Zneužívání proxywaru je sice relativně novým trendem, ale podle odborníků Cisco Talos má obrovský růstový potenciál. Nelegálně získaný přístup k síti totiž umožňuje kyberzločincům vymazat stopy vedoucí ke zdroji útoků. Jakákoli aktivita využívající ukradenou konektivitu je skryta pod IP adresou oběti. V důsledku toho se zdá, že data pocházejí z důvěryhodných sítí, což snižuje ostražitost specialistů na kybernetickou bezpečnost a ztěžuje přizpůsobení konvenčních bezpečnostních systémů, které například analyzují seznam blokovaných IP adres.

Nové formy útoků představují pro bezpečnostní profesionály nové výzvy. Experti Cisco zdůrazňují, že existují i platformy, které umožňují sdílení síťového provozu přímo z datového centra. Proto se vyplatí, aby organizace zvážily zákaz používání proxywaru v zaměstnání. Koncové body by se přes něj neměly připojovat k sítím. Specialisté Cisco Talos doporučují implementovat komplexní mechanismy bezpečného přihlášení a distribuce výstrah pro zajištění efektivní lokalizace a reakce na pokusy o připojení k proxywaru, protože to může znamenat, že došlo k útoku.

Více informací najdete na blogu Cisco Talos.

The post Cisco varuje před novým typem kybernetických útoků appeared first on Bezpečné IT.

Výzkumníci uvádějí, že hackerské nástroje, které jsou nyní běžně dostupné a používané, nabízejí překvapivě pokročilé schopnosti. Jeden z těchto nástrojů dokáže například rozpoznávat obrazce CAPTCHA pomocí technik počítačového vidění, konkrétně optického rozpoznávání znaků (OCR), a napadat tak webové stránky útoky typu credential stuffing (zneužití databáze uniklých uživatelských jmen a hesel). V obecnějších zjištěních zprávy se uvádí, že kybernetičtí zločinci jsou organizovanější než kdykoli předtím a že podzemní fóra poskytují útočníkům dokonalou platformu, kde mohou vzájemně spolupracovat, sdílet taktiky, techniky a postupy útoků.

„Stále větší dostupnost pirátských hackerských nástrojů a podzemních fór nyní umožňuje i útočníkům, kteří dříve neměli dostatečné znalosti, vážně ohrozit bezpečnost podniků,“ uvedl dr. Ian Pratt, globální ředitel pro zabezpečení osobních systémů společnosti HP Inc. „Zároveň se uživatelé stále znovu stávají oběťmi jednoduchých phishingových útoků. Klíčem k maximální ochraně a odolnosti podniku jsou bezpečnostní řešení, která IT oddělením umožní předejít budoucím hrozbám.“

Mezi významné hrozby izolované nástrojem HP Wolf Security patří:

• Spolupráce kyberzločinců otevírá dveře k rozsáhlejším útokům: Kybernetičtí zločinci napojení na systém Dridex prodávají přístup do systémů napadených organizací také dalším potenciálním útočníkům, ti tedy mohou dále distribuovat ransomware. Pokles aktivity Emotetu vedl k tomu, že v 1. čtvrtletí roku 2021 izoloval nástroj HP Wolf Security nejčastěji malware, patřící do rodiny nástrojů Dridex.
• Zloději informací vyvíjejí stále nebezpečnější malware: Malware CryptBot – v minulosti používaný jako nástroj pro krádeže přihlašovacích údajů k peněženkám s kryptoměnami a přihlašovacích údajů, uložených webovým prohlížečem – se nyní používá také k šíření DanaBotu – bankovního trojského koně provozovaného organizovanými zločineckými skupinami.
• Kampaň stahující další malware prostřednictvím VBS, zaměřená na vedoucí pracovníky ve firmách: Jako součást vícestupňového útoku, zneužívajícího skriptu napsaného v jazyce Visual Basic (VBS), sdílejí útočníci infikované přílohy ve formátu ZIP, pojmenované po vedoucím pracovníkovi, na něhož se kampaň zaměřuje. V první fázi využije útočník skrytý VBS downloader, posléze se pomocí legitimních nástrojů SysAdmin na napadených zařízeních „zabydlí“ a dále šíří malware.
• Od aplikace k infiltraci: Škodlivá spamová kampaň v podobě životopisů, zasílaných zásilkovým, námořním přepravním, logistickým a souvisejícím společnostem v sedmi zemích (Chile, Japonsko, Velká Británie, Pákistán, USA, Itálie a Filipíny), která zneužívala zranitelnosti aplikací Microsoft Office k nasazení komerčně dostupného malwaru RAT Remcos a získání přístupu do infikovaných počítačů přes tzv. zadní vrátka.

