Hrozby pro systém Android začaly v období od května do srpna 2021 opět stoupat, přičemž nejvýraznější nárůst zaznamenaly detekce bankovního malwaru, adwaru a spywaru. Všechny typy hrozeb se pravidelně objevují i v českém prostředí.

„Hrozby pro operační systém Android v tuto chvíli kontinuálně rostou. Ve sledovaném období od května do srpna 2021 byly v českém prostředí aktivní především bankovní malware Cerberus a obecně stalkerware,“ uvedl Robert Šuman, vedoucí pražského viruslabu české pobočky společnosti ESET. „V Česku figurovala především stalkerware aplikace Cerberus, která shodou okolností nese stejný název, jako zmíněný bankovní malware. Aplikace umožňuje pomocí SMS příkazů ovládat telefon oběti. Například je takto možné zapnout data, přesměrovat telefonát nebo číst zprávy. Právě kvůli těmto funkcím není možné stáhnout aplikaci oficiálně přes Google Play, i když vývojáři aplikaci nabízejí jako nástroj pro nalezení telefonu na dálku,“ vysvětlil Šuman.

Po období stagnace se zvýšil počet detekcí e-mailových hrozeb, přičemž hnací silou růstu byly phishingové a podvodné e-maily, za nimiž stála rodina DOC/Fraud. Ve druhém sledovaném období roku 2021 se tyto detekce týkaly především podvodných e-mailů typu sextortion, v nichž se podvodníci snaží příjemce vydírat a přimět je k zaplacení tvrzením, že mají k dispozici videa, jak sledují obsah pro dospělé. Téměř polovina případů v souvislosti s DOC/Fraud byla zjištěna v Japonsku, následovalo Španělsko a Česká republika.

Ransomware má na kontě dosud nejvyšší požadavek na výkupné

V případě ransomwaru byly zaznamenány dosud největší požadavky na výkupné. Útok, který zastavil provoz Colonial Pipeline, největší ropovodní společnosti v USA, a útok typu „dodavatelský řetězec” využívající zranitelnost v softwaru pro správu IT Kaseya VSA, měly dosah za hranice kybernetické bezpečnosti. Oba případy sledovaly spíše finanční zisk než kybernetickou špionáž. Pachatelé útoku na společnost Kaseya stanovili ultimátum ve výši 70 milionů USD. Šlo o dosud nejvyšší známý požadavek na výkupné.

„Útočící ransomwarové gangy šly tentokrát dál, než je obvyklé. Zapojení orgánů činných v trestním řízení do těchto vysoce závažných incidentů donutilo některé útočné skupiny utlumit svou činnost. Výjimkou je ale například malware TrickBot, který zjevně odolal loňským snahám o své odstranění. Zdvojnásobil počet našich detekcí a pochlubil se novými funkcemi. Definitivní zneškodnění botnetu Emotet na konci dubna 2021 mělo vliv na pokles detekcí downloaderů o polovinu oproti prvnímu čtvrtletí. Můžeme tak pozorovat celkově nové uspořádání prostředí kybernetických hrozeb,” dodal Šuman.

Ve sledovaném období od května do srpna 2021 zaznamenali bezpečnostní analytici také nárůst útoků na služby vzdáleného přístupu. Konkrétně šlo o RDS (Remote Desktop Services) a snahu útočníků prolomit přístupová hesla k těmto službám za pomoci hrubé výpočetní síly, tzv. brute force metody. Kompromitované služby pro vzdálený přístup slouží velice často jako vstupní brána pro další napadení infrastruktury pomocí ransomware. Od května do srpna 2021 ESET detekoval 55 miliard nových brute-force útoků proti protokolu RDP služby Remote Desktop Services. Nárůst těchto útoků byl ve srovnání s minulým obdobím vyšší o 104 %.

Telemetrie Esetu zaznamenala také impozantní nárůst průměrného počtu denních útoků brute force metodou na jednoho unikátního klienta, který se zdvojnásobil z 1 392 pokusů na jeden počítač za den v prvním sledovaném období roku 2021 na 2 756 ve druhém sledovaném období.

