace podtrhuje například aktuální útok na jednoho z největších německých dodavatelů energií, společnost Enercity. Útok se sice podařilo neutralizovat, ale je to důrazné připomenutí, o jak reálnou hrozbu se jedná. Proto by nyní měla být jednou z priorit ochrana kritické infrastruktury, abychom předešli tragickým následkům. Jak obrovské hrozbě organizace čelí, ukazují i data našeho výzkumného týmu. Ve třetím čtvrtletí čelila jedna společnost průměrně 1130 kyberútokům za týden, což je nárůst o 28 % oproti stejnému období v předchozím roce. Situace v České republice je ještě rizikovější, jelikož v posledních týdnech čelí jedna česká společnost v průměru 1500 kyberútokům týdně," říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. </p><br>0
Hrozby pro Android: září 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-android-zari-2022.aspxHrozby pro Android: září 2022<h3><span style="color:#6773b6;">Útočníci maskují malware k nepoznání, v září zneužívali hry nebo titulky k filmům. Na platformě Android v Česku opět dominovala škodlivá reklama – adware Andreed v září doplnil také trojský kůň Hiddad.AYF. Překvapením byl tentokrát dropper Agent.KEQ. </span><br></h3> <br> <p><strong>Adware Andreed zůstává nejčastějším škodlivým kódem pro platformu Android v České republice. Nadále se šíří především prostřednictvím mobilních her – v září ho útočníci maskovali především za hru The Battle of Polytopia. Mezi škodlivými kódy se tentokrát také objevil dropper Agent.KEQ, který nepozorovaně provádí průzkum v chytrém telefonu, aby na něj mohli útočníci zacílit daleko složitějším malwarem. V září byl pak po delší odmlce znovu detekován adware Hiddad, který se také dokáže nepozorovaně skrýt v zařízení a opět zobrazuje agresivní reklamu nebo dokáže uživatele odvést na nebezpečné webové stránky. Bezpečnostní experti tak varují především před výhodnými nabídkami známých nástrojů a her ke stažení mimo oficiální obchod Google Play. </strong><br></p><p>Adware Andreed zůstává nadále nejčastěji detekovaným škodlivým kódem v Česku – v září se objevoval ve více než pětině všech případů. Ačkoli adware nepatří mezi stejně závažné hrozby, jako je například <a href="/Blog/Stranky/hrozby-pro-windows-zari-2022.aspx">spyware</a> nebo ransomware, a zobrazuje ve většině případů především agresivní reklamu, i on může být rizikem. Často se totiž zaměřuje na informace o našem chování na internetu, může stáhnout do zařízení daleko škodlivější malware, nebo nás přesměrovat na podvodné webové stránky. </p><p>„Již několik měsíců pozorujeme v případě adwaru Andreed stejnou strategii – útočníci adware distribuují prostřednictvím jednoho obchodu třetí strany, kde ho mohou uživatelé stáhnout v domnění, že stahují nějakou mobilní hru. Verze těchto her ale nejsou oficiální a i přesto, že se hra může standardně spustit a fungovat, jejím hlavním úkolem je zobrazovat uživateli reklamu,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Adware Andreed se již v minulých měsících šířil například prostřednictvím falešných verzí her Buddy Toss, Chuchel či House Designer: Fix & Flip. V září se pak šířil prostřednictvím neoficiální verze hry The Battle of Polytopia. </p><h2>Útočníci škodlivý kód co nejvíce maskovali </h2><p>Bezpečnostní experti již v srpnu upozornili na <a href="/Blog/Stranky/hrozby-pro-android-srpen-2022.aspx">proměňující se prostředí kybernetických hrozeb pro platformu Android v Česku</a>. V září se pak nově mezi nejčastější škodlivé kódy vyšplhal dropper Agent.KEQ. </p><p>„Droppery, tedy škodlivé kódy, jejichž úkolem je do zařízení dopravit skrytě další malware, jsme na předních místech v naší pravidelné statistice nějakou dobu