Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Ponaučení z jednoho předvánočního pokusu o podvodhttps://antivirus.cz/Blog/Stranky/ponauceni-z-jednoho-predvanocniho-pokusu-o-podvod.aspxPonaučení z jednoho předvánočního pokusu o podvod<h3> <span style="color:#6773b6;">​V předvánočním čase, v době prudce stoupající nákupní horečky, začínají žně i svérázným „obchodníkům“ v prostředí internetu. Určitý typ podvodů lze v tomto období nalézt na každé sociální síti, všude tam, kde lidé prodávají lidem. </span><br></h3> <br> <p>V našem textu vám na jednom takovém reálném pokusu o podvod ukážeme, jak podobný úskok rozpoznat a případně se mu vyhnout. Pokus o podvod, který spolu rozebereme, se udál v prostředí Facebooku, konkrétně v jeho části Marketplace. Byla při něm použita platforma EMS (Express Mail Service), která umožňuje přepravovat zásilky napříč sítí poštovních institucí. </p><h2>Prvním varovným indikátorem bývá jazyk zprávy </h2><p>Celá kauza začala inzerátem na sociální síti Facebook a následným kontaktováním prodejce. V článku popsaný princip funguje jak v případě, že jste prodávajícím, tak i v případě, že nakupujete. Zájemce o koupi navrhl jako způsob dodání zboží využít mezinárodní službu EMS Express. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-01.png" data-themekey="#" alt="" style="margin:5px;width:370px;" /> <br> <br> </p><p>Prvním indikátorem, který by vám měl po přečtení zprávy v hlavě rozblikat červenou kontrolku, je jazyk, jímž je zpráva napsaná, včetně některých použitých formulací. V okamžiku, kdy obdržíte podobný text, vřele doporučujeme pozorněji si prohlédnout profil kontaktující osoby. Zda má nějaké příspěvky, vyplněné informace, přidané přátele (sociální síť bez přátel nedává příliš smysl), přidané fotky atd. Tím získáte alespoň hrubou představu o tom, zda se jedná o validního uživatele, anebo o falešný profil. </p><p>Coby prodávající jsme souhlasili s použitím služby EMS, abychom vzápětí obdrželi od kupujícího požadavek na doplnění dalších osobních údajů. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-02.png" data-themekey="#" alt="" style="margin:5px;width:336px;" /> <br> <br> </p><p>Zde byste měli opět zpozornět. Právě v této fázi obchodu se nervózní, a tedy obvykle ne příliš zkušení podvodníci začínají domáhat bližších informací o vaší platební kartě, respektive dalších osobních údajů. V našem případě byl útočník opatrnější a po poptávaných informacích se přesunul z Facebookového chatu do e-mailové komunikace. </p><h2>Pozor na falešnou e-mailovou adresu </h2><p>Podoba obdrženého e-mailu od údajné služby EMS vypadala následovně: </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-03.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Tady si můžeme na první pohled povšimnout zvláštního předmětu zprávy a podivných svislých čar v levé části e-mailu. V rámci jeho podrobnějšího ověření je samozřejmě záhodno zkontrolovat také adresu odesílatele. V případě služby EMS bychom mohli po právu očekávat, že odesílatelem e-mailu bude některá z pošt, například Česká pošta, tedy cpost.cz. </p><p>V našem případě je však odesílatelem express.ems.via.service(zavináč)gmail.com. Přitom je velice nepravděpodobné, že by kterákoliv ze služeb EMS či jiných, prostřednictvím nichž budete kupovat zboží, používaly doménu gmail.com. Služby, které budete využívat, budou mít ve většině případů doménu shodnou se svým názvem, například společnost Zalando rozesílá e-maily z adresy info@service-mail.zalando.cz. </p><h2>Útočníci se často pokoušejí přesměrovat platbu </h2><p>Pokračujme dále k samotnému textu e-mailu: </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-04.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Na první pohled nás tu do očí udeří kostrbatá čeština a nešikovné formulace, včetně podivného oslovení. Málokterá seriózní služba je tak „friendly“, že vám bude v takovém e-mailu a hned napoprvé tykat. Ani s uvedeným střídáním malých a velkých liter v textu se běžně nesetkáváme, stejně jako s různými barvami a velikostí písma. </p><p>Pokračujeme-li v četbě e-mailu, dostaneme se k informacím o platbě. Zde je uveden (vcelku) přehledný výčet, co všechno je třeba uhradit a proč. Ale opět špatnou češtinou, znovu za použití kombinace různých barev. Co je zde ale nejdůležitější, je přidaný odkaz, který nás má nasměrovat k platbě – v tomto případě se jedná o stránku dundle(tečka)com. </p><p>Pokud si o stránce dohledáme více informací, zjistíme, že si zde můžeme zakoupit předplacený kredit, který lze použít na nákupy, hry nebo telefonování, a to bezpečně a bez starostí. „Digitální kódy posíláme ihned do e-mailu, a to 24 hodin denně, 7 dní v týdnu.“ </p><p>Tady by nám měl v hlavě vyskočit druhý velký červený vykřičník. Chceme přece posílat zboží přes EMS, proč tedy není platba řešena přes jejich portál, ale je využívána jiná služba? </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-05.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Ověřte si podmínky služby přímo na jejich oficiálních stránkách </h2><p>Pokud si v obdobných případech nebudete jisti, jak dále postupovat, uděláte nejlépe, když se podíváte přímo na stránky služby, kterou chcete pro doručení zboží použít nebo která vám byla pro přepravu doporučena. </p><p>V našem případě se jedná o EMS, takže jsme si otevřeli jejich web a zjistili, že služba opravdu existuje, a dokonce funguje pod záštitou České pošty (viz <a href="https://www.ceskaposta.cz/sluzby/baliky/cr/ems" target="_blank">https://www.ceskaposta.cz/sluzby/baliky/cr/ems</a>). Na stránkách EMS se také nachází sekce s kontaktními údaji, které je možné použít pro ověření legitimnosti zásilky. </p><p>Kontaktovali jsme tedy telefonní operátorku, abychom si ověřili referenční číslo transakce. Dáma na druhé straně aparátu nás však okamžitě upozornila, že referenční čísla zásilek České pošty začínají vždy znaky abecedy, nikoli číslicemi, a tudíž zde něco nesedí. </p><p>Podezření na to, že se nás někdo pokouší podvést, se ještě zvýšilo ve chvíli, kdy jsme operátorce sdělili, že zpráva přišla z adresy gmailu. Pracovnice nám obratem potvrdila domněnku, že česká EMS nepoužívá žádnou jinou adresu než (zavináč) cpost.cz. </p><p>Osoba, která od nás chtěla zboží zakoupit, měla na svém profilu vyplněnou zemi pobytu Německo. I v konverzaci se zmínila, že není českou občankou. Zamířili jsme proto na stránky centrální služby EMS, tedy <a href="https://www.ems.post/en" target="_blank">https://www.ems.post/en</a>, a dohledali jsme si německou pobočku. </p><p>Hned v první části textu byla uvedena kontaktní e-mailová adresa na německou EMS službu. Zde si povšimněme, že za zavináčem není gmail, ale deutschepost. Další střípek do skládačky zapadl. Pro potvrzení naší teorie, že obdržený e-mail nebyl legitimní, jsme se ještě obrátili přímo na Deutsche post. Ta nás bleskově ujistila, že žádný gmailový účet nepoužívá. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/podvod-vanoce-06.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Buďte obezřetní, neposkytujte nikomu údaje o své kartě </h2><p>Je více než pravděpodobné, že za e-mailem stál útočník, který podnikl předvánoční pokus dostat se coby fiktivní zájemce o koupi k cizím penězům. </p><h2>Jaké ponaučení z toho všeho plyne? </h2><p>Buďte opatrní a v prostředí internetu obzvlášť. Nepoužívejte služby, které neznáte. Neklikejte bezhlavě, zejména ne na odkazy, které jsou vložené v e-mailech, a pozorně čtěte zprávy, které obdržíte. Rozhodně nikdy a za žádných okolností nikam nevkládejte údaje ze své karty a už vůbec si je neukládejte. </p><p>Plaťte raději převodem, případně mějte pro tyto účely separátní (virtuální) kartu. Zvažte, zda by se vám místo debetní karty nevyplatilo používat kreditní. </p>​<br> <p> </p><div align="right"><table width="390"><tbody><tr><td width="100" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/lubomir-almer-aec-2021.jpg" alt="Lubomír Almer, AEC" data-themekey="#" style="margin:5px;width:90px;height:120px;" /> </td><td width="290" align="left" valign="top"><p> <br> <strong>Lubomír Almer​</strong><br>Head of Cyber Defense Center<br>AEC a.s.</p><p> <img src="/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-cdc.png" alt="security is our DNA" data-themekey="#" style="margin:5px;width:150px;height:20px;" /> </p></td></tr></tbody></table></div>1
Špionážní kampaň skupiny StrongPity cílí přes Telegram na uživatele Androiduhttps://antivirus.cz/Blog/Stranky/spionazni-kampan-skupiny-strongpity-cili-pres-telegram-na-uzivatele-androidu.aspxŠpionážní kampaň skupiny StrongPity cílí přes Telegram na uživatele Androidu<p> <strong>Analytici ze společnosti ESET objevili novou kampaň skupiny StrongPity, kterou skupina distribuuje pomocí plně funkční, ale trojanizované aplikace Telegram. Poprvé se tak podařilo popsat moduly využité při útoku a jejich funkčnost veřejně zdokumentovat. Backdoor, kterým skupina útočí, funguje modulárně a má řadu špionážních funkcí. Pokud oběť udělí škodlivé aplikaci přístup k oznámením a službám přístupnosti, malware je schopen také exfiltrovat komunikaci z chatovacích aplikací, jako jsou Viber, Skype, Gmail, Messenger či Tinder. K šíření trojanizované aplikace pak skupina využívá falešnou webovou stránku služby Shagle, která nabízí videochat pro dospělé. V Česku tato útočná kampaň není aktuálně detekována, ale bezpečnostní experti společnosti ESET situaci monitorují. </strong><br></p><p>Podle dostupných dat analytiků ze společnosti ESET využívá APT skupina StrongPity plně funkční trojanizovanou verzi legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, kterou lze stáhnout z falešné stránky napodobující web Shagle, a to navzdory tomu, že žádná oficiální verze této aplikace neexistuje. APT neboli Advanced Persistent Threat je označení pro skupiny různými státy sponzorovaných kybernetických útočníků, kteří se pokročilými technikami snaží získat data konkrétních cílů, nejčastěji za účelem kyberšpionáže. </p><p>Backdoor (tzv. zadní vrátka), který skupina v kampani využívá, má různé špionážní funkce: jeho 11 dynamicky spouštěných modulů dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo kontaktů. Tyto moduly se podařilo vůbec poprvé veřejně zdokumentovat. </p><p>„Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací,“ popisuje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><h2>Útočníci vytvořili aplikaci, která nemá reálnou předlohu </h2><p>Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram ke stažení a neumožňuje streamování přes web. Trojanizovaná aplikace Telegram přitom nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli detekci. </p><p>Škodlivý kód, jeho funkčnost, názvy tříd i certifikát použitý k podepsání APK souboru jsou totožné s jinou předchozí kampaní, bezpečnostní experti se proto s velkou jistotou domnívají, že pod touto operací je podepsána právě skupina StrongPity. Analýza kódu také odhalila, že backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru (Command & Control). To znamená, že počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, dokonce i v jejím průběhu. </p><p>„Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat,“ říká Jirkal. </p><p>Kompromitovaná verze aplikace Telegram používá stejný název softwarového balíku jako legitimní aplikace Telegram. Názvy balíků mají být unikátními identifikátory pro každou Android aplikaci a musí být jedinečné pro každé zařízení. To znamená, že pokud je v zařízení potenciální oběti již nainstalována oficiální aplikace Telegram, nelze trojanizovanou verzi nainstalovat. „To může znamenat dvě věci – buď útočníci nejprve komunikují s potenciální obětí a tlačí ji k tomu, aby pravou aplikaci Telegram ze svého zařízení odinstalovala, pokud ji má nainstalovanou, nebo se útočná kampaň zaměřuje na země, kde není používání Telegramu tak běžné,“ dodává Jirkal z ESETu. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/shagle.png" data-themekey="#" alt="" style="margin:5px;width:284px;" /> <br> <em>Porovnání legitimní webové stránky Shagle (vlevo) s její falešnou verzí.</em> <br></p><h3><br>Více informací </h3><p>Více informací ke kampani APT skupiny StrongPity najdete na stránkách magazínu <a href="https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/" target="_blank">WeLiveSecurity</a>. </p><p>​​​<br></p>0