Zjištění vycházejí z údajů společnosti HP Wolf Security, která sleduje malware v izolovaných virtuálních počítačích, snaží se zachytit a rozklíčovat celý řetězec infekce a zmírnit potenciální hrozby. Díky lepšímu pochopení chování malwaru v reálném prostředí mohou výzkumníci a inženýři společnosti HP Wolf Security posílit ochranu koncových zařízení a celkovou odolnost systému.

Další klíčová zjištění zprávy:

• 75 % zjištěného škodlivého softwaru bylo doručeno e-mailem, zbývajících 25 % připadá na stahování z webu. Počet nebezpečných programů stažených pomocí webových prohlížečů vzrostl o 24 %, což částečně způsobil fakt, že uživatelé stahovali hackerské nástroje a software pro těžbu kryptoměn.
• Nejčastějšími e-mailovými phishingovými návnadami byly faktury a obchodní transakce (49 %), zatímco 15 % tvořily odpovědi na zachycenou e-mailovou komunikaci. Podíl phishingových návnad zmiňujících covid-19 byl menší než 1 %. Od 2. pololetí 2020 do 1. pololetí 2021 klesl o 77 %.
• Nejčastějším typem škodlivých příloh byly archivní soubory (29 %), tabulky (23 %), dokumenty (19 %) a spustitelné soubory (19 %). K obcházení detekčních a skenovacích nástrojů a k instalaci malwaru, který lze snadno získat na nelegálních tržištích, se používají neobvyklé typy archivních souborů – například JAR (Java Archive).
• Zpráva zjistila, že 34 % zachyceného malwaru nebylo dříve známo, což představuje 4% pokles ve srovnání s druhou polovinou roku 2020.

The post I pokročilé hackerské nástroje jsou stále dostupnější takřka pro každého appeared first on Bezpečné IT.

Prognózu na rok 2021 sepsali experti společnosti Kaspersky na základě změn, které během letošního roku zaznamenal Globální tým pro výzkum a analýzy (Global Research and Analysis Team, GReAT). Společnost ji zveřejňuje, aby tím podpořila komunitu zabývající se kybernetickou bezpečností a poskytla jí určitá vodítka a hlubší znalosti. Právě ty, spolu s odhady hrozeb pro různé obory a technologie, bezpečnostní analytici shrnuli do jediného dokumentu. Na jeho základě se můžeme lépe připravit na kybernetické výzvy, jež nás čekají v následujícím roce.

Tvůrci hrozeb APT si budou kupovat přístupová hesla do sítí, jež chtějí napadnout, od kybernetických zločinců

Jedním z hlavních a potenciálně nejvíce nebezpečných trendů, jež výzkumníci společnosti Kaspersky očekávají, je změna v přístupu aktérů hrozeb k provádění útoků. Cílené vyděračské útoky (ransomware) loni dosáhly nové úrovně v důsledku využívání generických malwarů, které slouží k získání výchozího opěrného bodu k napadení sítí, o něž útočníkům jde. Kaspersky odhalil spojení mezi těmito malwary a zavedenými sítěmi hackerů, jako je například Genesis, které obvykle prodávají odcizené osobní údaje. Analytici jsou přesvědčeni, že aktéři APT začnou stejnou metodu používat i k napadání svých obětí.

Na základě těchto zjištění by měly organizace věnovat zvýšenou pozornost generickému malwaru a podniknout základní opatření proti jeho proniknutí do každého počítače, který by jimi mohl být ohrožen. Jedině tak mohou zajistit, že generický malware nebude schopen posloužit jako prostředek k uplatnění sofistikovanějších hrozeb.

Mezi další očekávané aktivity v oblasti cílených kybernetických hrozeb v roce 2021 počítáme i ty níže uvedené:

• Stále více zemí bude využívat právní kroky jako součást strategie zajištění kybernetické bezpečnosti. Předchozí predikce Kaspersky ohledně „pojmenování a poukázání“ na APT útoky nepřátelských zemí se ukázaly jako pravdivé a stále větší počet organizací postupuje stejně. Tím, že dojde k odhalení sady nástrojů APT skupin, jež konají na úrovni vlád, je povzbuzeno více států, aby udělaly totéž, čímž se oslabí činnost a vývoj aktivit útočníků.
• Firmy ze Silicon Valley začnou ve velkém přijímat opatření proti zero day útokům. Po skandálních případech, kdy špionážní exploity napadly oblíbené aplikace – a šlo o celou řadu různých cílů – je pravděpodobné, že se další společnosti sídlící v Silicon Valley postaví proti zero day útokům, aby ochránily své klienty a také své dobré jméno.
• Útočníci budou častěji cílit na síťová zařízení. Kvůli rapidnímu nárůstu podílu práce na dálku se prioritou firem stává zabezpečení vzdálené online komunikace. Tento záměr je zcela na místě, protože Kaspersky předpovídá růst pokusů o zneužití síťových prvků a služeb, jako jsou například VPN. Dá se také očekávat, že se objeví snahy získat od uživatelů, kteří pracují na dálku, přístupové údaje k firemním sítím VPN prostřednictvím tzv. „vishingu“, čili podvodného vylákání těchto údajů přes telefonní hovory.
• Požadování peněz „pod výhrůžkou“. Vyděračské gangy využívající ransomware mění strategii, což vede ke konsolidaci sice stále různorodého, nicméně úzce uplatňovaného vyděračského ekosystému. Poté, co byly dřívější strategie cílených útoků úspěšné, začne větší počet velkých hráčů v oblasti ransomwaru své aktivity přesněji cílit a snažit se dosáhnout úrovně hrozeb APT. Díky finančním prostředkům, které gangy vydělaly na dřívějších kampaních, budou schopny investovat značné částky do nových pokročilých sad nástrojů, přičemž jejich rozpočty budou srovnatelné s některými APT skupinami, jež sponzorují přímo vlády.
• Útoky budou mít větší rozvratné dopady, protože budou sladěnější a navržené s cílem napadnout kritickou infrastrukturu nebo způsobit vedlejší související škody, protože naše životy se stávají stále více závislé na technologiích, což poskytuje mnohem větší prostor k napadení, než tomu bylo kdykoli dříve.
• Objevování zranitelných míst 5G sítí. Vzhledem k tomu, jak se tato technologie stále více uplatňuje a možností její konektivity bude využívat stále více zařízení, budou mít útočníci silnější podnět k hledání zranitelných míst, která by mohli zneužít.
• Útočníci budou i nadále zneužívat pandemii COVID-19. Přestože aktéři hrozeb APT nutně nezměnili taktiku, techniky ani postupy, tento virus je neustále ve středu jejich pozornosti. A jelikož pandemie bude pokračovat i v roce 2021, útočníci se nepřestanou pokoušet toto téma využívat i nadále, aby získali opěrné body k napadení systémů, na které mají spadeno.

„Žijeme ve světě, který je natolik těkavý, že je pravděpodobné, že v budoucnu dojde k událostem či procesům, jež jsme si dosud nebyli schopni ani představit. Objem a složitost proměn, které jsme zaznamenali a které ovlivnily prostředí kybernetických hrozeb, by nás mohly postavit před velké množství scénářů toho, co nás asi čeká. Na světě nadto nejsou týmy zkoumající hrozby, které by dokázaly plně rozpoznat jednání aktérů APT hrozeb. Jistě, svět je chaotický, nicméně naše dosavadní zkušenosti ukazují, že jsme v minulosti dokázali předvídat vývoj APT hrozeb, a díky tomu jsme se na ně mohli lépe připravit. Tímto směrem se budeme ubírat i nadále, budeme se snažit porozumět taktikám a metodám, jež APT kampaně a aktivity využívají, sdílet získané znalosti a vyhodnocovat dopady, které tyto cílené kampaně mají. Nejdůležitější je situaci pozorně sledovat a být vždy připraveni reagovat – a my jsme přesvědčení, že tohle děláme dobře,“ řekl David Emm, hlavní bezpečnostní výzkumník Kaspersky.

Kompletní verze predikcí hrozeb společnosti Kaspersky na rok 2021 je k dispozici na webu Securelist.com.

The post Kybernetické útoky v roce 2021: Nové cílení i přepracované strategiemi appeared first on Bezpečné IT.

„Vzhledem k tomu, že covid-19 radikálně změnil způsob, jakým pracujeme a žijeme, zaznamenali jsme široké spektrum kybernetických útočníků, kteří mění svou taktiku, aby využili nových zranitelných míst,“ řekl Josh Ray, který vede sekci kybernetické obrany Accenture Security. „Organizace by měly očekávat, že kyberzločinci budou stále drzejší, protože potenciální příležitosti a výnosy z jejich činnosti nebývale rostou. V takové situaci je třeba znásobit používání správných kontrolních mechanismů a využívat spolehlivé informace o kybernetických hrozbách. Je třeba tyto složité a komplexní hrozby pochopit, aby bylo možné se účelně bránit.“

Sofistikovaní protivníci maskují identitu pomocí běžných nástrojů 

Po celý rok 2020 analytici Accenture CTI (Cyber Threat Intelligence) monitorovali podezřelé, různými státy sponzorované a organizované zločinecké skupiny, které využívaly kombinace běžných nástrojů i open source prostředků pro penetrační testování, a to jak k provádění kybernetických útoků, tak k zahlazení stop. Šlo například o využití „living off the land“ prostředků (nástrojů nebo funkcí, které již v cílovém prostředí existují), sdílené infrastruktury a veřejných exploitů.