nevídali,“ říká Jirkal. „Dropper Agent.KEQ jsme v září detekovali v desetině všech případů. Jedná se o velmi jednoduchý škodlivý kód, jehož úkolem je stáhnout do zařízení jiný, složitější malware. Útočníci ho využívají k tomu, aby si udělali v zařízení nejdříve průzkum a zjistili, jakým dalším škodlivým kódem se jim vyplatí útočit. </p><p>V tom je tento dropper právě nebezpečný. Podle našich dat vše také napovídá tomu, že dropper uživatelé nepoznají podle žádné ikony, v tomto případě se nevydává za žádnou známou aplikaci. Naopak se pravděpodobně šíří prostřednictvím podvodných webových stránek pro stahování nelegálního obsahu. V několika případech se dokonce vydával za filmové titulky,“ dodává Jirkal. </p><p>V jednotkách procent případů se v září objevil také trojský kůň Hiddad.AYF. Jedná se o adware, který patří do větší rodiny malwaru Hiddad. V Česku se škodlivý kód z této rodiny objevoval také minulý rok na podzim. </p><p>„Malware Hiddad zobrazuje reklamu skrytým způsobem – to znamená, že uživatel prakticky nemá možnost zjistit, ze které aplikace se daná reklama zobrazuje. Spustí reklamu jako externí službu a uživatel nevidí žádnou ikonu v telefonu nebo aktivitu na pozadí systému,” vysvětluje Jirkal. „Hiddad.AYF byl aktivní hlavně koncem září a uživatelé ho mohli stáhnout v domnění, že stahují různé nástroje na modifikace chytrého telefonu, jako je například změna pozadí hlavní obrazovky, nebo přizpůsobení podoby obrazovky při volání.“ </p><h2>Experti varují: Blíží se hlavní sezóna mobilního malwaru </h2><p>Bezpečnostní experti upozorňují, že s blížícím se koncem roku a obdobím svátků a prázdnin můžeme opět čekat zvýšenou aktivitu kybernetických útočníků. </p><p>„Útočníci využívají sezóny ke konci roku k šíření adwaru a dalších škodlivých kódů pravidelně. Mohou tak nejvíce využít svou strategii, kdy uživatele, kteří bývají v tuto dobu více aktivní na svých mobilních telefonech, lákají na výhodné stažení známých her či jejich modifikací s různými cheaty neboli herními výhodami pro hráče. Výjimkou nejsou ani výhodné nabídky dalších prémiových placených programů. Nabízejí je buď úplně zdarma, nebo v balících s dalším softwarem a nejčastěji na ně můžete narazit v různých neoficiálních obchodech s aplikacemi,” říká Jirkal z ESETu. </p><p>Uživatelé se nejlépe vyhnou malwaru a adwaru ve svých zařízeních s platformou Android tím, že budou všechny aplikace a programy stahovat pouze z oficiálního obchodu Google Play. Nejen před sofistikovaným malwarem, ale také před odkazy na různé podvodné stránky je ochrání <a href="https://www.aec.cz/cz/av">kvalitní bezpečnostní software​</a>. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za září 2022: </h2><p>1. Android/Andreed trojan (24,38 %) <br> 2. Android/TrojanDropper.Agent.KEQ trojan (10,73 %) <br> 3. Android/Hiddad.AYF trojan (4,92 %) <br> 4. Android/TrojanDropper.Agent.JDU trojan (4,40 %) <br> 5. Android/TrojanDropper.Agent.FHG trojan (4,10 %) <br> 6. Android/Spy.Cerberus trojan (3,75 %) <br> 7. Android/Triada trojan (3,46 %) <br> 8. Android/Agent.CZB trojan (2,17 %) <br> 9. Android/TrojanDropper.Agent.GKW trojan (2,05 %) <br> 10. Android/Spy.Agent.CAG trojan (1,93 %) <br> </p>​<br>0