Ruská hacktivistická skupina NoName057(16) ohrožuje české prezidentské volbyhttps://antivirus.cz/Blog/Stranky/ruska-hacktivisticka-skupina-noname05716-ohrozuje-ceske-prezidentske-volby.aspxRuská hacktivistická skupina NoName057(16) ohrožuje české prezidentské volby<p> <strong>Check Point upozorňuje, že ruská hacktivistická skupina NoName057(16), která je aktivní od března 2022 a jejíž vznik může souviset s válečným konfliktem, se zaměřuje na ukrajinské a proukrajinské organizace, podniky a vlády, přičemž její cíle se mění v závislosti na geopolitickém vývoji. V posledních měsících se skupina zaměřovala na různé země Evropské unie, které veřejně podpořily Ukrajinu, mimo jiné na Polsko, Litvu, Lotyšsko, Slovensko, Norsko, Finsko, Německo, Španělsko a Dánsko. Kromě toho skupina podnikla útoky na konkrétní cíle v USA a ve Spojeném království. </strong><br></p><p>„V následujících dnech můžeme očekávat další útoky na Českou republiku, s blížícím se termínem druhého kola prezidentských voleb se budou útoky pravděpodobně ještě stupňovat. Skupina NoName057(16) dokonce finančně motivuje své příznivce a nejaktivnějším útočníkům rozdává odměny. Vidíme zejména útoky na české webové stránky, ale kromě vládních webů se nyní kyberzločinci zaměřují také na významné společnosti ve výrobním sektoru,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p>NoName057(16) používá zejména DDoS útoky, podařilo se jí způsobit dočasnou nedostupnost webových stránek nejvýznamnějších cílů v soukromém sektoru, jako jsou banky a další finanční instituce. V srpnu 2022 se také povedlo odstavit webové stránky finského parlamentu, následně útočníci shodili webové stránky řeckého ministerstva obrany nebo chorvatského ministerstva obrany a mnoho dalších institucí. </p><p>11. ledna 2023 začala skupina útočit na webové stránky související s českými prezidentskými volbami. Na Telegramu uvedla, že důvodem útoků je očekávaný výcvik 4 000 ukrajinských vojáků ve vojenském cvičišti Libavá v České republice, a proto se rozhodla „zúčastnit“ českých voleb. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/prezidentske-volby-01.png" data-themekey="#" alt="" style="margin:5px;width:160px;" /> <br> <em>Prohlášení NoName057(16) o útocích na volby v České republice</em> <br></p><p>Ke zrychlení útoků pak došlo hned následující den 12. ledna, kdy odstavila webové stránky neziskové organizace, která prezentovala volební programy všech kandidátů, weby organizace Hlídač státu, Českého statistického úřadu a Ministerstva zahraničních věcí. </p><p>V den voleb (13. ledna) skupina pokračovala v útocích na klíčové webové stránky, včetně stránek kandidátů generála Petra Pavla a Tomáše Zimy, a také na stránky organizace Hlídač státu a Ministerstva zahraničních věcí. Jeden z kandidátů, Tomáš Zima, prohlásil, že kvůli DDoS útoku nemohl na webové stránce veřejně prezentovat své zprávy o financování kampaně, jak mu ukládá zákon. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/prezidentske-volby-02.png" data-themekey="#" alt="" style="margin:5px;width:249px;" /> <br> <em>Petr Pavel potvrzuje útoky na své webové stránky</em> <br></p><p>Po volbách (14.-15. ledna) pokračovaly útoky na Český statistický úřad, který zodpovídá za sčítání a zveřejňování výsledků voleb, a také znovu na webové stránky organizace Hlídač státu. Od 16. ledna až do současnosti skupina pokračuje v útocích, nyní se však více zaměřuje na významné společnosti ve výrobním sektoru. </p><p>Není to poprvé, co NoName057(16) nebo jiná hacktivistická skupiny napojená na Rusko takto vytrvale útočí na konkrétní země. Je to však poprvé, kdy se úspěšně pokusily narušit dostupnost klíčových webových stránek během demokratických voleb. Útoky hacktivistických skupin napojených na Rusko byly v souvislosti s volbami sice zaznamenány v říjnu 2022, kdy se Killnet pokusil před volbami zaútočit na cíle v USA, a během listopadu, kdy se ruská hacktivistická skupina The People’s Cyber Army zaměřila na webové stránky americké Demokratické strany, tyto útoky však byly mnohem slabší, než aktuálně vidíme. Většina útoků totiž nezpůsobila žádné narušení dostupnosti stránek, na rozdíl od poměrně vysoké úspěšnosti útoků v České republice. </p><p>NoName057(16) komunikuje primárně prostřednictvím Telegramu. Má hlavní ruskojazyčný kanál s téměř 20 000 členy, kanál v angličtině a skupinu dobrovolníků nazvanou DDosia Projects. Ten zahrnuje pouze 1 427 členů, ale je velmi aktivní a měsíčně provede velké množství útoků. Má čtyři dílčí kanály, přičemž jeden z nich se věnuje výběru cílů pro DDoS útoky. Aktivity jsou monitorovány, protože NoName057(16) nabízí dobrovolníkům peněžní odměny, které začínají na 20 000 rublech (6500 Kč) a končí na 80 000 rublech (přibližně 25 000 Kč). </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/prezidentske-volby-03.png" data-themekey="#" alt="" style="margin:5px;width:328px;" /> <br> <em>Rozdělení odměn nejaktivnějším dobrovolníkům</em> <br></p> <br>0
Hrozby pro Android: prosinec 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-android-prosinec-2022.aspxHrozby pro Android: prosinec 2022<h3><span style="color:#6773b6;">Adware si nachází cesty k českým uživatelům přes populární hry. Bezpečnostní specialisté nevylučují, že se v letošním roce na platformě Android setkáme s novými typy hrozeb, agresivní podvodná reklama však bude i nadále rizikem. </span><br></h3> <br> <p>Adware Andreed byl v prosinci nejčastěji detekovaným kybernetickým rizikem pro platformu Android v Česku a závěr roku tak nepřinesl žádné větší změny v pravidelné statistice. Škodlivá reklama se koncem minulého roku šířila opět především prostřednictvím mobilních her, a to bez ohledu na věk uživatelů. Bezpečnostní specialisté také upozorňují, že hrozby pro platformu Android se mění v porovnání s ostatními sledovanými operačními systémy nejrychleji a uživatelé se tak letos mohou kromě agresivní reklamy setkat i se sledovacími aplikacemi nebo malwarem zaměřeným na uživatelská hesla. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET. </p><p>Počet případů adwaru Andreed v prosinci opět mírně klesl, přesto stále patří mezi největší aktuální hrozby pro platformu Android v Česku. Šíří se prostřednictvím různých verzí známých her, na které uživatelé nejčastěji narazí v neoficiálním obchodě třetí strany. V prosinci ho bezpečnostní specialisté objevili například ve verzi hry Bridge Constructor. </p><p>„Adware Andreed dosahoval svého maxima během léta a ke konci loňského roku jsme mohli pozorovat, jak počet jeho detekcí klesá. Předpokládáme ale, že zůstane mezi kybernetickými útočníky oblíbený a bude v Česku nadále rozšířený – není tolik invazivní jako jiné hrozby a uživatelé mu nemusí věnovat takovou pozornost,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Platforma Android se zatím proměňuje nejvíce ze všech operačních systémů, které sledujeme. </p><p>Očekáváme tak, že se v průběhu roku setkáme s řadou dalších škodlivých kódů, které se mohou nakonec v českém prostředí vyskytovat dlouhodobě. Jak jsme viděli již v minulých letech, můžeme například počítat s krátkodobými útočnými kampaněmi různých backdoorů nebo malwaru zaměřeného na uživatelská hesla. Není ani vyloučeno, že se objeví nový typ sledovací aplikace porušující soukromí uživatelů, jako jsme v minulosti pozorovali například u stalkerwaru,“ dodává Jirkal. </p><p>Právě adware je jako forma velmi agresivní a škodlivé reklamy často spojován s porušováním soukromí uživatelů. Ačkoli nemá tak závažné dopady na data uživatele, jako například ransomware nebo bankovní trojské koně, zůstává kvůli své nenápadnosti dlouho skrytý v zařízení a není snadné ho odhalit. Může sbírat například informace o chování uživatelů na internetu, aktivně zobrazovat podvodný obsah a odkazy nebo stahovat do zařízení další reklamu. </p><h2>Škodlivý kód se přizpůsobuje poptávce </h2><p>Také v prosinci se v pravidelné statistice opět objevil adware Hiddad. V listopadu na sebe upozornil v kampani, ve které ke svému šíření využíval verzi hry podobné velmi populární hře Minecraft. </p><p>„V kampaních adwaru Hiddad vidíme snahu útočníků dostat se k úplně nejmladším uživatelům. Využívají k jeho šíření verze her, které staví na úspěchu Minecraftu – v prosinci jsme například objevili několik různých her, ve kterých mají uživatelé stejně jako ve hře Minecraft stavit z kostek,“ doplňuje Jirkal. </p><p>Ani v případě třetího nejčastějšího škodlivého kódu Agent.KEQ, který se objevuje na veřejných internetových úložištích, se strategie útočníků prozatím nezměnila. Nadále se tento dropper vydává za soubor „Your File Is Ready To Download.apk“, bezpečnostní experti ale identifikovali i soubory s názvy „adblock“ či „Top Follow MOD APK 2022 Latest v4.5.6 (Unlimite....apk“. </p><p>„Droppery si můžeme představit jako obálky, které mají nepozorovaně doručit do zařízení jiný malware. Jsou také typickým zástupcem škodlivého kódu pro platformu Android v Česku. Droppery na sebe berou podobu nějakých, pro uživatele užitečných aplikací či souborů a lákají ke svému stažení mimo oficiální obchody a za výhodných podmínek – například zcela zdarma nebo v balících s jiným softwarem,“ vysvětluje Jirkal. </p><h2>Mobilní telefony jsou cílem útoků stále častěji </h2><p>Vzrůstající využívání chytrých mobilních telefonů k řadě každodenních činností, jak k těm spojeným s platbami a ověřováním identity, tak s volnočasovými aktivitami, nabízí útočníkům celou řadu příležitostí, jak zacílit na uživatelská data. </p><p>„Z našich pravidelných průzkumů víme, že chytré mobilní telefony si stále podstatná část uživatelů nechrání žádným bezpečnostním softwarem. Někteří uživatelé argumentují tím, že si dávají pozor, na co klikají a co stahují. S tím, jak se ale kybernetické útoky a phishingové kampaně neustále vyvíjejí, je obecně pro uživatele těžší zůstat neustále ve střehu. Útočníci mohou k šíření škodlivých kódů a reklamního malwaru zneužívat legitimní nástroje online marketingu, nebo šířit podvodné odkazy přes kontakty uživatelů v chatovacích aplikacích. Je proto velmi riskantní sázet na to, že se to stát nemůže,“ říká Martin Jirkal z ESETu. </p><p>Nejen před malwarem, ale také před potenciálně nechtěnými aplikacemi (tzv. PUA) či podvodnými webovými stránkami chrání uživatele všech věkových kategorií moderní bezpečnostní software. Sám uživatel může míru rizika snížit například tím, že nebude stahovat hry a aplikace mimo oficiální obchod pro platformu Android, Google Play. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za prosinec 2022: </h2><p>1. Android/Andreed trojan (19,94 %) <br> 2. Android/Hiddad.AYF trojan (14,70 %) <br> 3. Android/TrojanDropper.Agent.KEQ trojan (10,37 %) <br> 4. Android/TrojanDropper.Agent.KMZ trojan (6,25 %) <br> 5. Android/TrojanDropper.Agent.JDU trojan (3,32 %) <br> 6. Android/TrojanDropper.Agent.JGZ trojan (2,87 %) <br> 7. Android/Agent.CZB trojan (2,37 %) <br> 8. Android/Triada trojan (2,20 %) <br> 9. Android/TrojanDropper.Agent.IVJ trojan (1,80 %) <br> 10. Android/TrojanDropper.Agent.GKW trojan (1,75 %) <br> </p>​<br>0