Accenture kupříkladu sleduje aktivity íránské hackerské skupiny označované jako SOURFACE (také známé jako Chafer nebo Remix Kitten). Skupina je aktivní nejméně od roku 2014 a je proslulá svými kybernetickými útoky na ropný a plynárenský průmysl, komunikace, dopravu a další průmyslová odvětví v USA, Izraeli, Evropě, Saúdské Arábii, Austrálii a v dalších regionech. Analytici společnosti Accenture zaznamenali, že SOURFACE využívá legitimních funkcí systému Windows a volně dostupných nástrojů, jako je Mimikatz.

„Mimikatz je velmi populární a rozšířený nástroj v komunitě hackerů. Používá se ke krádeži přihlašovacích údajů uživatelů, které následně útočníci často využivájí k tzv. lateral movement. Cílem je jedy získat vyšší oprávnění (např. administrátorský účet), pohybovat se po síti a systémech společnosti s identitou standardního uživatele. Dle vydané zprávy je vysoce pravděpodobné, že zkušení útočníci, včetně státem sponzorovaných a organizovaných zločineckých skupin, budou i nadále kromě open source projektů využívat již zaběhlých nástrojů, jelikož se ukázalo, že jsou velmi efektivní z pohledu výkonu a nákladů,“ řekl Michal Merta, odborník na bezpečnost a ředitel Cyber Fusion Centra v Accenture ČR.

Nová taktika zaměřená na kontinuitu podnikání 

Zpráva popisuje, jak jedna notoricky známá skupina agresivně zacílilana systémy podporující Microsoft Exchange a Outlook Web Access. Tyto napadené systémy používá jako úkryt v prostředí oběti, který umožňuje utajení provozu, předávání příkazů, kompromitujících e-mailů, krádeže dat nebo jejich shromažďování pro špionážní činnost. Jde o skupinu z Ruska, kterou Accenture označuje jako BELUGASTURGEON (známá také jako Turla nebo Snake). Působí již více než 10 let a je spojena s řadou kybernetických útoků zaměřených na vládní agentury, firmy zabývající se výzkumem zahraniční politiky a think tanky z celého světa. 

Ransomware jako nový ziskový a škálovatelný obchodní model 

„Ransomware se v uplynulém roce stal lukrativním obchodním modelem.Kyberzločinci nejen požadují tzv. ransom za dešifrování dat, ale čím dál častěji vydírají společnosti zveřejněním odcizených dat, případně faktu, že provedený útok byl úspěšný. Dobré jméno společnosti je v dnešní době klíčem k úspěchu a kyberzločinci jsou si tohoto velmi dobře vědomi,“ doplnil Merta.

Skupiny Maze, Sodinokibi (také známí jako REvil) a DoppelPaymer jsou průkopníky této taktiky, která přináší větší zisky. Inspirují mnoho napodobitelů a nových „obchodníků“ s ransomwarem.  Začátkem tohoto roku se navíc objevil nechvalně známý ransomware LockBit, který si kromě zkopírované vydírací taktiky získal pozornost díky své vlastní šířící se funkci, která rychle infikuje další počítače v podnikové síti. Motivace LockBitu se zdají být také finanční. Analytici společnosti Accenture CTI pečlivě monitorovali kanály, které kyberzločinci využívají ke své komunikace (tzv. Dark Web fóra). Ukázalo se, že útočníci pravidelně inzerují vylepšení ransomwaru, sdílejí aktualizované balíčky malwaru a aktivně získávají nové členy, kterým slibují část peněz z výkupných. Úspěch těchto metod vydírání hack-and-leak, zejména proti větším organizacím, předznamenává pravděpodobné budoucí hackerské trendy v roce 2021.

Celá zpráva je k dispozici zde.

The post Hackerské gangy mění taktiku – cílem je způsobit více škod appeared first on Bezpečné IT.

Dolování kryptoměn nemusí samo o sobě vést k narušení funkčnosti systémů nebo k finančním ztrátám. Těžící software je obvykle využíván ke zpeněžení zdrojů kompromitovaných nevytížených serverů, nicméně počítačoví zločinci hledají cesty k podstatně větším ziskům. Mezi možnosti k naplnění tohoto cíle patří krádeže cenných dat, prodej přístupů k napadaným serverům pro další zneužití nebo příprava pro provedení cíleného ransomwarového útoku. Všechny servery, u kterých dojde k odhalení těžby kybernetické měny, by proto měly být ihned překontrolovány a situace bezodkladně vyřešena.