Více než třetina Čechů používá Netflix, kromě účtů často sdílí i soukromá heslahttps://antivirus.cz/Blog/Stranky/vice-nez-tretina-cechu-pouziva-netflix-krome-uctu-casto-sdili-i-soukroma-hesla.aspxVíce než třetina Čechů používá Netflix, kromě účtů často sdílí i soukromá hesla<h3> <span style="color:#6773b6;">Podle aktuálního průzkumu společnosti ESET patří mezi další nejoblíbenější platformy v Česku domácí služby Voyo a iPrima, které doplňuje HBO Max. Při sdílení těchto služeb v rámci rodin Češi často sdílí přihlašovací údaje, které používají pro více služeb. </span><br></h3> <br> <p> <b>Společnost ESET zjišťovala v rámci aktuálního průzkumu popularitu VOD (Video on Demand) streamovacích platforem v Česku a s tím související riziková chování uživatelů. Nejoblíbenější VOD službou je Netflix, který v Česku využívá 39 % dotázaných bez ohledu na to, zda si službu platí, nebo s nimi přístupové údaje sdílí jejich okolí. Sdílení přístupových údajů pak přiznala více než třetina dotázaných – nejčastěji Češi sdílí své přístupy s rodinou (28,95 %), v menší míře pak s partnery a přáteli (12,10 %) nebo s úplně cizími lidmi (1,9 %). Podle dat z průzkumu přitom nejen sdílením, ale také nedostatečným zabezpečením svých online účtů vystavují riziku své citlivé a osobní údaje – rizikové je především opakované využívání stejných hesel pro různé online účty. Více než pětina (26 %) také k platbě za streamovací služby využívá své primární platební karty pro své hlavní bankovní účty. Sběr dat byl realizován agenturou Ipsos ve dnech 17. až 20. října 2022 na 1 050 respondentech v České republice. </b><br></p><p>Nejpoužívanější VOD (Video on Demand) streamovací platformou je podle průzkumu společnosti ESET v Česku Netflix, používá ho více než třetina dotázaných (39 %). V závěsu za ním se mezi tuzemskými diváky těší oblibě české platformy Voyo (18 %) a iPrima (16 %) nebo platforma HBO Max (16 %). </p><p>Často diskutovanou problematikou je u streamovacích VOD platforem sdílení přístupových údajů mezi více lidmi, a to i mimo společnou domácnost. Zhruba třetina dotázaných uvedla, že sdílí své údaje pouze s rodinou (28,95 %), více než desetina (12,10 %) pak nejen s rodinou či partnery, ale i s přáteli. V jednotkách procent sdílejí uživatelé své přístupy i s úplně cizími lidmi (1,9 %). Společnost Netflix přitom již dříve oznámila, že proti sdílení účtů mimo společnou domácnost zavede opatření. </p><p>„V případě streamovacích placených platforem si uživatelé častokrát plně neuvědomují všechna rizika, která jsou s nedostatečně silnými hesly a s jejich sdílením spojená. Už jen tím, že sdílíme heslo s dalšími lidmi, výrazně zvyšujeme pravděpodobnost, že naše přístupové údaje někdo zneužije. Mohou to být přitom jak lidé z našeho blízkého okolí, tak samozřejmě kybernetičtí útočníci, kteří mohou odcizená hesla prodat na černém trhu nebo použít k různým útokům. Pokud se útočníci dostanou k našim e-mailům, mohou prostřednictvím slovníkových útoků zkusit prolomit naše účty nejčastěji používanými a jednoduchými hesly. Rizikem je ale také takzvaný credential stuffing, kdy mohou zkusit prolomit naše další účty stejnou kombinací e-mailu a hesla,“ vysvětluje Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET. </p><h2>Desetina dotázaných používá stejná hesla i pro další online účty </h2><p>Pětina dotázaných (22,67 %) v průzkumu uvedla, že na každé platformě, kterou platí, používá silné heslo, složené nejméně z deseti různých znaků, a které používá pouze pro tuto platformu. Další uživatelé uvedli, že sice používají silná hesla, ale opakovaně je používají i pro další streamovací platformy (14,67 %). Riziku jsou pak vystaveni především ti uživatelé, kteří hesla recyklují i pro své další online služby, jako jsou e-mailové účty, účty u různých e shopů a podobně, což uvedla necelá desetina dotázaných (9,05 %). </p><p>V souvislosti s tím část dotázaných (7,43 %) také uváděla, že pravidelně mění své přístupové údaje v okamžiku, kdy se změní okruh sdílených sledujících. Typicky se může jednat o situaci při rozchodu partnerů nebo když některý člen prémiového profilu pro více sledujících již nechce službu