Hrozby pro Windows: prosinec 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-windows-prosinec-2022.aspxHrozby pro Windows: prosinec 2022<h3><span style="color:#6773b6;">Uživatelé operačního systému Windows v Česku budou letos nadále čelit známým spywarům Agent Tesla a Formbook, které pravděpodobně doplní také zcela nové rodiny škodlivých kódů. </span><br></h3> <br> <p><strong>V prosincových datech společnosti ESET pro Českou republiku zůstaly na předních místech hlavní škodlivé kódy pro operační systém Windows, se kterými se uživatelé mohli setkávat celý uplynulý rok – spyware Agent Tesla a spyware Formbook. Ačkoli počet detekcí u obou škodlivých kódů jen mírně překročil desetinu všech případů, podle bezpečnostních expertů potvrdil a nastínil vývoj i v letošním roce, kdy se podle jejich očekávání útočníci zaměří na úroveň používané češtiny a stabilní škodlivé kódy doplní zcela nové útoky dosud spíše okrajových rodin malwaru. Vyplývá to z pravidelné statistiky společnosti ESET. </strong><br></p><p>Poslední data společnosti ESET z prosince loňského roku potvrdila stávající převahu všech dlouhodobě přítomných škodlivých kódů pro operační systém Windows v Česku. Ačkoli u spywaru Agent Tesla počet detekcí oproti listopadu v prosinci klesl, bezpečnostní specialisté považují situaci i pro následující rok za stabilní a nepředpokládají, že by nějaký typ dlouhodobě detekované malwaru z českého prostředí zcela vymizel. </p><p>„Zhruba v posledním půl roce se situace v České republice stabilizovala na třech rodinách malwaru a pro příští rok očekáváme, že se situace nebude výrazně měnit. Výjimkou může být samozřejmě nástup nových rodin. Již v tuto chvíli ve statistice pozorujeme například rodinu malwaru RedLine Stealer, která aktuálně získává na popularitě na černém trhu. Počítáme také s tím, že se během roku 2023 objeví měsíce, kdy se útočníci i v rámci celosvětových kampaní zaměří na Česko s do češtiny lokalizovaným spamem. Infostealery, kam spadají právě spywary a password stealery, zkrátka zůstanou pro české uživatele primárním rizikem,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><h2>Nebezpečné e-maily s přílohami budou útočníci stále zlepšovat </h2><p>Spyware Agent Tesla a spyware Formbook se v prosinci objevily v téměř shodném počtu detekcí, který přesahoval desetinu všech zachycených případů. Spyware Agent Tesla se objevoval spíše v rámci celosvětových kampaní, útoky v češtině byly ale v prosinci také poměrně silné. Nebezpečné přílohy v e-mailech se tentokrát jmenovaly NPO-2212-000016.pdf.exe, Zpusob_platby, jpg.exe a Poptavka 00413_pdf.exe. U spywaru Formbook poté útočníci vsadili na sezónu mezi svátky a spyware šířili prostřednictvím příloh, které vydávali za dokumenty k platbám dovolených. Zde se však útoky v češtině neobjevily. </p><p>„Jedním z důvěryhodných ukazatelů, že by s příchozí komunikací nemuselo být vše v pořádku, stále zůstává čeština. Pro útočníky, kteří zpravidla nejsou rodilými mluvčími, je zkrátka komplikovaná a ani různé překladače vždy nepřeloží text správně,“ vysvětluje Jirkal. „Přesto můžeme počítat s tím, že jak se škodlivé kódy neustále vyvíjejí do propracovanějších verzí, mohou útočníci investovat také do věrohodnějších jazykových překladů. V posledních týdnech se velmi zvedla diskuze také o generování spamu za pomoci algoritmů umělé inteligence. Tam ale předpokládáme, že bude v následujících letech převažovat hlavně angličtina a do češtiny bude text překládán spíše strojově,“ doplňuje Jirkal. </p><p>Zhruba v pěti procentech všech případů byl v prosinci detekován také backdoor Agent.AES, který se v počtu detekcí s mírným náskokem dostal před password stealer Fareit. V jeho případě se uživatelé mohli nejčastěji setkat s přílohami Drawing & Specifications___JPG.exe nebo kopie platby09886673.exe. </p><h2>Spam prozradí gramatické chyby </h2><p>Uživatele před útoky infostealerů spolehlivě ochrání moderní bezpečnostní řešení. Prémiové verze bezpečnostních softwarů navíc často obsahují i tzv. správce hesel, specializované programy, které ukládají hesla v zašifrované podobě a automaticky heslo doplní v případě přihlášení do konkrétního online účtu. Uživatelé si pak pamatují jen jedno heslo, a to právě pro přihlášení do této služby. Správci hesel jsou bezpečnější alternativou k ukládání hesel do internetových prohlížečů, které nejsou před útoky infostealerů dostatečně chráněné. </p><p>Vedle kvalitního antivirového řešení pak bezpečností experti apelují na opatrnost uživatelů při práci s příchozí elektronickou komunikací. E-mailové účty totiž stále patří mezi přední cíle různých podvodných nabídek a výzev. </p><p>„Na podvodných e-mailových přílohách, které šíří spyware, jasně vidíme záměr útočníků – snaží se v uživateli vyvolat dojem, že příloha je legitimním dokumentem k jeho platbám a objednávkám. Využívají tak i v případě šíření spywaru manipulaci, kterou dobře známe z phishingových útoků, jejichž objem stále roste také v Česku a vyrovnají se pomalu útokům škodlivým kódem,“ říká Jirkal z ESETu a dodává: „Uživatelé by v příchozí komunikaci, a to nejen v e-mailu, měli věnovat pozornost adrese odesílatele, správnosti češtiny a nikdy by v takové zprávě neměli otevírat soubory nebo klikat na odkazy.“ </p><h2>Nejčastější kybernetické hrozby pro operační systém Windows v České republice za prosinec 2022: </h2><p>1. Win32/Formbook trojan (13,13 %)<br> 2. MSIL/Spy.AgentTesla trojan (11,15 %)<br> 3. MSIL/Spy.Agent.AES trojan (4,62 %)<br> 4. Win32/PSW.Fareit trojan (2,89 %)<br> 5. Win32/Rescoms trojan (1,98 %)<br> 6. VBS/Agent.QMG trojan (1,73 %)<br> 7. MSIL/Spy.RedLine trojan (1,49 %)<br> 8. Win32/PSW.Agent.ONW trojan (0,93 %)<br> 9. Java/Adwind trojan (0,87 %)<br> 10. Win32/Spy.VB.OLN trojan (0,85 %)<br> </p>​<br>0
Ruská hackerská skupina útočila na české webyhttps://antivirus.cz/Blog/Stranky/ruska-hackerska-skupina-utocila-na-ceske-weby.aspxRuská hackerská skupina útočila na české weby<p> <strong>„Ruská hackerská skupina NoName057(16), která v uplynulých týdnech a měsících aktivně útočila na nepřátele Ruska a shodila weby v Polsku, Finsku, Litvě, Norsku a dalších zemích, se včera zaměřila na řadu českých webů. </strong><br></p><p>Útokům čelilo například ministerstvo zahraničních věcí, stránky prezidentského kandidáta Tomáše Zimy nebo stránky Hlídač státu. Skupina se svými úspěchy chlubí na Telegramu, kde má více než 18 000 odběratelů. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/noname-hackers-04.png" data-themekey="#" alt="" style="margin:5px;width:606px;" /> <br> <br> </p><p>Skupina NoName057(16) použila demonstrativní DDoS útoky, které mají upoutat pozornost a vystrašit společnost. Je ale nutné se připravit i na daleko sofistikovanější a destruktivnější útoky. Z našich dat jasně vyplývá, že svět kyberzločinu neustále sílí. Nikdo není v bezpečí, což dokazuje i analýza útoků za předchozí rok. V roce 2022 došlo ve srovnání s rokem 2021 k nárůstu kyberútoků o 38 %. </p><p>Právě vlna hacktivismu a politicky motivovaných útoků bude sílit i v roce 2023. V minulosti jsme podobné útoky viděli pouze od decentralizované skupiny Anonymous, nyní jsou velmi aktivní i dobře organizované, často státy sponzorované, profesionální skupiny, které se snaží ochromit vlády i velké korporace. A s nástupem AI technologií bude situace dále eskalovat. </p><p>Je proto bezpodmínečně nutné používat pokročilá bezpečnostní řešení a zaměřit se na prevenci a vzdělávání zaměstnanců. Vzhledem k epidemii ransomwarových útoků je zásadní také segmentovat systémy, zálohovat data a nastavit plán obnovy v případě úspěšného útoku. </p><p>Současně by měl každý jeden uživatel pečlivě chránit svá zařízení, včetně IoT, aby je nemohli kyberzločinci používat k útokům. Protože botnety složené z milionů infikovaných zařízení jsou ničivou zbraní,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. </p> <br>0
Umělá inteligence v rukou kyberzločinuhttps://antivirus.cz/Blog/Stranky/umela-inteligence-v-rukou-kyberzlocinu.aspxUmělá inteligence v rukou kyberzločinu<h3> <span style="color:#6773b6;">Hackeři začínají používat ChatGPT k vývoji zlodějských malwarů, šifrovacích nástrojů i nelegálních tržišť, varují bezpečnostní experti. </span><br></h3> <br> <p>Check Point Research upozorňuje, že kyberzločinci už začali používat ChatGPT k vývoji škodlivých kódů a útočných nástrojů. Na hackerských fórech vytváří zlodějské malwary, šifrovací nástroje a poskytují návody, jak umělou inteligenci využít pro podvodné aktivity. </p><p>„Umělá inteligence bude zcela jistě jedním z hlavních témat roku 2023. AI technologie pomáhají při ochraně před kybernetickými hrozbami, ale zároveň vidíme velký zájem kyberzločinců například o ChatGPT. Hackeři zkouší tuto dostupnou technologii používat k psaní škodlivého kódu, a i když jsou současné pokusy poměrně jednoduché, je jen otázkou času, než začnou AI nástroje využívat mnohem sofistikovanějším způsobem i profesionální hackerské skupiny,“ říká Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h2>Tvorba zlodějských malwarů </h2><p>29. prosince 2022 se na populárním hackerském fóru objevilo vlákno s názvem „ChatGPT – výhody malwaru“. Autor vlákna prozradil, že experimentuje s ChatGPT, aby vytvořil malwarové kmeny podle popisu ve výzkumných publikacích. </p><p>Podařilo se mu například vygenerovat základní nástroj pro krádeže, který v systému vyhledává 12 běžných typů souborů (například dokumenty MS Office, PDF a obrázky). Pokud jsou nalezeny zajímavé soubory, malware je zkopíruje do dočasného adresáře, zazipuje a odešle přes web. Soubory jsou ovšem odesílané v nezašifrované podobě, takže se mohou dostat do rukou i třetím stranám. Další skript by bylo možné snadno upravit tak, aby stáhl a spustil jakýkoli program, včetně běžného malwaru. </p><p>Mohlo se sice jednat o technicky orientovaného hackera, který chce jen vyzkoušet možnosti nové technologie, ale ve skutečnosti se zdálo, že příspěvky spíše ukazují technicky méně zdatným kyberzločincům, jak ChatGPT využít k tvorbě malwaru a k útokům. </p><p style="text-align:center;"></p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/ChatGPT-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <em>Kyberzločinec ukazuje, jak vytvořit zlodějský malware pomocí ChatGPT</em><br></p><h2>Tvorba vícevrstvých šifrovacích nástrojů </h2><p>21. prosince 2022 zveřejnil hacker s přezdívkou USDoD skript v jazyce Python, o kterém zdůraznil, že je to „první skript, který kdy vytvořil“. USDoD zároveň potvrdil, že script byl vytvořen s pomocí OpenAI. Je to ukázka, že kyberzločinci, kteří nemají téměř žádné vývojářské zkušenosti, by mohli umělou inteligenci využít k vývoji škodlivých nástrojů a útoky na úrovni profesionálních kyberzločinců jsou zase o krok blíž i amatérům. </p><p>Zmíněné kódy lze samozřejmě použít i neškodným způsobem. Zároveň je však možné skript jednoduše upravit, aby zcela bez interakce uživatele zašifroval něčí počítač. Kód lze dokonce změnit i na ransomware, což by mohlo vyvolat paniku, protože ransomwarové útoky už tak patří mezi nejnebezpečnější hrozby současnosti. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/ChatGPT-02.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br>Kyberzločinec přezdívaný USDoD zveřejňuje vícevrstvý šifrovací nástroj </em></p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/ChatGPT-03.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br>Potvrzení, že nástroj byl vytvořen pomocí OpenAI</em> </p><h2>Využití ChatGPT pro podvodné aktivity a obchodování s nelegálním nebo kradeným zbožím </h2><p>Kyberzločinci také ukazují, jak pomocí ChatGPT vytvořit skripty pro darkwebové tržiště a nabídnout platformu pro automatizovaný obchod s nelegálním nebo kradeným zbožím, jako jsou kradené účty nebo platební karty, malware nebo dokonce drogy a munice, přičemž veškeré platby mohou probíhat v kryptoměnách. </p><p>Na hackerských fórech také probíhají diskuze, jak využít ChatGPT k vytváření podvodných schémat. Většinou se jedná o generování uměleckých děl pomocí jiné OpenAI technologie (DALLE2) a online prodej pomocí legitimních platforem, jako je Etsy. Jiný hacker zase vysvětluje, jak vygenerovat e-knihu nebo krátkou povídku pomocí ChatGPT a prodat obsah online. </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/ChatGPT-04.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br>Ukázka využití ChatGPT k vytváření skriptů pro obchodování na dark webu </em></p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/ChatGPT-05.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br>Několik vláken na hackerských fórech, jak používat ChatGPT k podvodné činnosti</em> </p><p>Zatím je příliš brzy, abychom mohli jasně říci, jestli se ChatGPT stane novým oblíbeným nástrojem hackerů. Nicméně kyberzločinci možnosti zneužití aktivně zkoumají, měli bychom proto zpozornět a připravit se na nové nebezpečné výzvy. </p>​<br>0
V ČR jsou nejčastější podvody s kryptoměnami, oblíbeným cílem zůstávají e-mailové účtyhttps://antivirus.cz/Blog/Stranky/v-ccr-jsou-nejcastejsi-podvody-s-kryptomenami-oblibenym-cilem-zustavaji-emailove-ucty.aspxV ČR jsou nejčastější podvody s kryptoměnami, oblíbeným cílem zůstávají e-mailové účty<h3> <span style="color:#6773b6;">Phishing v posledním čtvrt roce nabral v Česku na síle. Útočníci nejčastěji cílili na držitele kryptoměn a na e mailové schránky českých uživatelů, objevily se také falešné stránky e-shopu Alza, podvodné platební brány dopravců či přihlašovací stránky do internetového bankovnictví. </span><br></h3> <br> <p> <strong>Uživatelé v České republice byli podle aktuálních dat společnosti ESET v posledním čtvrtletí roku 2022 vystaveni intenzivním phishingovým kampaním, které se v objemu pomalu vyrovnávají útokům malwaru. Phishing jako jednu z taktik sociálního inženýrství využívají útočníci ve snaze odcizit naše přihlašovací údaje k online službám jako jsou e-mailové a bankovní účty nebo účty v e-shopech, či přímo údaje z našich platebních karet. Jejich hlavní motivací je finanční zisk. Na vzestupu byly na konci roku především podvody s kryptoměnami a e-mailové podvody, čeští uživatelé se ale mohli setkat také s podvodnými stránkami platebních bran dopravních společností jako je Česká pošta, DHL či DPD. Bezpečnostní specialisté z ESETu identifikovali také falešné přihlašovací stránky do internetového bankovnictví či stránky e-shopů, například českého e-shopu Alza.cz. </strong><br></p><p style="text-align:center;"> <strong><img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/kryptomeny-giveaways-2.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br></strong></p><p>Podle nových dat společnosti ESET představuje phishing v Česku nový typ stálé hrozby, bez ohledu na operační systém, který uživatelé využívají. Bezpečnostní experti mapují podrobněji české prostředí zhruba od poloviny loňského roku a dle výsledků analýzy ohrožuje phishing v Česku nejvíce e-mailové účty a držitele kryptoměn. Výjimkou ale nejsou ani falešné stránky internetových obchodů. Od poloviny listopadu 2022 je v Česku aktivní phishingová kampaň zaměřená na zákazníky e-shopu Alza.cz. </p><p>Podvodnou stránku mohou uživatelé poznat podle domén alza-cz.pro nebo alza-pro.cz, které mají uživatele zmást a vypadat co nejvíce věrohodně. </p><p>„Phishing spadá pod techniky sociálního inženýrství a jeho hlavním znakem je manipulativní komunikace. Útočníci se vydávají za celou řadu služeb, o nichž vědí, že se jejich prostřednictvím mohou dostat buď k citlivým údajům, které mají cenu na černém trhu, nebo přímo k financím českých uživatelů – přes e-shopy, banky, přepravní společnosti či kryptoměnové peněženky. Často také sledujeme, že jim v podvodné komunikaci slouží i legitimní nástroje online marketingu – není neobvyklé, že lákají uživatele na podvodné weby prostřednictvím online reklamních bannerů,“ říká Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. </p><h2>Přihlášení do internetového bankovnictví je mezi útočníky stále populární </h2><p>Phishingovým kampaním byli vystaveni také uživatelé bankovních účtů od MONETA Money Bank či Komerční banky. Útočníci se je v těchto případech snažili přimět k přihlášení do internetového bankovnictví, buď ve snaze získat potvrzovací kód v SMS (MONETA) nebo přihlašovací údaje (Komerční banka). V některých případech objevili specialisté také pokusy o odcizení přihlašovacích údajů do portálu Ministerstva práce a sociálních věcí pro získání příspěvku na bydlení. </p><p>„Jedná o klasický phishingový scénář, který, jak vidíme, je mezi útočníky stále populární. Pokud uživatelům přijde jakákoli komunikace, ať už prostřednictvím e-mailu nebo SMS, měli by mít na paměti, že banky své klienty nikdy nežádají o přihlášení do internetového bankovnictví prostřednictvím e-mailu, SMS nebo v chatovacích aplikacích. Pokud se jedná o přesměrování v rámci nějakého nákupu na internetu, uživatelé by si vždy měli ověřit, zda je URL adresa shodná s oficiální doménou poskytovatele a měli by věnovat pozornost češtině, která na podvodných stránkách nebývá použitá správně,“ doplňuje Kropáč. </p><h2>Útočníci neopouštějí ani internetové bazary </h2><p>Speciální kategorií, v níž podvody výrazně narostly právě v loňském roce, je podvodná komunikace využívající přepravní společnosti, v Česku konkrétně především Českou poštu, DHL, DPD nebo Zásilkovnu. Cílem útočníků je získat údaje k platebním kartám zákazníků. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/shipping-ceska-posta-1.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>„Stále se objevují podvody v souvislosti s prodejem zboží na internetových bazarech. Aktuálně je tento typ podvodů častý například u služby Vinted. Scénář je stále stejný, jak jej známe již z dřívějších případů – prodávajícího kontaktuje zájemce o zboží a požaduje předání a zaplacení prostřednictvím platební brány. Pro tyto účely ale útočník vytvoří falešnou platební bránu, jejíž prostřednictvím opět získá údaje z platební karty prodávajícího,“ vysvětluje Kropáč. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/vinted-cz-4.jpeg" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Jak se bránit </h2><p>Podvodné webové stránky a potenciálně nechtěné aplikace či adware spolehlivě zablokuje kvalitní bezpečnostní software. I přesto bezpečnostní experti upozorňují uživatele, aby věnovali pozornost příchozí komunikaci a byli obzvlášť pozorní při nakupování v e-shopech a platbách na internetu. </p><p>„Jedním ze spolehlivých ukazatelů toho, že komunikace se zájemcem o naše prodávané zboží nebo příchozí výzva v e-mailu či SMS může být podvodná, je stále čeština. Ve všech zachycených případech phishingu z posledních měsíců je vidět, že útočníci na podvodných stránkách nepřekládají do češtiny všechny prvky webové stránky, někdy mohou zůstat v angličtině některá tlačítka či popisky v patičce stránky,“ vysvětluje Kropáč. „Překlad do češtiny může být také nápadně strojový, může obsahovat gramatické chyby nebo v celkovém kontextu nemusí věty dávat smysl. Mnoho uživatelů se domnívá, že by podvodnou komunikaci poznalo, ale ve spěchu nebo ve stresu, s čímž útočníci počítají, může každý z nás unáhleně kliknout na odkaz nebo otevřít nebezpečný soubor. V tom je phishing zákeřný a týká se opravdu všech uživatelů internetu,“ říká Kropáč. </p><p>„V případě aktuálních lednových výprodejů bych uživatelům doporučil, aby při platbách na internetu volili raději platbu přes služby Google Play nebo Apple Pay či využívali virtuální nebo k nákupům na internetu vyhrazené platební karty, které nejsou spárované s hlavním bankovním účtem. Pokud na uživatele protistrana tlačí, aby transakci provedl co nejrychleji, měl by vždy zpozornět, zvlášť při prodeji zboží na nějakém online bazaru, když je v roli prodávajícího – kupujícímu by neměl poskytovat své údaje k platební kartě, a to ani prostřednictvím platební brány dopravce, která vypadá legitimně,“ uzavírá Kropáč z ESETu. </p>​<br>0