„Kybernetické podsvětí se může pochlubit širokou a propracovanou nabídkou infrastrukturních prvků využitelných k nelegálním počítačovým aktivitám všeho druhu. Zájemci si mohou pořídit hosting tolerující nezákonné aktivity, využívat anonymizační služby a řešení pro manipulaci s doménami nebo zneužívat kompromitované prvky napadaných klientů,“ řekl Bob McArdle, ředitel pro oblast výzkumu nejnovějších hrozeb ze společnosti Trend Micro. „Naším cílem je zvýšit povědomí a míru porozumění problematice infrastruktury zneužívané počítačovými zločinci. Cílem je pomoci orgánům činným v trestním řízení, zákazníkům i dalším výzkumným týmům blokovat aktivity kyberzločinců a zvýšit náklady pro útočníky.“

Součástí zprávy je seznam hlavních hostingových služeb počítačového podsvětí a také technické podrobnosti o tom, jak tyto služby fungují a jak je kybernetičtí zločinci zneužívají pro svůj nelegální byznys. Zpráva tak mj. detailně popisuje typický životní cyklus kompromitovaného severu, od počátečního napadení až po finální útok.

Kompromitování a následnému zneužití pro nelegální hostování jsou obzvláště vystavené cloudové servery. Důvod je prostý – často není věnována dostatečná pozornost k zajištění ochrany jejich on-premise ekvivalentů.

„Kybernetičtí zločinci mohou napadnout a následně zneužívat prvky podnikové informační architektury bez ohledu na to, zda jde o zařízení a služby provozované v tradičním on-premise režimu nebo v cloudových prostředích. Bezesporu platí, že prakticky vše, co mohou zločinci odhalit, bude s velkou pravděpodobností nakonec také zneužito,“ dodal McArdle.

Mezi hlavní způsoby průniků do podnikové informační architektury patří zneužití zranitelností v serverovém softwaru, použití hrubé síly pro získání přístupových údajů nebo ukradení přístupových údajů a instalace malwaru prostřednictvím phishingových útoků. Může jít dokonce i o aktivity zaměřené na software pro správu infrastruktury (klíče pro cloudová API), a to s cílem vytvářet nové instance virtuálních strojů nebo zpřístupnit cloudové zdroje.

Jakmile se počítačovým zločincům podaří cloudové prostředky kompromitovat, mohou je s cílem umožnit kybernetické útoky prodávat na fórech počítačového podsvětí, na specializovaných tržištích nebo dokonce i na sociálních sítích.

Bezpečnostní zpráva společnosti Trend Micro upozorňuje i na nové trendy v infrastrukturních službách pro kybernetické zločince. Mezi tyto novinky patří zneužívání telefonních služeb a satelitní infrastruktury a pronájem parazitující výpočetní kapacity zahrnující také skryté vzdálené přístupy k napadeným prvkům.

Celá druhá zpráva z třídílné bezpečnostní studie společnosti Trend Micro.

The post Jak funduje trh s nelegálními hostingovými službami appeared first on Bezpečné IT.

Nejoblíbenější metodou těchto hackerů je rozesílání škodlivých dokumentů s vloženým makrem. Jako hlavní malware používá vlastní .NET RAT – všeobecně známý jako Crimson RAT. Tento nástroj se skládá z několika částí, které útočníkovi umožňují provádět na infikovaných počítačích více činností. Od vzdáleného ovládání systémových složek a snímání obrazovky, přes nahrávání zvuků v okolí počítače prostřednictvím mikrofonu až po nahrávání streamu přes webkameru nebo krádeže souborů z vyměnitelných médií.

Zatímco taktika a techniky skupiny zůstávají v průběhu let konzistentní, odborníci z Kaspersky zjistili, že hackeři neustále vytváří nové programy specifické pro konkrétní kampaň. Během loňské analýzy činností této skupiny zaznamenali odborníci .NET soubor, který produkty Kaspersky detekovaly jako Crimson RAT. Detailnější analýza ale ukázala, že se jedná o něco jiného – o novou server-side Crimson RAT komponentu, kterou útočníci využívají k ovládání infikovaných zařízení. Vzhledem k tomu, že existuje ve dvou verzích, které byly sestaveny v letech 2017, 2018 a 2019 je jasné, že jde o software, který je stále ve vývoji a na jehož vylepšeních skupina pořád pracuje.