dále využívat. Nejčastěji uživatelé mění heslo z důvodu, že ho zapomenou (22,76 %) a desetina dotázaných (10,86 %) nemění svá hesla nikdy. </p><p style="text-align:center;"> <img class="MaxWidthImage" src="/Blog/PublishingImages/Clanky/2022/vladimira-zackova-eset.jpg" data-themekey="#" alt="Vladimíra Žááčková (ESET)" style="margin:5px;width:658px;" /> <br>​ </p><p>„U sdílení přístupových údajů na streamovacích platformách, pokud pomineme skutečnost, že jde v nemalém množství případů o porušení pravidel těchto platforem, snižujeme riziko zneužití hesla v případě, kdy máme pro každý svůj účet vytvořené unikátní a dostatečně silné heslo tvořené heslovou frází nebo složené nejméně z deseti znaků, které zahrnují malá a velká písmena, číslice a případně i speciální znaky,“ říká Žáčková. „V okamžiku, kdy ale hesla recyklujeme pro další služby, prakticky tím otevíráme dveře útočníkům. Například jen v e-mailu dnes uchováváme celou řadu osobních informací, od citlivé komunikace s lékařem nebo smlouvy s rodnými čísly. Pokud se útočníci dostanou k našemu heslu a e-mailu, které mohou uniknout i z databáze poskytovatele streamovací služby, mohou zkusit stejným heslem prolomit přístup například i do našeho e-mailu. A pokud využíváme e-mail pro přístup k dalším službám, na kterých využíváme opět stejné heslo, může se útočník dostat ještě dál,“ dodává Žáčková. </p><h2>Nejčastěji platíme naší kartou k hlavnímu bankovnímu účtu </h2><p>Uživatelé za video obsah nejčastěji platí ze svých primárních platebních karet ke svým hlavním bankovním účtům (26 %). Výrazně méně z nich pak používá k platbě za streamovací služby jiné alternativy, jako je například jiná karta, než kterou mají k hlavnímu bankovnímu účtu (9 %), virtuální karta (9 %), převod na účet (7 %) nebo platba přes aplikace jako Google Pay či Apple Pay (5 %). Více než desetina (13 %) pak neplatí za streamovací služby vůbec. </p><p>„Jedním ze základních bezpečnostních pravidel při nákupu služeb nebo zboží na internetu je využívat v případě platby kartou, která je dnes velmi rozšířená a oblíbená, jinou kartu, než kterou máme ke svému primárnímu bankovnímu účtu, a to mimo jiné kvůli různým rostoucím podvodům na internetu,“ říká Žáčková. „Při pravidelném strhávání platby z karty máme na kartě povolené platby na internetu, které z tohoto důvodu nemůžeme vypnout. V okamžiku, kdy se útočníci dostanou k údajům o naší kartě, roste také riziko, že se dostanou i k dalším financím na našem účtu. Uživatelům tak z bezpečnostních důvodů opakovaně doporučujeme využívat pro nákupy a platby na internetu k tomu vyčleněné platební karty, nebo karty virtuální,“ dodává Žáčková. </p>​<br>0
Polonium použilo proti izraelským cílům nový typ malwaruhttps://antivirus.cz/Blog/Stranky/polonium-pouzilo-proti-izraelskym-cilum-novy-typ-malwaru.aspxPolonium použilo proti izraelským cílům nový typ malwaru<p><strong>Podle posledních zjištění bezpečnostních analytiků ze společnosti ESET se skupina POLONIUM zaměřila výlučně na izraelské cíle, konkrétně zaútočila na organizace z různých odvětví jako strojírenství, informační technologie, právo, komunikace, branding a marketing, média, pojišťovnictví nebo sociální služby. POLONIUM je považována za operativní skupinu se sídlem v Libanonu, která koordinuje své aktivity s dalšími subjekty napojenými na íránské ministerstvo zpravodajských služeb a bezpečnosti. </strong><br></p><p>Skupina vyvinula vlastní špionážní nástroje a pro komunikaci s řídícími (C&C) servery zneužívá běžné cloudové služby, jako jsou Dropbox, OneDrive či Mega. Bezpečnostní specialisté ze společnosti ESET pojmenovali pět dosud nezdokumentovaných škodlivých kódů jmény s anglickou