Mezi hrozbami se objevují specializované skupiny a cílený malware

Zpráva Threat Report T2 2021 se věnuje také aktivitám APT skupin. APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže.

Zpráva nabízí mimo jiné speciální výzkum, který zahrnuje informace o vysoce cíleném spywaru DevilsTongue. Ten je využíván ke špehování obránců lidských práv, disidentů, novinářů, aktivistů nebo politiků. Dále se zpráva věnuje nové spear phishingové kampani skupiny Dukes APT. Ta zůstává hlavní hrozbou pro západní diplomaty, nevládní organizace a think-tanky. Zpráva také popisuje nové nástroje, které používá vysoce aktivní skupina Gamaredon zaměřená na vládní organizace na Ukrajině.

Report dále shrnuje výzkum malwaru, který se zaměřuje na servery IIS. Tento malware odposlouchává a manipuluje s komunikací infikovaného serveru. Cílí na vládní e-mailové schránky nebo transakce kreditními kartami v internetových obchodech. Obsahuje také funkce pro další distribuci škodlivého kódu.

„IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody. Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé z nich. „Útočníci v tomto případě zneužili ve svůj prospěch modulární architekturu IIS, která je navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům. Z užitečné vlastnosti se tak stal nástroj pro jedince či skupiny, které se orientují na kyberkriminalitu a kybernetickou špionáž,“ podotkl Šuman.

Operační systém Android čelí bankovním hrozbám

Na rozdíl od roku 2020 a prvních čtyř měsíců roku 2021 začal celkový počet hrozeb pro systém Android ve druhém čtvrtletí opět stoupat, a to o 32,6 %. Bankovní malware, který v prvním čtvrtletí roku 2021 vzrostl o neuvěřitelných 158,7 %, zaznamenal další nárůst o 49 %.

Mezi deseti nejčastějšími hrozbami pro Android byl bankovní malware nejvíce zastoupený trojským koněm Android/TrojanDropper.Agent (18,4 %). Dalšími kategoriemi malwaru, které zaznamenaly ve druhém čtvrtletí nárůst, jsou spyware (71 %), zastoupený nejčastěji backdoorem Android/Triada, a adware (63 %), reprezentovaný trojským koněm Andreed a potenciálně nechtěnou aplikací AdDisplay.MobiDash.

„Čeští uživatelé se potýkají s bankovním malwarem dlouhodobě. Za druhé sledované období roku 2021 byl i v českém prostředí velmi aktivní malware Triada a Cerberus. Trojský kůň Triada napadá platby v jiných aplikacích. V okamžiku, kdy si uživatel chce koupit vylepšení nebo vyšší funkci aplikace, napadne Triada platební proces a přesměruje platbu na účet útočníků. Malware Cerberus potom obsahuje funkce pro odečítání přihlašovacích údajů z legitimních webových stránek bank či ke čtení SMS kódů a obcházení dvoufázového ověření. V obou případech je klíčové, aby se uživatel především vyvaroval aplikací z neoficiálních zdrojů a ideálně stahoval služby pouze z Google Play, kde jsou aplikace proaktivně prověřovány,” uzavřel Šuman.

Více informací

Celou zprávu ESET Threat Report T2 2021 (PDF, 11 MB) si můžete stáhnout na webu welivesecurity.com.

The post Jak se vyvíjejí kybernetické hrozby? appeared first on Bezpečné IT.

Film nabízí pohled státních zástupců a policistů z Německa, Nizozemska a Ukrajiny na průběh mezinárodní policejní akce, jež rozbila tento mimořádně velký kyberzločinecký byznys. Světově uznávaní odborníci z oblasti kybernetické bezpečnosti přidávají širší perspektivu a snaží se předpovědět, co by mohlo přijít po Emotetu. „Policie dokázala tyto kyberzločince zastavit, protože začala myslet jako oni,“ konstatuje jeden z odborníků, který v dokumentu shrnuje celou operaci.

Kybernetická mafie s promyšlenou organizací

Emotet stál v podstatě v čele komodifikace přístupu k síti a fungoval jako zprostředkovatel v pozadí kybernetické kriminality rozšířené po celém světě. V některých aspektech se podobal organizované mafii 20. století – nabízel prostředky k páchání zločinů a v pozdějších letech svého působení nikdy sám útoky neprováděl, což ztěžovalo jeho dopadení. Emotet otevřel dveře kyberzločineckým skupinám, které podnikaly závažné útoky na různé vysoce postavené cíle a organizace, které obvykle považujeme za nedotknutelné – například na nemocnice.