Díky aktualizovanému seznamu komponent, které Transparent Tribe používá, byli odborníci společnosti Kaspersky schopni sledovat vývoj skupiny i intenzitu jejích aktivit. Mají tak ucelený obraz o tom, jak spouštějí své masivní kampaně, jakým způsobem vyvíjejí nové nástroje nebo na jaké konkrétní cíle upírají pozornost.

Díky všem těmto indiciím, které odborníci z Kaspersky odhalili mezi červnem 2019 a červnem 2020, objevili celkem 1 093 cílů ve 27 zemích, které se staly obětí těchto hackerů. Mezi státy s nejvyšším počtem obětí patří Afghánistán, Pákistán, Indie, Írán a Německo. Do hledáčku kyberzločinců se dostala i Česká republika, kde však odborníci zaznamenali jen jednotky napadených systémů.

„Z naší analýzy vyplývá, že je Transparent Tribe stále velmi aktivní a cílí na řadu subjektů. Během posledních 12 měsíců jsme pozorovali rozsáhlou kampaň zacílenou proti vojenským a diplomatickým cílům. Skupina neustále investuje do svého hlavního nástroje Crimson RAT, jehož prostřednictvím provádí špionážní útoky na citlivé cíle. Je proto zřejmé, že ve svých aktivitách v nejbližší době nepoleví,“ varoval Giampaolo Dedola, bezpečnostní odborník ze společnosti Kaspersky.

Celý report o aktivitách této kyberzločinecké skupiny je dostupný na blogu Securelist.

The post Kyberšpionáž proti cílům v České republice appeared first on Bezpečné IT.

Zpráva mj. odhalila, že neutuchající boj s počítačovým zločinem má dopad i na kybernetické podsvětí. Zásahy policie, včetně útvarů spolupracujících na mezinárodní úrovni, vedly k vypnutí několika fór. Zbývající nelegální zdroje se potýkají s přetrvávajícími DDoS útoky či problémy s přihlášením – obojí vede k poklesu jejich využitelnosti.

Ztráta důvěry vedla ke vzniku nové sítě – DarkNet Trust. Tato síť má za cíl umožnit ověření dodavatelů a zvýšit anonymitu uživatelů. Další tržní platformy ve světě počítačového zločinu zavedly nové bezpečnostní mechanismy, jako jsou přímé platby kupujícího prodávajícímu, vícenásobné podpisy převodu kryptoměn, šifrované zasílání zpráv a zákaz používání JavaScriptu.

Nejnovější výzkumná zpráva společnosti Trend Micro upozorňuje i na změny v trendech souvisejících s produkty a službami pro počítačové zločince. V důsledku komodizace došlo k poklesu cen mnoha položek – například měsíční poplatky za šifrovací služby klesly z 1 000 USD na pouhých dvacet dolarů a denní poplatky za generické botnety z 200 na pět dolarů. Ceny ostatních položek včetně ransomwaru, spamovacích služeb, trójských koní typu RAT (Remote Access Trojan) a přístupových údajů k on-line službám se nemění, což dokazuje pokračující poptávku.

Laboratoř Trend Micro Research nicméně zaznamenala vysoký zájem o další služby – jako jsou botnety pro IoT zařízení – s novými nezjištěnými variantami malwaru prodávanými až za 5 000 dolarů. Oblíbené jsou také služby pro falešné zprávy a kybernetickou propagandu s databázemi voličů prodávanými za stovky dolarů i účty ve hrách jako Fortnite, které lze v průměru pořídit okolo tisícovky dolarů.

Za pozornost stojí také vznik nových trhů pro následující oblasti:

• Služby typu DeepFake pro sexuální vydírání nebo pro obelstění autentizace využívající fotografie.
• Hazardní boti využívající umělou inteligenci navržení pro předpovídání hodů kostkami a obejití komplexní captcha kontroly v on-line hře Roblox.
• Poskytování přístupu jako služby (Access-as-a-Service) knapadeným zařízením a infiltrovaným podnikovým sítím. V případě firem z žebříčku Fortune 500 mohou ceny dosáhnout i 10 000 dolarů, některé služby navíc zahrnují také přístupy s právy pro zápis.
• Účty pro nositelnou elektroniku, u kterých by získání přístupu mohlo počítačovým zločincům umožnit záruční podvody – vyžadování zaslání náhradních zařízení.

Nové příležitosti k útoku se budou objevovat i v měsících následujících po koronavirové pandemii a pravděpodobně tak bude docházet k dalším změnám v obchodních trendech v kybernetickém podsvětí. Společnost Trend Micro doporučuje využívat proti neustále se měnícímu spektru počítačových hrozeb a pro snížení bezpečnostních rizik v podnikovém prostředí vícevrstvou ochranu.