příponou „-Creep“. I přestože mohou být do kyberšpionáže zapojeny také organizace či instituce z jiných států po celém světě včetně České republiky, podle posledních informací je útok geograficky lokalizován pouze na Blízkém východě. </p><p>Bezpečnostní analytici ze společnosti ESET pojmenovali pět dříve nezdokumentovaných backdoorů neboli tzv. zadních vrátek příponou „-Creep“ (děsivý či strašidelný). Podle telemetrie společnosti ESET se APT skupina POLONIUM zaměřila na více než desítku izraelských organizací, a to minimálně už od září 2021. Poslední akce skupiny byly přitom zaznamenány v září 2022. APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. </p><p>Mezi odvětví, na která se tato skupina zaměřuje, patří strojírenství, informační technologie, právo, komunikace, branding a marketing, média, pojišťovnictví a sociální služby. APT skupinu POLONIUM poprvé zdokumentovala společnost Microsoft v červnu 2022. Podle společnosti Microsoft má tato skupina sídlo v Libanonu a koordinuje své aktivity s dalšími subjekty napojenými na íránské ministerstvo zpravodajských služeb a bezpečnosti. </p><p>„Podle informací, které jsou k aktivitě skupiny POLONIUM z posledního výzkumu ESET dostupné, skupina operuje pouze v rámci Blízkého východu,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Česká republika tak aktuálně není mezi cíli, na které se skupina POLONIUM zaměřuje. Kyberšpionážní aktivita ale samozřejmě nerespektuje hranice jednotlivých států a prakticky u každé země může existovat možnost, že nějaký subjekt na jejím území může s cílem útoku spolupracovat a stát se díky tomuto propojení také obětí. Nic takového ale v tuto chvíli v České republice nepozorujeme,“ dodává Jirkal. </p><h2>Útoky umožňují známá cloudová uložiště </h2><p>Podle bezpečnostních expertů ze společnosti ESET je POLONIUM velmi aktivním aktérem, který disponuje rozsáhlým arzenálem malwarových nástrojů, neustále je modifikuje a vyvíjí nové. Společným znakem v použití těchto nástrojů je zneužívání cloudových služeb, jako jsou Dropbox, Mega a OneDrive, ke kontrolní a řídící komunikaci typu C&C (command and control). Zpravodajské informace a veřejné zprávy o skupině POLONIUM jsou velmi kusé a omezené, pravděpodobně proto, že útoky skupiny jsou vysoce sofistikované a není znám počáteční vektor kompromitace. </p><p>„Četné verze a změny, které skupina POLONIUM zavedla do svých vlastních nástrojů, vypovídají o nepřetržité a dlouhodobé snaze o špionáž jejích cílů. Podle využívaných nástrojů můžeme usuzovat, že má zájem o sběr důvěrných dat svých obětí. Nezdá se však, že by se skupina zapojovala do sabotážních nebo ransomwarových akcí,“ říká Jirkal. </p><h2>Skupina využívá strašidelná zadní vrátka </h2><p>Sada nástrojů skupiny POLONIUM se skládá ze sedmi vlastních backdoorů neboli zadních vrátek: CreepyDrive, který zneužívá cloudové služby OneDrive a Dropbox pro řídící komunikaci; CreepySnail, který vykonává příkazy přijaté z vlastní infrastruktury útočníků; DeepCreep a MegaCreep, které využívají služby Dropbox či Mega pro ukládání souborů; a FlipCreep, TechnoCreep a PapaCreep, které přijímají příkazy z řídících serverů útočníků. </p><p>Skupina POLONIUM také vyvinula několik vlastních modulů, které umožňují špehovat cíle pořizováním snímků obrazovky, zaznamenáváním stisků kláves, špehováním prostřednictvím webové kamery, otevíráním reverzních shellů, exfiltrací souborů a dalšími způsoby. </p><p>„Většinou jsou škodlivé moduly použité skupinou POLONIUM malé a s omezenou funkčností. V jednom případě útočníci použili jeden modul pro pořizování snímků obrazovky a druhý pro jejich odesílání na C&C server. Podobně útočníci rozdělují