Častou hrozbou, se kterou se setkala řada uživatelů na celém světě je tzv. spyware. Jeho prostřednictvím se útočníci snaží odcizit uživatelská hesla a další citlivá data. V celosvětovém měřítku se jejich výskyt výrazně nezměnil. Za čtvrtinou těchto útoků ve světě stál mezi lednem a březnem trojský kůň Fareit. V České republice jej analytici společnosti ESET zachytili také. V minulém roce patřil mezi nejčastěji detekovaný malware u nás, ale letos jeho výskyt mírně oslabil.
„Oslabení patrně nebude trvalé. Jde o běžné útoky. Kódy ke spywaru je možné zakoupit na černém trhu a bezprostředně využít k útoku. Navíc data, která takto útočníci získají, je možné snadno zpeněžit,“ popsal praxi Miroslav Dvořák, technický ředitel české pobočky ESETu. „V Česku se těmito útoky setkáváme řadu měsíců. Nejsilnější byly loni v září, kdy stály za čtvrtinou útoků, v letošním roce je to pak okolo desetiny.“
Kybernetický zločin ovládl malware těžící z obav z COVID-19
V porovnání s koncem roku 2019 narostl letos počet podvodných webových stránek o 21 %. Značná část z nich obsahuje různé formy phishingu. V první polovině března zaznamenali analytici šedesátinásobný nárůst webů související s virem COVID-19. Nejčastěji se s těmito hrozbami setkávali uživatelé v Rusku, Peru, Japonsku, USA a Francii.
Odkazy na takovéto stránky se šířily především spamem. Útočníci se v e-mailech vydávali za autority, jakou je například Světová zdravotnická organizace. Konkrétně tyto e-maily v angličtině analytici zachytili také v Česku. Nicméně útoků v češtině bylo v porovnání s těmi v cizích jazycích méně a odkazovaly spíše na phishingové webové stránky.
„Zajímavé je, že celkový počet spamových kampaní se výrazně nezměnil. Jejich tvůrci zřejmě jen změnili obsah e-mailů, aby byl pro uživatele aktuálnější. Pětina spamů odcházela ze serverů v USA, útočilo se také z Evropy, 5 % spamů z globálního pohledu odešlo z Polska či Francie,“ popsal Dvořák.
Wannacry je stále nejrozšířenějším ransomwarem
Analytici ESETu zaznamenali v prvním kvartálu roku 2020 celosvětový pokles v detekcích ransomwaru. Výjimku představuje přelom ledna a února, kdy v regionu jižní Afriky operovaly dvě výrazné kampaně: Crysis a Sodinokibi.
Nejvýraznějším ransomwarem zůstává WannaCryptor, ten je široké veřejnosti spíše známý jako WannaCry z roku 2017. Stojí za 40 % detekcí veškerého ransomwaru, a to navzdory tomu, že zneužívá zranitelnost, na kterou byla aktualizace vydána již před třemi lety. WannaCryptor se nadále šířil v Turecku, Thajsku a Indonésii. Podobné je to s hrozbou GandCrab z roku 2018,
„Pandemie koronaviru se ale projevila i v tomto ohledu. Řada útočníků se dokonce vyjádřila do médií, že na zdravotnická zařízení během pandemie vůbec útočit nebudou. Bohužel jiní, například tvůrci ransomwaru Ryuk, situaci spíše využili. S tímto ransomwarem se potýkaly právě české nemocnice. V globálních statistikách však skutečně pokles detekcí ransomwaru vidíme. Nicméně nelze očekávat, že by kybernetičtí zločinci po odeznění pandemie svoji aktivitu opět nezvýšili. S největší pravděpodobností využijí toto období ke zlepšování svých útočných metod a kódů,“ řekl Dvořák.
Na konci roku 2019 zachytili experti na bezpečnost nový trend, který útočníci letos dál rozvíjeli. Tvůrci ransomwaru začali krást citlivé informace (například bydliště, telefonní čísla, fotografie, politické názory či sexuální orientaci) uživatelů a vyhrožovat jejich zveřejněním, pokud oběť nezaplatí výkupné. Tato technika se nazývá také doxing. Slouží namísto klasického zašifrování dat, případně se obě metody kombinují. V případě firem mohou například útočníci začít zveřejňovat ukradené dokumenty s návrhy nových výrobků a další cenné obchodní informace.
„Doxing využívají operátoři ransomwaru Maze. Technika se osvědčila a s nástupem roku 2020 ji začali využívat i další útočníci. Je pravděpodobné, že se s doxingem budeme potýkat i v dalších měsících,“ dodal Dvořák.
Cena Bitcoinu klesla a s ní i detekce těžebních malwarů
S nástupem koronakrize klesla burzovní hodnota kryptoměn, především Bitcoinu. Útoky, jejichž cílem je těžit kryptoměny, byly proto na počátku roku na ústupu. Na konci března byly v porovnání s prosincem 2019 na poloviční hodnotě detekcí.
„Kybernetičtí zločinci se snaží především vydělat, pokud klesne cena kryptoměn, zaměří své aktivity jiným směrem. Dokud se hodnoty měn nevrátí na nějakou vyšší míru, nelze jejich výraznější návrat na scénu očekávat,“ doplnil Dvořák.
Důvodem poklesu může být také operace Interpolu, díky které se v lednu podařilo identifikovat útočníky, kteří stáli za pětinou nelegálních kampaní těžících kryptoměny po celém světě.
Počet hrozeb pro telefony klesá
Analytici sledovali také vývoj malwaru pro telefony s operačním systémem Android. Jejich počet v první kvartálu roku 2020 zůstával poměrně stabilní. Za pětinou detekcí stojí adware Hiddad, který zobrazuje uživatelům reklamu přes celou obrazovku. Reklamy výrazně omezují použitelnost zařízení, případně odkazují na podvodné webové stránky či aplikace.
„V tomto ohledu se situace v České republice trochu liší. V lednu například nejčasnější riziko představovaly falešné antivirové aplikace. Nicméně i u nás Hiddad detekujeme a patří mezi nejběžnější malware pro platformu Android. Šíří se především přes neoficiální aplikační obchody a fóra. Zachytili jsme jej například v aplikacích pro stahování či přehrávání videí,“ popsal Dvořák.
Strach okolo pandemie ale využili i útočníci, kteří se specializují na Android. Výzkumný tým ESETu zaznamenal škodlivé aplikace, které toto téma zneužívaly. Nejčastěji se maskovaly jako nástroje pro určení symptomů, mapy infekce, sledovací systémy či služby pro finanční kompenzace. Tyto podvodné aplikace pak šířily různý bankovní malware, ransomware, spyware či reklamní malware. V České republice nicméně byl výskyt těchto aplikací minimální.
Kompletní report hrozeb, včetně popisu aktivit některých skupin a grafického znázornění změn, si můžete stáhnout zde.