Další informace a celá nejnovější bezpečnostní zpráva společnosti Trend Micro je k dispozici ZDE.

The post Počítačoví zločinci si nedůvěřují? appeared first on Bezpečné IT.

Nejvíce poučné na celém případu je to, že “Collection 1” je sbírka e-mailových adres a hesel v databázích s 2 692 818 238 záznamy vytvořená z tisíců individuálních úniků dat. Řada z nich byla veřejně přístupná, některé dostupné pouze na černém trhu. Ve skutečnosti je to ale jenom část celkového trhu s kradenými přihlašovacími a dalšími údaji. Při zatčení Sanixe bylo objeveno sedm dalších podobných databází s celkovým objemem dosahujícím terabajt dat. Zdaleka ale nejde pouze o e-maily a hesla, obsahují i finanční a osobní data lidí z Evropské Unie i Severní Ameriky.

Jakkoli stále není jasné, zda je to opravdu Sanix, kdo je zodpovědný za “Collection 1” (může to být i další z hackerů s přezdívkou C0rpz či další osoba s přezdívkou Clorox), není to až tak podstatné pro tolik potřebné poučení. “Collection 1” jako kompilát tisíců úniků, navíc starých několik let, je totiž modelová situace toho, v jakém stavu se nachází ochrana přístupu k všemožným online službám, databázím a aplikacím. K dispozici jsou stovky milionů e-mailů a hesel, z nichž řada může být stále platná. Množství z kombinací bude navíc těmito lidmi znovu použita pro účty na jiných službách.  Miliony lidí tak přitom vůbec netuší, že jejich přihlašovací údaje jsou kompromitované a stále dokola používají stejná hesla. 

Nejde ale o záležitost pouze účtů na sociálních sítích či v mobilních aplikacích, tedy čistě osobních aktivit. Ti samí lidé používají totožné kombinace ve firemním prostředí. Zde je mohou sice používat v kombinaci s novým e-mailem, ale pro zkušené útočníky je případné odhalení vazby velmi snadné (e-maily se často podobají, nebo je to možné jistit sociálním inženýrstvím).  Velmi často také lidé ve firemním prostředí používají soukromé e-mailové adresy, či na firemních zařízeních přistupují na internetové služby pod soukromými adresami. Usnadňují tak případný útok s pomocí spear phishing a malware. 

Nyní je tak více než kdy jindy nutné dbát na dodatečnou ochranu všech účtů pomoci (alespoň) dvoufaktorového ověření, u těch zásadních záležitostí i pomocí biometrické ochrany. O potřebě důsledného zabezpečení všech zařízení, počítačových sítí a sledování podezřelého dění na firemních sítích ani nemluvě.

Důležitý poznatek je pak i to, že úniky dat se budou dít nadále v budoucnu, žádná nová ještě nekompromitovaná kombinace e-mailu a hesla tak není v bezpečí. Veřejné úniky a kompiláty jako “Collection 1” navíc vždy budou mít zásadní zpoždění od momentu samotného úniku. Útočníci vždy budou chtít získaná data nejprve využít pro přímý a vlastní prospěch a teprve poté je dají na prodej či poskytnou veřejně.

Zdroj: ANECT

The post Hacker pravděpodobně zodpovědný za masivní “Collection 1” zadržen na Ukrajině appeared first on Bezpečné IT.

Nejnovější zpráva nabízí komplexní pohled na typy útoků, které mají dopad na globální organizace, spolu s trendy v různých oborech i napříč geografickými oblastmi včetně Ameriky, asijsko-tichomořského regionu nebo Evropy, Středního východu a Afriky. Společnost NTT Ltd. shromáždila pro zprávu GTIR 2020 data z bilionu logů a o miliardách útoků – v pořadí již osmá výroční zpráva tak může opět nabídnout analýzu trendů založenou na reálných datech včetně informací od klientů skupiny NTT Group o bezpečnostních incidentech a zranitelnostech.

Více než polovina (55 %) všech útoků v roce 2019 byla zaměřená na weby a konkrétní aplikace, což je výrazný nárůst oproti 32 % v roce 2018. Na systémy pro správu obsahu mířilo 20 % útoků a více než 28 % na technologie podporující provoz webových aplikací. Organizace spoléhající se v souvislosti s nemocí COVID-19 na svoji přítomnost ve webovém prostoru, například formou zákaznických portálů, maloobchodních e-shopů nebo podpůrných webů, daleko více riskují, že se stanou cílem kybernetických útoků kvůli využívání systémů a aplikací, na které se nyní počítačoví zločinci hojně zaměřují.