funkcionalitu také ve svých škodlivých kódech a rozdělují škodlivé akce do různých malých DLL knihoven. Za tímto chováním může být domněnka útočníků, že bezpečnostní analytici a specialisté chránící cílovou organizaci nebudou schopni pozorovat celý řetězec útoku a poskládat tak celý vektor útoku z jednotlivých dílčích kroků,“ shrnuje Jirkal z ESETu . </p><h2>Více informací </h2><p>Více informací o aktivitách APT skupiny POLONIUM najdete na webových stránkách odborného magazínu <a href="https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/" target="_blank">WeLiveSecurity.com​</a>. </p><br>0
Herní průmysl ve válce s hackeryhttps://antivirus.cz/Blog/Stranky/herni-prumysl-ve-valce-s-hackery.aspxHerní průmysl ve válce s hackery<p>Podle nárůstu kyberútoků na herní společnosti by se mohlo zdát, že jsou vykopané zákopy a hackeři jsou v koordinované válce s herním průmyslem. Jak ale uvádí společnosti Check Point, odpověď je jako vždy podstatně jednodušší. Herní průmysl roste raketovým tempem, nechává za sebou film i sport, takže útoky na herní studia, vývojáře a distributory jsou logickým krokem pro kyberzločince, kteří se chtějí dostat k penězům. Počet kyberútoků navíc roste napříč všemi organizacemi bez ohledu na odvětví nebo velikost. Na konci září dosáhl průměrný týdenní počet kyberútoků na jednu organizaci historického maxima. <br></p><p>Roste počet rekreačních hráčů i profesionálních týmů, herní hity se prodávají po milionech a YouTubeři, točící o hrách, stejně jako závodní hráči, jsou celebritami. A kam se přesouvají peníze, tam se přelévá i zájem hackerských skupin. </p><p>V posledních týdnech, měsících a letech jsme viděli řadu bezpečnostních incidentů a útoků. Hrozby můžeme rozdělit do několika kategorií. Hráči i herní společnosti by měli znát rizika, aby se proti nim mohli bránit. </p><ul><li>Ransomwarové útoky: Hackeři dobře vidí, kolik peněz se v herním průmyslu točí, a že se jedná o lukrativní cíle. Zašifrovat data, ukrást zdrojové kódy a jiné citlivé informace a vydírat herní společnosti není bohužel v posledních letech ojedinělé. Výkupné se přitom pohybuje v milionech dolarů. Oběťmi ransomwarových útoků byly například Capcom, tvůrce populárních her Street Fighter, Mega Man, Resident Evil, Devil May Cry a Monster Hunter, nebo společnost CD PROJEKT RED, která vytvořila hity jako Zaklínač nebo Cyberpunk 2077.<br><br> </li><li>Úniky dat: Jiný přístup zvolili hackeři, kteří napadli Electronic Arts nebo Rockstar. Ze systémů herního giganta Electronic Arts (EA) bylo ukradeno 780 gigabajtů dat, včetně herního enginu Frostbite, na kterém běží oblíbené hry jako FIFA, Madden, Battlefield a řada dalších. Jak ukázal nedávný případ, na podobné útoky není potřeba ani dobře placená a organizovaná skupina. Například 17letý hacker, který dříve napadl Uber, vydíral autory očekávaného herního megahitu GTA VI. Nejdříve zveřejnil desítky videí a vyhrožoval zveřejněním dalších citlivých materiálů. Sice byl dopaden, ale jeho útok měl vliv na cenu akcií i důvěru hráčů.<br><br> </li><li>DDoS útoky: V posledních měsících sledujeme DDoS útoky ve jménu politických cílů, ale pořádnou komplikací mohou být i pro herní společnosti. Naposledy se o tom přesvědčil Blizzard při představení multiplayer hitu Overwatch 2. Problémy s připojením a výpadky mohou řadu hráčů odradit a mohou se odrazit i na negativním hodnocení. Motiv není zřejmý, ať už se jednalo o snahu pomstít se za změny v herním designu, tedy sofistikovanější alternativu k review bombingu, nebo to mohla být snaha o vydírání, případně konkurenční boj. Jak velký problém mohou být přehlcené servery jsme viděli třeba u Outriders. A pokud se k náporu hráčů přidají i hackeři, může být i rozjezd slibného titulu ohrožen.