Hrozby pro macOS: prosinec 2022https://antivirus.cz/Blog/Stranky/hrozby-pro-macos-prosinec-2022.aspxHrozby pro macOS: prosinec 2022<h3><span style="color:#6773b6;">Loňský rok potvrdil, že adware je hlavním rizikem pro počítače od Apple v Česku. Nevyžádaná a agresivní reklama bude podle bezpečnostních expertů nadále zdrojem hrozeb pro české uživatele platformy macOS. </span><br></h3> <br> <p><strong>Adware Pirrit, který se na předních místech pravidelné statistiky hrozeb pro platformu macOS v Česku objevoval po celý rok 2022, byl také v prosinci detekován ve více než třetině všech případů. V posledním měsíci loňského roku ho doplnily adwary Proxy.Agent a Downloader.Adload. Bezpečnostní experti ze společnosti ESET očekávají, že s ohledem na rostoucí počet uživatelů zařízení od společnosti Apple porostou i v následujícím roce útoky na platformu macOS, a to i v České republice. </strong><br></p><p>Adware Pirrit byl nejčastějším škodlivým kódem pro platformu macOS v roce 2022 – na předních místech ho bezpečnostní specialisté z ESETu detekovali průběžně celý minulý rok a prosincová statistika to opět potvrdila. </p><p>„Samotný adware Pirrit jsme v prosinci detekovali ve více než třetině všech případů. Je součástí dlouhodobě přítomné adware rodiny a ani v následujícím roce nepředpokládáme, že by z českého prostředí úplně zmizel,“ říká Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. „Podle aktuálně dostupných přehledů a statistik počet uživatelů zařízení od společnosti Apple stále roste a s nimi se přirozeně bude zvyšovat i počet útoků. Očekáváme, že příští rok uvidíme jak jednodušší útoky na uživatele platformy macOS, jako může být nedovolené těžení kryptoměn či krádeže citlivých informací prostřednictvím infostealerů, tak pokročilejší útoky na zranitelnosti operačního systému, za kterými stojí vlády a organizované skupiny. Již nyní se také objevují typy útoků prostřednictvím trojanizovaných aplikací nebo hacknuté klony softwarových balíků, které mohou stahovat a instalovat zadní vrátka, takzvaný backdoor, se schopnostmi vzdálené správy. Následující měsíce tak ukáží, jak se všechny tyto hrozby projeví v našich statistikách,“ doplňuje Kropáč. </p><h2>Adware jako zdroj podvodů a malwaru </h2><p>Hranici desetiny všech případů v prosinci překročily také další dvě rodiny – trojský kůň Proxy.Agent, který se začal na předních místech statistiky pravidelně objevovat ve druhé polovině loňského roku, a pro české uživatele dobře známý trojský kůň Downloader.Adload. Ačkoli adware nepatří mezi nebezpečné škodlivé kódy a v mnoha případech se jedná o legitimní reklamy, které mají zajistit finanční příjem vývojářům bezplatných aplikací, i prostřednictvím agresivních reklamních bannerů se může šířit daleko nebezpečnější malware nebo podvody. </p><p>„V loňském roce jsme mohli vidět, jak útočníci zneužívají legitimní a dostupné nástroje z oblasti online marketingu a maskují adware za známé aplikace. Za jeho rostoucími detekcemi může být zkrátka úspěšnost v útocích na uživatele – adware si často můžeme stáhnout sami v domnění, že stahujeme nějakou legitimní a známou aplikaci nebo hru. Můžeme při vyhledávání například kliknout na sponzorovaný odkaz, jehož autory jsou ale útočníci. Jakmile je adware jednou přítomný v zařízení, je poměrně obtížné ho odhalit, protože si nemusíme varovných ukazatelů hned všimnout nebo je zaměníme za nějaký jiný problém,“ říká Kropáč. </p><p>Mezi varovné signály, které by nás měly na přítomnost adwaru upozornit, patří například výrazný pokles výkonu zařízení, velké množství vyskakovacích reklamních oken, která nejdou zavřít, nebo nové doplňky v internetovém prohlížeči, jejichž stažení jsme ale nepovolili. V konečném důsledku může adware sledovat naše chování na internetu a pomoci útočníkům lépe zacílit další kampaně. </p><h2>Aplikace a hry za plnou cenu se vyplatí </h2><p>Častým zdrojem adwaru bývají neoficiální obchody třetích stran či veřejná fóra. Na nich mohou uživatelé najít aplikace a hry zdarma či za výhodnou cenu v balících s jiným softwarem. Bezpečnostní specialisté opakovaně upozorňují, že by uživatelé měli stahovat aplikace a programy pouze z App Store. </p><p>„Pokud budou uživatelé aplikaci využívat dlouhodobě, je rozhodně bezpečnější, a v konečném důsledku výhodnější, stáhnout aplikaci v oficiálním obchodu i za plnou cenu. Jakmile je adware v zařízení přítomný, může se dlouho skrývat a představovat tak riziko pro naše osobní údaje či vystavit zařízení útokům jiným typem malwaru,“ říká Kropáč z ESETu a dodává: „Uživatelům bych také doporučil položit si už před stahováním otázku, zda danou aplikaci opravdu potřebují a budou ji využívat. Pokud aplikaci přesto stáhnou a využijí jen krátkodobě, je namístě ji poté ze zařízení odinstalovat.“ </p><p>Adware spolehlivě detekuje bezpečnostní software, který uživatele včas varuje také před potenciálně nechtěnými aplikacemi (tzv. PUA) a podvodnými webovými stránkami, které mohou být právě zneužity k různým podvodům a k šíření malwaru. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu macOS za prosinec 2022: </h2><p>1. OSX/Adware.Pirrit (37,6 %)<br> 2. OSX/TrojanProxy.Agent (15,1 %) <br> 3. OSX/TrojanDownloader.Adload (10,8 %) <br> 4. OSX/Adware.Bundlore (5,4 %) <br> 5. OSX/Adware.InstallCore (2,2 %) <br> </p> ​<br>0
Hackerská skupina Cloud Atlas útočí na ruské a běloruské subjektyhttps://antivirus.cz/Blog/Stranky/hackerska-skupina-cloud-atlas-utoci-na-ruske-a-beloruske-subjekty.aspxHackerská skupina Cloud Atlas útočí na ruské a běloruské subjekty<p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Check Point Research upozorňuje, že kyberšpionážní skupina Cloud Atlas (neboli Inception) se v souvislosti s válkou zaměřuje na nové cíle. </span></strong><br></p><p>Skupina byla poprvé objevena v roce 2014 a má na svědomí řadu vysoce cílených útoků na kritickou infrastrukturu po celém světě. V letech 2020-2021 útočila na ministerstva, diplomatické subjekty a průmyslové cíle po celém světě, včetně západní a jihovýchodní Asie a Evropy. Taktika, techniky a postupy skupiny zůstávají relativně neměnné. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/Cloud_Atlas.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Ovšem za začátku konfliktu mezi Ruskem a Ukrajinou v roce 2021 a zejména po vypuknutí války v únoru 2022 se aktivity skupiny výrazně zúžily a zaměřily na vládní, diplomatické, výzkumné a průmyslové subjekty Ruska, Běloruska a konfliktní oblasti na Ukrajině a v Moldavsku. Některé důkazy naznačují, že skupina provedla několik úspěšných útoků a podařilo se jí získat plný přístup do cílových organizací. Od června 2022 jsme byli svědky několika kampaní zaměřených na velmi konkrétní cíle v Bělorusku, především v dopravním a vojenském radioelektronickém sektoru, v Rusku se zaměřila na vládní sektor, energetiku a kovoprůmysl. </p><p>Zajímavé je, že kromě obvyklého malwaru, používaného touto skupinou, byl objeven i zcela nový hackerský nástroj. Do infikovaných systémů skupina instaluje nejen svůj tradiční špionážní škodlivý kód, ale používá také DLL knihovnu k proxy připojení přes počítač oběti. </p><p>Ve spearphishingových kampaních zaměřených na ruská ministerstva napodobují útočníci například zprávy a dokumenty ministerstva zahraničních věcí. Při útocích na běloruské subjekty byl použit dokument „Komplexní analýza ekonomické a finanční činnosti obchodní organizace“. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/cloud-atlas-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Při útocích na vládní a energetický sektor používá Cloud Atlas například „Usnesení vlády Ruské federace o uplatňování právních předpisů v oblasti atomové energie v Záporožské oblasti“. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2023/cloud-atlas-02.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Cloud Atlas používá jednoduchou, ale účinnou metodu sociálního inženýrství a ke kompromitaci cílů využívá spearphishingové e-maily. V první fázi útoku jde o wordové dokumenty se vzdálenými šablonami, které jsou nějak zajímavé pro konkrétní cíl, díky čemuž jsou phishingové dokumenty téměř neodhalitelné. Skupina je velmi aktivní a úspěšná, i když své taktiky a techniky upravuje jen drobně. Navíc nejen že se jim daří infiltrovat do cílových systémů, ale svůj přístup rozšiřují na mnohem rozsáhlejší doménu, aby mohli zasažené operace využít k dalším operacím. </p> <br>0
Kyberzločinci drží nemocnice a pacienty jako rukojmíhttps://antivirus.cz/Blog/Stranky/kyberzlocinci-drzi-nemocnice-a-pacienty-jako-rukojmi.aspxKyberzločinci drží nemocnice a pacienty jako rukojmí<p>Vánoce a svátky mají být obdobím klidu a pohody. Ovšem toho si moc neužívají v nemocnicích, kromě nárůstu nemocných nebo zraněných pacientů se snaží zákeřně využít situace i kyberzločinci, kteří dobře ví, že přetížené nemocnice si nemohou dovolit výpadek služeb. Zvyšuje se tak cena výkupného při úspěšném ransomwarovém útoku. Navíc během svátků je v nemocnicích obvykle nedostatek personálu, včetně IT specialistů, takže je pravděpodobnější, že kybernetické hrozby nebudou odhaleny a prodlouží se doba případné reakce. Řada zaměstnanců pracuje během svátků na dálku, což ještě zvyšuje riziko úspěšného phishingového útoku, který může být počáteční fází ransomwarového útoku. </p><p>Z dat kyberbezpečnostní společnosti Check Point Software Technologies vyplývá, že v uplynulém roce čelila jedna zdravotnická organizace v průměru 1462 kybernetickým útokům týdně, což je o 74 % více než v roce 2021 a jedná se o nejvyšší nárůst ze všech sledovaných odvětví. Jak atraktivním terčem je zdravotnictví, vypovídá i fakt, že se jedná o 3. nejčastěji napadaný sektor. </p><p>S koncem roku vidíme v této oblasti i alarmující nárůst ransomwarových útoků. Zatímco během prázdnin a září byla ransomwarem zasažena zhruba každá 50. zdravotnická organizace, od října vidíme postupný nárůst útoků, přičemž hlavní zlom nastal na začátku prosince, kdy počet ransomwarových útoků vystřelil a ve druhé půlce prosince byla terčem ransomwaru už každá 13. zdravotnická společnost. </p><p>Podobně sledujeme také nárůst zlodějských útoků, jejichž cílem jsou krádeže informací. Od konce října je těchto útoků ve zdravotnictví nadprůměrné množství a je pravděpodobné, že oba trendy spolu mohou souviset. </p><p>Množství potenciálně zranitelných míst přibývá i s nárůstem IoT, respektive IoMT (Internet of Medical Things) zařízení. Check Point už dříve ukázal, že by bylo možné napadnout a zablokovat například ultrazvuk nebo že by organizaci šlo napadnout pomocí chytrých žárovek. </p><p>Některé hrozby mohou v napadených systémech číhat týdny i měsíce, nepozorovaně krást data a čekat na správnou chvíli k útoku. O řadě napadení se tak dozvíme až dlouho poté, co útok ve skutečnosti začal. Že vám na displeji nesvítí žádost o výkupné a nemáte zablokované počítače, ještě neznamená, že už dávno nečelíte útoku. I proto se zvyšuje naléhavost tohoto varování. </p><p>Jak bezohledně a systematicky kyberzločin postupuje, ukázala i koronavirová pandemie, kdy útočníci využili chaotické situace a opakovaně napadali nemocniční sítě v době, kdy byla zdravotnická zařízení nejméně schopná reagovat. </p><p>„Kybernetické útoky na nemocnice, elektrické sítě, plynovody, čističky vody, dopravní systémy a další zařízení kritické infrastruktury mohou přímo ohrozit lidské životy a podle toho by k nim mělo být přistupováno,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. „Je potřeba si také uvědomit, že útokům nemusí čelit jen nemocnice, aby došlo k panice a ochromení zdravotnického sektoru a celé společnosti. Hrozba se totiž vznáší nad celým dodavatelským řetězcem. Pokud kyberzločinci zasáhnou například výrobce léčiv, navíc v situaci, kdy už tak máme nedostatek léků a zejména antibiotik, spustí to lavinu tragédií. Zdravotnický systém je zranitelný více než kdykoli dříve.