Největší zájem útočníků má technologický sektor

Počty útoků rostly v uplynulém roce napříč všemi odvětvími, globálně nejvíce útoků ale směřovalo do technologického sektoru a na vládní instituce. Technologický segment se stal nejčastějším cílem útočníků vůbec poprvé – oproti loňským 17 % náleželo letos tomuto odvětví celých 25 %. Více než polovina útoků v rámci tohoto sektoru byla zaměřená na konkrétní aplikace nebo šlo o útoky typu DoS/DDoS. Současně došlo i k nárůstu aktivit útočníků týkajících se zařízení ze světa Internetu věcí (IoT). Druhým nejvíce postiženým sektorem (16 %) byly orgány veřejné správy – tyto útoky většinou souvisely s geopolitickými aktivitami. Třetí příčka patří s 15 % finančnímu segmentu a pomyslná bramborová medaile pak podnikatelským a profesionálním službám (12 %). Top 5 uzavírá s 9 % oblast vzdělávání.

Mark Thomas, zodpovědný za vedení NTT Ltd. Global Threat intelligence Center, řekl: „V předchozích letech jsme byli svědky toho, že většina útoků mířila na finanční sektor. Letos jsme ale zaznamenali změnu – prvenství patří s nárůstem 70 % v celkovém objemu útoků technologickému segmentu. K tomuto skoku přispěly i aktivity cílené na IoT zařízení. Přestože nelze žádný z botnetů označit za dominantní, výsledky ukázaly na významný objem aktivit ze strany malwarů Mirai a IoTroop. Počty útoků na státní správu a samosprávu byly takřka dvakrát vyšší. Došlo k obrovskému nárůstu jak v průzkumných aktivitách, tak i v případě útoků na konkrétní aplikace – útočníci se pokouší svézt na vlně rozšiřujícího se spektra poskytovaných místních i regionálních on-line služeb občanům.”

Hlavní zjištění zprávy GTIR pro rok 2020:

• 88 % všech útoků spadalo do kategorie těch nejběžnějších: útokům na konkrétní aplikace patřilo 33 %, útokům na weby 22 %, útokům zjišťujícím informace o informační architektuře oběti 14 %, útokům zaměřeným na odepření služby (DoS/DDoS) 14 % a útokům manipulujícím se sítěmi 5 %.
• Útočníci inovují své mechanismy: kybernetičtí zločinci stále častěji využívají umělou inteligenci i strojové učení a investují do automatizace. Přibližně 21 % malwaru představovalo podobu scanu zranitelností, což podporuje předpoklad, že klíčovým předmětem zájmu útočníků je automatizace.
• Rostoucí zájem o IoT zařízení: botnety jako Mirai, IoTroop nebo Echobot využívají automatizaci a jsou tak úspěšnější ve svém šíření. Mirai a IoTroop jsou mimo jiné známé svým šířením právě prostřednictvím IoT útoků s následným skenováním a dalším infikováním identifikovaných hostitelů.
• Útočníci zneužívají i starší zranitelnosti: pro útoky byly využívány i zranitelnosti známé několik let, ale napadené organizace je zatím neopravily. Patří sem například zranitelnost HeartBleed, která pomohla k tomu, aby OpenSSL byl s 19 % druhým nejčastěji cíleným softwarem. Během uplynulých dvou let bylo ve frameworcích a softwaru Apache identifikováno celkem 258 nových zranitelností – loni byl díky tomu tento webový server s 15 % třetím nejčastějším cílem útoků.
• Přibližně 20 % všech útoků směřovalo na systémy pro správu obsahu (Content Management Systems, CMS): počítačoví zločinci zneužívali oblíbené CMS platformy jako WordPress, Joomla!, Drupal, a noneCMS na průnik do organizace s cílem ukrást cenná data a umožnit další útoky. Navíc pro podporu webů je využíváno také více než 28 % technologií, o které se kybernetičtí zločinci zajímají – sem paří například ColdFusion nebo Apache Struts.

Situace v České republice

„V České republice sledujeme velký rozdíl v zabezpečení společností napříč odvětvími. Z povahy podnikání je na tom velmi dobře například finanční sektor. Na druhou stranu průmyslové podniky stále zaostávají, a to i přesto, že ve stále větší míře implementují technologie IIoT, které jsou pro hackery snadným cílem,“ uvedl Petr Zemánek, Security Business Development Manager v NTT Czech Republic. „V České republice v rámci osvěty proto pořádáme dvakrát ročně setkání bezpečnostních specialistů nazvané Security Club, která slouží ke sdílení know-how,“ dodal Zemánek.

The post Kybernetičtí zločinci inovují své mechanismy a stále více využívají automatizaci appeared first on Bezpečné IT.