<br><br> </li><li>Krádeže účtů a herních předmětů: Na hráče číhá v herním světě řada hrozeb. Phishing, sociální inženýrství i zranitelnosti. Útočníci se snaží vylákat z obětí přihlašovací údaje nebo platební informace a napodobují při tom oficiální zprávy a stránky známých společností a organizací a nabízí nejrůznější odměny a novinky. Některé phishingové podvody jsou ale podstatně sofistikovanější. Útočníkům se například povedlo hacknout přímo podporu významné herní společnosti 2K, takže podvodné e-maily byly rozesílané oficiální cestou. Někdy hráči nemusí útočníkům ani skočit na jejich triky, aby přišly o své virtuální bohatství. </li><ul><li>Check Point v minulosti odhalil zranitelnosti v populární hře Fortnite, které mohli hackeři zneužít ke krádeži účtů, dat a peněz nebo k odposlechům a špehování. </li><li>Zranitelnosti byly objevené také v herním klientovi Origin společnosti Electronic Arts. Ohroženo bylo více než 300 milionů hráčů a v případě zneužití by zranitelnosti mohly vést ke krádeži hráčských účtů a identit. </li><li>Čtyři nebezpečné zranitelnosti měla také síťová knihovna Steam, populární online platforma od Valve, která nabízí hry jako Counter Strike: Global Offensive, Dota 2 nebo PLAYERUNKNOWN'S BATTLEGROUNDS. Steam využívají miliony hráčů a na platformě jsou tisíce her od velkých i nezávislých vývojářů. Pokud by zranitelnosti nebyly opravené, mohli by útočníci zneužít chyby k pádu herních klientů, převzetí kontroly nad protihráčovým počítačem nebo všemi počítači připojenými k herním serverům třetích stran. </li><li>​Své o riziku ztráty účtu a herních předmětů ví i čeští hráči. Například Martin „zur1s“ Sláma na turnaji CS:GO přišel v živém přenosu o herní účet. Nejen že nemohl pokračovat v turnaji, ale ještě mu byly ukradeny herní předměty za 300 tisíc korun.<br><br> </li></ul><li>Krádeže platebních údajů: Herní komunita je zvyklá používat moderní technologie a má zkušenosti s mikrotransakcemi a online platbami, což je pro útočníky velmi lákavý cíl. Hackeři jsou chytří a když se dostanou k finančním informacím, často převádí malé částky po dlouhou dobu, aby se minimalizovalo riziko odhalení. Hráči by tak měli být dobře zabezpečení, aby je nenachytal žádný malware sledující stisknuté klávesy nebo bankovní trojan.<br><br> </li><li>Žádosti o přátelství: Na žádosti o přátelství na Facebooku od nejrůznějších falešných účtů jsme si zvykli, ale v herním světě, speciálně u dětí, to nemusí vyvolat stejné podezření. Společný zájem o videohry totiž zvyšuje důvěru a snižuje obezřetnost. Falešní herní přátelé mohou zkoušet různé triky, včetně žádostí o dárečky ve hrách koupené za reálné peníze a podobně nebo přesměrování přátel na podvodné hry.<br><br> </li><li>Těžba kryptoměn: Herní počítače jsou i vděčným terčem různých malwarů těžících kryptoměny, takže by hráči měli být velmi obezřetní, aby nepřišli o významnou část výkonu, kterou někdo jiný využije pro svoje obohacení.<br><br> </li><li>Chytrá herní příslušenství: Moderní klávesnice, kamery a další herní příslušenství by mohlo být v případě úspěšného útoků zneužito k odposlouchávání hráčů, špehování kamerou a podobně. Je nutné si uvědomit, že z herního světa to do toho reálného může být jen na vzdálenost pár kliknutí.