“ </p><p>Ačkoli je těžké určit, jaký přesně dopad mají kybernetické útoky na zdravotní stav pacientů, protože to ovlivňuje celá řada faktorů a komplikace nebo i úmrtí mohou následovat týdny nebo měsíce po útoku, z níže uvedených příkladů je zřejmé, že před sebou máme obrovský problém, na který je potřeba reagovat. </p><p>Ransomwarové útoky se bohužel nevyhýbají ani českým nemocnicím, jak se ostatně ukázalo například při útocích na nemocnice v Benešově nebo Brně. </p><p>FBI v listopadu varovala před ransomwarem Hive, který aktivně napadá zdravotnické systémy. Hive byl poprvé objeven v červnu 2021 a při útocích šifruje soubory a narušuje zálohovací procesy. Pokud nedojde k zaplacení výkupného, útočníci navíc vyhrožují zveřejněním ukradených informací na webu HiveLeaks. Některým obětem útočníci také telefonovali, aby hrozbu ještě stupňovali. Jedná se bohužel o stále častější taktiku, kdy kromě zašifrování dat jsou ukradeny citlivé informace, které mohou být zveřejněné nebo použité k dalším útokům. </p><p>Hive byl použit například v říjnu při útoku na nemocnici Lake Charles Memorial v Louisianě. Sice se podařilo zabránit zašifrování systémů, ale hackeři se dostali k osobním údajům téměř 270 000 pacientů. FBI a další federální agentury upozorňují, že kyberzločinci jen pomocí ransomwaru Hive vylákali z více než 1 300 společností po celém světě za pouhý rok a půl přes 100 milionů dolarů, v mnoha případech se jednalo právě o zdravotnické organizace. </p><p>Americké ministerstvo zdravotnictví a sociálních služeb varovalo také před útoky ransomwaru Royal, který v listopadu vyřadil z provozu nejpopulárnější anglický závodní okruh Silverstone, a je přímou hrozbu pro zdravotnické organizace. </p><p>Nedávno musela francouzská nemocnice na předměstí Versailles po ransomwarovém útoku rušit operace a převážet pacienty. Nemocnice André-Mignot v Chesnay-Rocquencourt byla zasažena kybernetickým útokem, který zablokoval počítače a šest pacientů v důsledku toho bylo nutné převézt z oddělení intenzivní péče a novorozeneckého oddělení do okolních nemocnic. Vyžádalo to také posílení personálu, protože funkce několika kritických přístrojů se nepodařilo plně obnovit. </p><p>V září čelila rozsáhlému útoku jiná francouzská nemocnice Centre Hospitalier Sud Francilien, kterou paralyzovala skupina LockBit 3.0. Výkupné žádala ve výši 10 milionů dolarů. O několik měsíců dříve skupina nemocnic GHT Cœur Grand Est uvedla, že byla nucena přerušit internetové připojení nemocnic Vitry-le-François a Saint-Dizier poté, co obdržela požadavek na výkupné ve výši 1,3 milionu dolarů. V obou případě hackeři splnili své výhružky a zveřejnili na internetu citlivé informace o pacientech. </p><p>Na zdravotnictví se zaměřuje i hackerská skupina Daixin Team, která k útokům používá ransomware vytvořený pomocí zdrojového kódu ransomwaru Babuk Locker. Daixin Team šifruje zdravotní záznamy, diagnostická data a přístup k intranetovým službám a krade osobní údaje a zdravotní informace pacientů. Při žádosti o výkupné hrozí zveřejněním těchto dat. </p><p>SickKids, jedna z největších kanadských dětských nemocnic, uvedla, že po ransomwarovém útoky ji plné obnovení počítačových systémů zabere několik týdnů, což bude mít dopad na léčbu některých pacientů. </p><p>Na konci října zastavil ransomwarový útok provoz nemocnice v Ósace, která musela pozastavit běžné lékařské služby, jelikož byl vyřazen z provozu systém pro práci s elektronickými lékařskými záznamy. Podobně koncem listopadu byly napadené počítačové sítě tří nemocnic v newyorském Brooklynu, které musely po kybernetickém útoku přejít na práci s papírovými zdravotnickými kartami pacientů. </p><p>Americký zdravotnický gigant CommonSpirit Health, který spravuje 700 pracovišť a 142 nemocnic ve 21 státech, informoval na začátku prosince, že v září a říjnu došlo k úniku dat o více než 620 000 pacientech, včetně elektronických lékařských záznamů. Listopadový útok na jiné tři nemocnice v New Yorku zase přinutil lékaře přejít na papírové karty, což výrazně zpomalilo poskytovanou péči. </p><p>Řadu vyděračských útoků na nemocnice má na svědomí i nechvalně známá ruská kyberzločinecká skupina Conti. </p><p>A o mnoha dalších útocích zatím ani nevíme. Nejedná se tedy o nějaké útoky, ale o organizovanou snahu řady profesionálních gangů útočit přímo na zdravotnictví, čemuž odpovídá i vývoj nových hrozeb. </p><p>Zaplacení výkupného může navíc kyberzločince povzbudit k dalším útokům. Zaplacení výkupného také nezaručuje, že soubory budou obnoveny a návrat k normálu může trvat týdny i měsíce. </p><p>Na kritickou situaci se snaží reagovat i některé vlády. Například australská vláda zvažuje novou legislativu, která by znemožnila placení výkupného, což by mohlo změnit kybernetickou strategii řady organizací. </p><p>Co tedy mohou zdravotnické organizace udělat, aby byly chráněné před kybernetickými hrozbami? Důležité je si uvědomit, že ransomwarový útok obvykle začíná jinou hrozbou a zašifrování souborů a žádost o výkupné je až jednou z pozdních fází celého útoku. Je proto zásadní chránit se před všemi druhy hrozeb a vědět, jak reagovat. </p><h2>Bezpečnostní tipy pro zdravotnické organizace: </h2><p><b>1. Pozor na trojské koně </b>– Ransomwarové útoky většinou nezačínají přímo ransomwarem. Ryuk a další typy ransomwaru využívají v počáteční fázi trojské koně. K infekci trojanem dochází dny nebo týdny před ransomwarovým útokem, proto by bezpečnostní týmy měly hledat v sítích infekce Trickbotem, Emotetem, Dridexem nebo Cobalt Strikem a odstranit je dřív, než mohou přichystat půdu pro ransomware. </p><p><b>2. Zbystřete o víkendech a svátcích</b> – Většina ransomwarových útoků probíhá o víkendech a svátcích. Hackeři se snaží zaměřovat na dobu, kdy bude pravděpodobnější, že IT a bezpečnostní týmy nebudou v plné pohotovosti a reakce na hrozbu bude pomalější. </p><p><b>3. Používejte anti-ransomware </b>– Ransomwarové útoky jsou sofistikované, ale <a href="https://www.aec.cz/cz/av">anti ransomwarové řešení</a> napraví případné škody a vrátí vše do normálu během několika málo minut. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám. </p><p><b>4. Zálohování a archivace dat je základ </b>- Cílem ransomwaru je donutit oběť zaplatit výkupné, aby získala zpět přístup k zašifrovaným datům. To je však účinné pouze v případě, že cíl skutečně přístup ke svým datům ztratí. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si na zapnutí zálohy sami vzpomenou. </p><p><b>5. Omezte přístup jen na nutné informace a segmentujte</b> – Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace sítě minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou organizací. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější. </p><p><b>6. Vzdělávání je nezbytnou součástí ochrany </b>– Zaměstnanci by měli umět poznat potenciální hrozby. Mnoho kybernetických útoků totiž začíná cíleným phishingem, který sice neobsahuje malware, ale s pomocí sociálního inženýrství se snaží uživatele nalákat ke kliknutí na škodlivý odkaz nebo k poskytnutí citlivých informací. <a href="https://edu.aec.cz/">Vzdělávání uživatelů​</a> je proto jednou z nejdůležitějších součástí ochrany. </p><p><b>7. Pravidelně instalujte aktualizace a záplaty</b> – WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky. Záplatujte a aktualizujte staré verze softwaru a systémů. V nemocnicích to ale v mnoha případech z různých důvodů nelze. Proto doporučujeme používat systém prevence narušení (IPS – Intrusion Prevention System) s možností virtuálních oprav, aby se zabránilo pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích. Aktualizovaný IPS pomáhá organizacím zůstat v bezpečí. </p><p><b>8. Vše zabezpečte a spokojte se jen s tím nejlepším</b> – Nic nepodceňte, počítače, servery, mobilní zařízení, ale i chytré žárovky nebo libovolné jiné IoT či IoMT zařízení mohou být pro hackery vstupním bodem a branou do vaší organizace. Používejte proto vždy to nejlepší bezpečnostní řešení a využijte případně služeb externích týmů specializovaných na odhalování hrozeb. </p>​<br>0
Vrátil se zákeřný trojan Emotet a Česká republika se dále posouvala mezi nebezpečné zeměhttps://antivirus.cz/Blog/Stranky/vratil-se-zakerny-trojan-emotet-a-ceska-republika-se-dale-posouvala-mezi-nebezpecne-zeme.aspxVrátil se zákeřný trojan Emotet a Česká republika se dále posouvala mezi nebezpečné země<p>Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v listopadu vrátil agresivní trojan Emotet, který je jedním z nejnebezpečnějších malwarů. V červenci svoje aktivity nečekaně utlumil, ale v listopadu se vrátil ve velkém stylu a hned byl druhým nejrozšířenějším malwarem. Emotet byl původně bankovní trojan, ale vzhledem k jeho všestrannosti se postupně vyvinul v distributora dalších malwarů a je efektivně používán i v kombinaci s ransomwarem. Běžně se šíří prostřednictvím phishingových kampaní a k opětovnému vzestupu mohly přispět i malspamové kampaně, které byly určené k distribuci bankovního trojanu IcedID. </p><p>Poprvé od července 2021 se na třetí místo žebříčku nejčastějších malwarů dostal trojan Qbot, který krade bankovní přihlašovací údaje a sleduje stisknuté klávesy. </p><p>„Qbot je používán k finančně motivovaným útokům. Umožňuje krást finanční data, bankovní přihlašovací údaje a informace z webových prohlížečů. Jakmile Qbot infikuje systém, hackeři nainstalují backdoor, který umožňuje ransomwarové útoky a kyberzločinci mohou použít taktiku dvojitého vydírání, protože kromě zašifrovaných dat vyhrožují zveřejněním ukradených finančních informací. V listopadu využil Qbot zero-day zranitelnost v systému Windows, která útočníkům poskytla plný přístup k infikovaným sítím,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. </p><p>Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace. </p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v listopadu znovu posunula mezi méně bezpečné země a patřila jí celosvětově 30. pozice. Naopak Slovensko se posunulo o 9 míst směrem k bezpečnějším zemím na aktuálně 68. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko. </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v listopadu AgentTesla, který měl v globálním měřítku dopad na 6 % organizací. Na druhou příčku se posunul Emotet a na třetí Qbot. </p><p> <b>1. ↔ AgentTesla</b> – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook) </p><p> <b>2. ↑ Emotet </b>– pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy. </p><p> <b>3. ↑ Qbot</b> – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace. </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hydra a AlienBot. </p><p> <b>1. ↔ Anubis</b> –bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google. </p><p> <b>2. ↔ Hydra</b> –bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv. </p><p> <b>3. ↑ AlienBot </b>–malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 46 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopadem na 45 % společností, Top 3 pak uzavírá zranitelnost „HTTP Headers Remote Code Execution“ s dopaden na 42 % organizací. </p><p> <b>1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)</b> – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru. </p><p> <b>2. ↓ Web Server Exposed Git Repository Information Disclosure </b>– Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. </p><p> <b>3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)</b> – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zcela dominoval malware zaměřený na krádeže hesel, přihlašovacích údajů a dalších cenných informací. Na čele českého žebříčku se nadále drží zlodějský malware SnakeKeylogger, který ještě posílil a v listopadu ohrožoval 16 % organizací. Výrazně přibylo i útoků malwaru AgentTesla, který krade hesla a sleduje stisknuté klávesy. Top 3 uzavírá FormBook, který hackerům umožňuje také krást data. </p>​<br> <p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - listopad 2022</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong style="color:#6773b6;"><span style="color:#6773b6;">Malwarová rodina</span></strong></td><td class="ms-rteTable-default"><strong style="color:#6773b6;"><span style="color:#6773b6;">Popis</span></strong></td><td class="ms-rteTable-default" width="50"><strong style="color:#6773b6;"><span style="color:#6773b6;">Dopad ve světě</span></strong></td><td class="ms-rteTable-default" width="50"><strong style="color:#6773b6;"><span style="color:#6773b6;">Dopad v ČR</span></strong></td></tr><tr><td class="ms-rteTable-default">Snake Keylogger</td><td class="ms-rteTable-default">Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.