<br><br> </li><li>Nebezpečí může číhat i ve hrách: například v letošním megahitu Elden Ring bylo v multiplayer verzi možné najít část zbroje „Deathbed Smalls“. Jednalo se o spodní prádlo, kterým hráči mohli ukázat, že si věří a jsou tak zkušení, že nepotřebují brnění. Problém byl, že Deathbed Smalls v Elden Ring vůbec neměly být a byly součástí sady, která byla ze hry před vydáním vyškrtnuta. Některým hráčům se ale povedlo toto vybavení do hry vrátit a když jiný hráč ve hře Deathbed Smalls zahodil a jiný našel, hrozilo mu zabanování, protože předmět spustil ochranu proti podvodům. Následně sice byla vydána záplata a aktualizace, ale i když v tomto případě hráči mohli přijít „jen“ o svůj progres a desítky odehraných hodin, je to ukázka, že by v budoucnu mohly hrozby a vydírání směrovat i tímto směrem. </li></ul> <br> <p>„Kyberútoky na hráče a herní společnosti jsou bohužel stále běžnější. Když se blíží vydání nové hry a hledáte další informace nebo když potřebujete pomoc a sháníte návody, tipy a rady v diskuzích, mějte na paměti, že kyberzločinci zneužijí jakoukoli příležitost. Herní vývojáři a vydavatelé musí okamžitě nasadit špičková preventivní bezpečnostní řešení, jinak se vystavují obrovskému riziku. Nedávné útoky jsou víc než dostatečným varováním,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h2>Jak se mohou chránit hráči? </h2><ul><li>Pozor na phishing. Phishingové kampaně zneužívají značky známých her i společností a snaží se uživatele nalákat na podvodné přihlašovací stránky. Nikdy neklikejte na žádné podezřelé odkazy a stránky herních společností navštěvujte vždy napřímo.<br><br> </li><li>Zcela zásadní je používat dvoufaktorové ověřování (2FA), které minimalizuje hrozbu případného útoku. Při přihlášení k účtu z nového zařízení bude vyžadován bezpečnostní kód, tedy pojistka, která hráčům může ušetřit hodně problémů a finančních ztrát.<br><br> </li><li>Současně je nutné pravidelně aktualizovat operační systém, aplikace a firmware herních zařízení a příslušenství, a eliminovat tak všechny známé bezpečnostní slabiny.<br><br> </li><li>Hráči mobilních her by nikdy neměli stahovat aplikace z neoficiálních zdrojů a obchodů. Ale i do těch oficiálních občas pronikne nějaká malwarová aplikace, proto je nutné používat <a href="https://www.aec.cz/cz/av">bezpečnostní řešení​</a>, které dokáže proaktivně vyhledat a zastavit hrozby, ještě než mohou způsobit nějaké škody. <br></li></ul> <br> <h2>Jak se mohou chránit herní společnosti: </h2><p>1. Zaměřte se na prevenci, nikoli jenom na detekci hrozeb. </p><p>2. O víkendech a svátcích buďte obzvláště ostražití. Mnoho ransomwarových útoků probíhá o víkendech nebo svátcích, kdy je větší pravděpodobnost, že organizace na hrozbu zareagují pomaleji. </p><p>3. Zabezpečte vše, protože kyberzločinci zneužijí jakékoli slabé místo. </p><p>4. Pravidelně instalujte aktualizace a záplaty. WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky. </p><p>5. Omezte přístup jen na nutné informace a segmentujte. Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace sítě minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou organizací. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější. </p><p>6. Vzdělávání je nezbytnou součástí ochrany. Mnoho kyberútoků začíná cíleným e-mailem, který neobsahuje malware, ale pomocí sociálního inženýrství se snaží nalákat uživatele, aby klikl na nebezpečný odkaz. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany. </p><p>7. Zálohování a archivace dat je základ. Cílem ransomwaru je donutit oběť zaplatit výkupné, aby získala zpět přístup k zašifrovaným datům. To je však účinné pouze v případě, že cíl skutečně přístup ke svým datům ztratí. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si sami vzpomenou na zapnutí zálohy. </p><p>8. Implementujte pokročilé preventivní bezpečnostní technologie. </p>0


No More Ransom 

AEC Endpoint Detection and Response

Microsoft Exchange

Threat Cloud Map

AEC Penetrační testy

Coalition Against Stalkerware 

Ransomware Attack Map