</td><td class="ms-rteTable-default">3,15 %</td><td class="ms-rteTable-default">16,05 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">5,89 %</td><td class="ms-rteTable-default">12,89 %</td></tr><tr><td class="ms-rteTable-default">FormBook</td><td class="ms-rteTable-default">FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.</td><td class="ms-rteTable-default">2,63 %</td><td class="ms-rteTable-default">6,59 %</td></tr><tr><td class="ms-rteTable-default">Emotet</td><td class="ms-rteTable-default">Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.</td><td class="ms-rteTable-default">4,44 %</td><td class="ms-rteTable-default">6,59 %</td></tr><tr><td class="ms-rteTable-default">Qbot</td><td class="ms-rteTable-default">Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele a může ukrást důležité informace.</td><td class="ms-rteTable-default">4,34 %</td><td class="ms-rteTable-default">4,01 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.</td><td class="ms-rteTable-default">1,01 %</td><td class="ms-rteTable-default">3,15 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,13 %</td><td class="ms-rteTable-default">2,29 %</td></tr><tr><td class="ms-rteTable-default">Esfury</td><td class="ms-rteTable-default">Esfury je červ, který umožňuje další útoky na napadený systém. Šíří se prostřednictvím vyměnitelných nebo síťových disků. Jakmile se Esfury dostane do počítače, připojí se ke vzdálené webové stránce a získává odtamtud příkazy. Esfury také změní výchozí stránku internetového prohlížeče a upraví nastavení systému. Navíc může změnit i řadu bezpečnostních nastavení a ukončit nebo zablokovat přístup k velkému počtu procesů. Esfury může přesměrovat vyhledávání na konkrétní reklamní webové stránky, jinak ovlivňovat prohlížení internetu nebo snížit rychlost sítě.</td><td class="ms-rteTable-default">1,17 %</td><td class="ms-rteTable-default">1,72 %</td></tr><tr><td class="ms-rteTable-default">Crackonosh</td><td class="ms-rteTable-default">Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení.</td><td class="ms-rteTable-default">0,66 %</td><td class="ms-rteTable-default">1,43 %</td></tr></tbody></table><p> </p><br>0
Přinesl vám ježíšek nový mobil, tablet, počítač nebo IoT zařízení?https://antivirus.cz/Blog/Stranky/prinesl-vam-jezisek-novy-mobil-tablet-pocitac-nebo-iot-zazizeni.aspxPřinesl vám ježíšek nový mobil, tablet, počítač nebo IoT zařízení?<p>​Kdo nezlobil, jistě měl pod vánočním stromečkem řadu překvapení. Někdo pod stromečkem našel ponožky, kosmetiku nebo stolní hry. Někdo možná dostal digitální dárek, který vyžaduje péči a přípravu. Ať už rozbalíte chytrý telefon, počítač, tablet nebo nějaké IoT zařízení, ještě než se nadšeně vrhnete do jeho používání, je potřeba udělat několik důležitých věcí, abyste k sobě domů nepustili kyberzločince, kteří číhají právě na takové neopatrné uživatele. </p><p>„Moderní technologie hrají v našich životech stále důležitější roli, a tak máme v mobilních telefonech například digitální peněženku a tablet používáme k pracovním věcem místo počítače. Naše zařízení jsou tak plná citlivých soukromých i pracovních dat a finančních informací, a jedná se proto o velmi lákavý cíl hackerských útoků. Další rizika pak přináší IoT zařízení. Pomocí chytrých hraček mohou kyberzločinci odposlouchávat vaše děti, webové kamery použít k nahrávání v okamžiku, kdy se převlékáte, a hlasoví asistenti mohou špehovat vaši domácnost,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. „Kyberzločinci kladou pasti a snaží se využívat každé příležitosti a cílí na nováčky i různými vánočními podvody. Je proto důležité po vybalení nového zařízení vše řádně zabezpečit. Pokud nové zařízení dostane dítě, pečlivě ho seznamte s výhodami i riziky a pomozte mu zařízení zabezpečit, pochopit, jaké hrozby na internetu číhají, a jak v případě nějakého útoku reagovat. Promluvte si s dětmi i o různých možnostech rodičovské kontroly, která nemá sloužit ke špehování, ale podpořit dialog o hrozbách a nastavit jasné hranice.“ </p><h2>Několik základních kroků, které vás pomohou ochránit, aby vaše data neskončila na darknetu a v rukou kyberzločinců a také aby vaše zařízení nesloužilo k hackerským útokům jako součást botnetu:<br></h2><p><b>1. Zamkněte si zařízení.</b> Každé zařízení si vždy zamkněte nějakým heslem, vzorem nebo třeba otiskem prstu nebo rozpoznáním obličeje. Pokud zařízení ztratíte nebo necháte bez dozoru, je prakticky nemožné se do něj dostat. </p><p><b>2. Zapněte si vzdálené vyhledávání.</b> Většina zařízení nabízí funkci pro vzdálené vyhledání, takže v případě krádeže nebo ztráty můžete přístroj najít, ale také jej můžete na dálku zamknout a vymazat, aby neměl nikdo nepovolaný potenciální přístup k vašim informacím. </p><p><b>3. Zapněte si zálohování svých dat</b>, abyste třeba v případě ransomwarového útoku mohli informace obnovit. Ransomware se nevyhýbá ani mobilním zařízením. </p><p><b>4. Změňte výchozí hesla. </b>Vždy je potřeba změnit výchozí hesla, která jsou v zařízení zadaná. Proč? Výchozí hesla jsou často veřejně známá a pomáhají při podpoře produktů. Navíc IoT zařízení, jako jsou chytré kamery, termostaty, chůvičky nebo routery, jsou vděčným terčem hackerů a zařízení s defaultními hesly lze na internetu jednoduše najít a zneužít. A určitě nechcete, aby se někdo připojil do vaší domácnosti. Taková zařízení se pak mohou stát součástí botnetu, jako je Mirai, a být použita ke kybernetickým útokům po celém světě. </p><p><b>5. Používejte hesla, která je těžké uhodnout</b>, ale jednoduché zapamatovat. Silná hesla nemusí být složitá. Stačí mít takové heslo, které ostatní neuhodnou, ale pro vás je snadno zapamatovatelné. Můžete například spojit různá slova a okořenit je čísly a symboly. Pomoci mohou také různí správci hesel. </p><p><b>6. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. </b>Většina lidí používá stejná uživatelská jména a hesla k různým účtům. Proto jsou tak častým cílem phishingových podvodů. Jelikož krádež jednoho hesla může umožnit napadení řady služeb. Phishingové e-maily a zprávy napodobují například známé značky a vydávají se za specialisty zákaznické podpory nebo dokonce za vašeho zaměstnavatele. Nikdy nesdělujte své přihlašovací údaje prostřednictvím e-mailu nebo textových zpráv. Vždy navštivte danou službu napřímo. </p><p><b>7. Používejte vícefaktorové ověřování (MFA)</b>, které minimalizuje hrozbu případného útoku. Při přihlášení k účtu z nového zařízení bude vyžadováno vícefaktorové ověření, tedy pojistka, která zajistí, že nikdo jiný nebude mít k těmto službám přístup. Pokud by se někdo přeci jen zkoušel k vašim účtům přihlásit, budete okamžitě upozorněni. </p><p><b>8. Neodkládejte aktualizace. </b>V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím. </p><p><b>9. Zkontrolujte nastavení ochrany osobních údajů. </b>Chytrá zařízení, jako jsou fitness náramky, chytrá domácí zařízení nebo i chytré hračky, drony a hlasoví asistenti, o vás shromažďujíc nejrůznější informace. Vždy si pečlivě projděte, jaké mají nastavení ochrany soukromí a ujistit se, že nesdělujete příliš. Vypněte všechny funkce, které nepotřebujete nebo nepoužíváte. </p><p><b>10. Nestahujte aplikace z neoficiálních zdrojů a obchodů.</b> Ale i do těch oficiálních občas pronikne nějaká malwarová aplikace, proto je nutné používat bezpečnostní řešení, které dokáže proaktivně vyhledat a zastavit hrozby, ještě než mohou způsobit nějaké škody. </p><p><b>11. Odstraňte nepotřebné aplikace.</b> Mnoho zařízení obsahuje řadu předinstalovaných aplikací, zranitelnosti v takovýchto aplikacích mohou hackerům usnadnit útok. Pokud tedy odstraníte aplikace, které nepoužíváte a nechcete, snížíte riziko útoku. Některé aplikace po vás navíc budou chtít osobní údaje, se kterými mohou dále manipulovat, buďte tedy obezřetní a používejte jen aplikace, kterým důvěřujete. </p><p><b>12. Vypněte automatické Wi-Fi/Bluetooth připojení.</b> Ve výchozím nastavení vašeho chytrého telefonu může být automatické připojení k dostupné Wi-Fi síti nebo Bluetooth zařízení, čehož mohou zkoušet hackeři zneužít a získat k němu zařízení. Ujistěte se proto, že je tato funkce vypnutá. Bezplatná Wi-Fi je sice lákadlem, ale zároveň může být vážnou bezpečnostní hrozbou. Často se setkáváme s hackery, kteří na letištích nebo v kavárnách čekají, až se někdo přihlásí k veřejné Wi-Fi síti, aby se mohli na nic netušící uživatele vrhnout. Pokud je to možné, zcela se vyhněte nezabezpečeným Wi-Fi sítím. A pokud je přeci jen musíte používat, nepřipojujte se alespoň k osobním účtům nebo citlivým údajům. </p><p>13. Důležitým krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s kybernetickými útoky. Moderní hrozby a podvody jsou ale tak sofistikované, že je pravděpodobně řada lidí nepozná. Zásadní je proto používat i pokročilé bezpečnostní řešení a anti-ransomware. <a href="https://www.aec.cz/cz/av">Zabezpečte také svoje mobilní zařízení​</a>, protože v telefonu máte ohromné množství informací a když je útok úspěšný, můžete ohrozit i všechny svoje známé. <br></p><br>0
Hackeři by mohli zneužívat AI chatboty k vytváření phishingových e-mailů a škodlivého kóduhttps://antivirus.cz/Blog/Stranky/hackeri-by-mohli-zneuzivat-ai-chatboty-k-vytvareni-phishingovych-emailu-a-skodliveho-kodu.aspxHackeři by mohli zneužívat AI chatboty k vytváření phishingových e-mailů a škodlivého kódu<ul><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">ChatGPT umožňuje vytvořit phishingové e-maily napodobující zprávy například od hostingové společnosti. </span></strong></li><li> <strong style="color:#6773b6;"> <span style="color:#6773b6;">ChatGPT dokáže phishingové zprávy dále zdokonalovat. </span></strong></li><li> <strong style="color:#6773b6;"> <span style="color:#6773b6;">ChatGPT vygeneruje VBA kód, který vloží do excelového dokumentu. </span></strong></li><li> <strong style="color:#6773b6;"> <span style="color:#6773b6;">Ke generování škodlivého kódu lze zneužít i OpenAI Codex. </span></strong><br></li></ul> <br> <p>Check Point Research varuje, že by hackeři mohli použít chatbota OpenAI ChatGPT a také OpenAI Codex k cíleným kybernetickým útokům. Check Point mimo jiné otestoval, že pomocí chatbota ChatGPT lze vytvořit phishingový e-mail se škodlivým kódem. Tento příklad by měl sloužit jako upozornění na možná rizika, která nové AI technologie přináší, protože mají potenciál výrazně změnit prostředí kybernetických hrozeb. </p><p>Pomocí chatbota ChatGPT lze vytvořit phishingový e-mail s přiloženým excelovým dokumentem obsahujícím škodlivý kód. A pokud bychom vše propojili s kódem vytvořeným pomocí OpenAI Codexu, bylo by možné vše použít k jednoduchému a přitom efektivnímu útoku. </p><h3>Stačilo by pomocí ChatGPT: </h3><p>1. Požádat o vytvoření zprávy napodobující hostingovou společnost. <br>2. Požádat o zdokonalení zprávy a vytvoření podvodného e-mailu se škodlivou excelovou přílohou. <br>3. Požádat o vytvoření škodlivého VBA kódu umístěného v excelovém dokumentu. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/ChatGPT-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;height:415px;" /> <br><em>Základní phishingový e-mail vygenerovaný pomocí ChatGPT</em> <br></p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/ChatGPT-02.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br><em>Zdokonalený phishingový e-mail vytvořený pomocí ChatGPT</em> </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/ChatGPT-03.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br><em>Jednoduchý VBA kód vytvořený pomocí ChatGPT</em> <br></p><p>Výzkumnému týmu se také podařilo vygenerovat škodlivý kód pomocí OpenAI Codexu. Položeny byly následující otázky: </p><ul><li>Spusť reverzní shell skript na počítači se systémem Windows a připoj se k určité IP adrese. </li><li>Zkontroluj, zda je URL adresa zranitelná vůči SQL injection přihlášením jako správce. </li><li>Napiš skript v jazyce python, který spustí úplnou kontrolu portů na cílovém počítači. </li></ul><p><br>Následně Codex vygeneroval škodlivý kód. A při propojení s phishingovým e-mailem vytvořeným v předchozí fázi pomocí ChatGPT bychom měli vše potřebné k útoku. </p><p>„ChatGPT má potenciál výrazně změnit prostředí kybernetických hrozeb. Kdokoli s minimálními prostředky a nulovými znalostmi v oblasti kódu může snadno vytvořit hrozbu podle svých představ,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „S pomocí AI je snadné vygenerovat škodlivé e-maily a kódy a hackeři je mohou dále vylepšovat. Náš příklad má sloužit jako varování veřejnosti, protože AI technologie mohou znovu posunout vývoj sofistikovaných a efektivních kybernetických hrozeb. Svět kybernetické bezpečnosti se rychle mění a je potřeba na to reagovat. AI technologie jsou stále vyspělejší a mohou ovlivnit prostředí hrozeb v dobrém i zlém.“ </p><h3>Více informací najdete v analýze výzkumného týmu Check Point Research: </h3><p><a href="https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/" target="_blank">https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/​</a> </p> <br>0
Rok 2022 z pohledu kybernetických hrozebhttps://antivirus.cz/Blog/Stranky/rok-2022-z-pohledu-kybernetickych-hrozeb.aspxRok 2022 z pohledu kybernetických hrozeb<h3><span style="color:#6773b6;">Uplynulý rok přinesl nejen útoky spojené s válkou na Ukrajině, potvrdil ale také rostoucí hrozby v podobě spywaru a phishingu v Česku. </span><br></h3> <br> <p><strong>Vývoj kybernetických hrozeb v roce 2022 značně ovlivnila válka na Ukrajině - vrátil se nechvalně známý malware Industroyer, který cílil na velkou část ukrajinské vysokonapěťové elektrické sítě, nebo se objevily scamy zneužívající solidarity lidí s Ukrajinou. Nejčastějším cílem ransomwarových útoků se naopak stalo Rusko. V Česku narůstala oblast běžného malwaru, šíření dezinformací, scamy a phishingovové kampaně, které jsou rizikem nejen pro jednotlivce, ale stále více také pro firmy. Velkým tématem letošního léta se staly phishingové podvody na internetových bazarech, které opět nabraly na intenzitě před koncem roku. Během celého roku narůstaly v Česku také detekce škodlivého kódu, a to zejména spywaru. Shrnutí vychází z pravidelných bezpečnostních statistik společnosti ESET. </strong><br></p><p>V době, kdy byla zahájena invaze na Ukrajinu, objevili analytici ze společnosti ESET dvě nové rodiny malwaru typu wiper (HermeticWiper a IsaacWiper), které cílily na ukrajinské organizace a měly za cíl mazat data v zařízeních. V dubnu poté ESET odhalil útok škodlivým kódem Industroyer2, jehož autorem byla ruskojazyčná útočná skupina Sandworm. Útok byl zaměřen na rozvodnou síť distribuující elektřinu na území Ukrajiny. </p><p>S válečným konfliktem na Ukrajině se také odstartovala vlna podvodných humanitárních sbírek, tedy scamů, které se šírily jak e-mailem, tak prostřednictvím sociálních sítí. Aktuálně jsou phishingové útoky, které se vyznačují manipulativní komunikací a cílí na uživatele všech operačních systémů a platforem, jednou z nejrychleji rostoucí oblastí hrozeb, a to i v Česku. </p><h2>Rapidně vzrostl počet podvodů na internetu </h2><p>Scamy na internetu se ale netýkaly jen podvodných sbírek. Letos v létě se staly rizikem pro uživatele podvody na internetových bazarech, při nichž útočníci zneužívali jména přepravních společností. V Česku se jednalo zejména o tuzemské přepravní společnosti – Českou poštu a Zásilkovnu. </p><p>Útoky jsou čím dál sofistikovanější a útočníci letos zneužívali k útokům i legitimní nástroje jako Google AdSense nebo WordPress. Prostřednictvím online reklamy mimo jiné lákali na investiční nabídky nebo nákup potravinových doplňků. Případně oběti přihlašovali k prémiovým mobilním službám. Podvodný obsah se objevoval v několika jazykových mutacích, včetně češtiny a útočníci jeho prostřednictvím zneužívali jména celebrit nebo známých společností, například skupiny Agrofert nebo ČEZ. </p><p>Celkově počet detekovaných případů phishingu podle bezpečnostních expertů letos narostl o stovky procent oproti roku předchozímu. „Z dat, která máme k dispozici, můžeme skutečně vyčíst narůstající trend phishingových kampaní. Jde o metodu, kdy se útočník vydává za důvěryhodnou autoritu s cílem získat citlivá data oběti. Takový způsob útoku označujeme jako sociální inženýrství a vedle útoků prostřednictvím malwaru, jako jsou infostealery nebo ransomware, se již dnes jedná o jednu z nejčastějších strategií, jak zaútočit na citlivá data domácích i firemních uživatelů,“ popisuje Martin Jirkal, vedoucí analytického týmu společnosti ESET. </p><h2>Hlavním rizikem zůstává také spyware </h2><p>Spyware po celý rok v Česku útočil především přes nebezpečné e-mailové přílohy a hlavním cílem útoků zůstávají uživatelská hesla, především ta, která si uživatelé ukládají do internetových prohlížečů. Ty totiž nejsou před těmito útoky dostatečně zabezpečené. </p><p>Mezi hrozbami pro operační systém Windows v roce 2022 dominovaly spywary Agent Tesla (21,45 % případů), Formbook (12,96 %) a password stealer Fareit (9,72 %). Za nimi (3,38 %) ještě následuje SPY Agent AES, dříve přiřazovaný ke spywaru Agent Tesla. Téměř všechny nejčastěji detekované hrozby jsou nějakým způsobem zadní vrátka do systému (backdoory), které mohou nainstalovat do zařízení další malware, jako ransomware, poté co odcizí ze systému hesla, nebo jiné osobní údaje. </p><p>„V Česku se pravidelně objevují české překlady celosvětových útočných kampaní, což svědčí o tom, že je Česká republika na seznamu cílových zemí. Nebezpečné přílohy mají svými názvy uživatele přesvědčit, že se jedná o reálnou fakturu, účtenku, nebo doklad k objednávce a přimět je tak k otevření souborů, čímž umožní spywaru infikovat jejich zařízení,” říká Jirkal. </p><h2>Stalkerware a bankovní malware ustupují škodlivé reklamě </h2><p>V případě zařízení s operačním systémem Android se ukazuje, že nejvíce detekovanou moderní hrozbou se stává nevyžádaná reklama s různými stupni míry invaze do systému. </p><p>„Nejběžnějším škodlivým kódem byl letos v Česku Andreed (30,78 % případů), který je nejméně invazivní, což může být důvodem jeho největšího přetrvávání. Ustupuje stalkerware, který dominoval minulý rok a také malware Cerberus, který byl v ČR začátkem roku 2022 velice aktivní. Uživatelé by ale neměli propadat falešnému pocitu bezpečí - například malware Triada, který se v menších či větších číslech v ČR pohybuje celoročně, dokáže v systému napáchat uživateli již nemalé škody,” dodává Martin Jirkal. </p><h2>Hrozby pro firmy </h2><p>Ransomware je v současnosti jednou z největších hrozeb pro firmy a jeho výskyt ještě zhoršil trend hybridní práce. Malé a střední podniky se stávají stále atraktivnějším cílem útoků, a to proto, že ačkoli uchovávají spoustu cenných zákaznických a finančních dat, často jim chybí komplexní bezpečnostní opatření, která používají velké korporace. </p><p>„Ransomware se může do sítě společnosti dostat přes služby vzdálené správy nebo právě pomocí phishingových kampaní. Útoky jsou čím dál sofistikovanější a útočníci využívají i nově objevených zranitelností systémů, případně provádějí útoky na dodavatelský řetězec, kdy infikují nebo manipulují se softwarovým produktem dodavatele,” říká Robert Šuman, vedoucí pražské virové laboratoře společnosti ESET. </p><p>Jak vyplynulo ze zprávy SMB Digital Security Sentiment Report 2022 ransomware je jednou z nejobávanějších hrozeb pro malé a střední podniky, v ČR se ho obává 65 % z těchto firem. Více se čeští respondenti obávají pouze virů a malwaru (75 %). Za zmínku stojí i vysoké procent českých firem (62 %), které se obávájí Business E-mail Compromise (BEC), při kterých dochází ke zneužití identity zaměstnance, kterou útočník odcizí nejčastěji pomocí technik sociálního inženýrství, včetně phishingu. </p><h2>Kryptoměny je výhodnější krást </h2><p>V letošním roce přetrvával trend miningu kryptoměn v prohlížečích a cryptostealers útoky. Hrozby v oblasti kryptoměn obvykle korelují s jejich směnnými kurzy. Směnné kurzy kryptoměn a ochotu obchodovat nebo je těžit ale negativně ovlivnily rostoucí ceny energií. Stále výhodnější je tedy kryptoměny spíše odcizit jejich držitelům. </p><p>Masivně narostly i pokusy o podvodné vylákání kryptoměn na diskuzních platformách typu Discord nebo Telegram, kde se útočníci vydávali za správce témat, oficiální zástupce kryptoburz nebo support tým. Phishingové útoky se také skrývaly za tváře známých osobností např. Elona Muska, kdy se jednalo o falešné rozdávání dárků a bonusů (tzv. giveaways), jejichž cílem bylo z oběti vylákat menší množství kryptoměny s vidinou získání násobného počtu dané kryptoměny. </p><p>„Kryptoměny budou nadále jednou z hlavních oblastí, přes kterou mohou útočníci monetizovat, budou využívány pro různé podvody jako je phishing, vishing atd. Pravděpodobně budeme často vídat pokusy ukrást přístupy k peněženkám nebo k účtům na burzách a podvodné investice do kryptoměn,” říká Šuman. </p><p>„Celkově se příští rok budeme setkávat se stálými hrozbami, neočekáváme výrazné změny trendu. Nadále porostou phishingové útoky, jako byly letos například podvody na online bazarech, a poroste tak potřeba, aby byl i bežný uživatel internetu stále informovanější a opatrnější. Dominovat budou nadále infostealery jako jsou spywary nebo password stealery a můžeme počítat i se sofistikovanými útoky na firmy prostřednicvtím ransomwaru. Rizikem zůstávají také útoky typu dodavatelský řetězec nebo penetrační průniky přes zranitelnosti s komplexním vytěžením informací, strojového času apod. v infikované společnosti,” shrnuje Šuman z ESETu. </p>​<br>0


No More Ransom 

AEC Endpoint Detection and Response

Microsoft Exchange

Threat Cloud Map

AEC Penetrační testy

Coalition Against Stalkerware 

Ransomware Attack Map