Emotet, jehož poprvé identifikovali v roce 2014, se neustále vyvíjel a stal se mimořádně nebezpečným. Jeho provozovatelé udržovali a prodávali svým klientům přístup a nástroje ke stovkám tisíc zařízení po celém světě, aby je mohli infikovat různým malwarem, například ransomwarem nebo bankovními trojany. Botnet se šířil prostřednictvím škodlivých příloh ve spamových zprávách. Po otevření takové přílohy infikoval zařízení malware, který umožnil jeho nákazu dalším škodlivým softwarem. Tento přístup není sice mezi kybernetickými útočníky nijak neobvyklý, Emotet v něm ale vynikal kvůli jeho masivnímu nasazení.

Úspěšná mezinárodní operace skupinu odhalila v lednu 2021

Díky rozsáhlé decentralizované infrastruktuře, rozprostřené v několika zemích, byl Emotet velmi úspěšný a bylo téměř nemožné ho zlikvidovat. Tedy až do ledna 2021, kdy Europol oznámil konec Emotetu a zatkl klíčové aktéry gangu. Aby se to podařilo, bylo nutné zorganizovat operaci pod vedením Europolu, která se odehrála za úzké spolupráce mnoha vládních orgánů z různých zemí Evropy i mimo ni.

Nový díl seriálu hacker: HUNTER sleduje pozadí akcí Emotetu a operaci, která vedla k jejímu zániku, nabízí pohled do zákulisí a sdílí zkušenosti lidí, kteří vedli vyšetřování.

Film režírovala Jessica Benhamou a produkovali ho Max Peltz a Stephen Robert Morse. Seriál hacker: HUNTER vytvořil Hugo Berkeley, který stojí i za prvními dvěma dokumenty této série – o skupině Carbanak a o útoku ransomwaru WannaCry. Kompletní seznam lidí, kteří se podíleli na vzniku seriálu, najdete na IMDB.

Premiéře bude předcházet živé vysílání s tvůrci dokumentu

„Vzhledem k růstu kybernetické kriminality a spolupráce kyberzločinců je zřejmé, že úřady musejí připravit odpovídající reakci a úzce spolupracovat v boji proti těmto hrozbám a lidem, kteří za nimi stojí. Lidé si často neuvědomují, kolik úsilí ve skutečnosti stojí za dopadením kybernetického gangu. Jsem ráda, že jsme mohli ukázat, kolik nadšených a obětavých lidí z různých zemí na tom spolupracovalo,“ uvedla Jessica Benhamou, režisérka filmu hacker: HUNTER Ha(ck)cine.

Chcete-li se dozvědět více o vzniku dokumentu, připojte se 18. srpna v 17 hodin středoevropského letního času k živému vysílání s Marcem Preussem, ředitelem globálního výzkumného a analytického týmu společnosti Kaspersky v Evropě, Jessicou Benhamou, režisérkou tohoto dílu hacker: HUNTER, a Rainerem Bockem, výkonným producentem seriálu.

Nový díl hacker: HUNTER Emotet vs. Světová policie se bude živě vysílat 18. srpna v 17.30 hodin středoevropského letního času. Podívejte se na trailer. Všechny díly hacker:HUNTER můžete sledovat na www.tomorrowunlocked.com/guardians/hacker_hunter/.

The post Jak padla největší hackerská skupina Emotet? Příběh o její likvidaci popisuje unikátní dokument appeared first on Bezpečné IT.

• se téměř v 90 % organizací vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce, pravděpodobně kliknutím na odkaz v e-mailu. Počet uživatelů přicházejících na phishingové stránky se mezi červnem a zářím zvýšil o 100 %, což souviselo s nárůstem aktivity malwaru Emotet.
• 51 % organizací narazilo na aktivitu související s ransomwarem.
• se 70 % organizací nacházel uživatel, kterému se zobrazovaly škodlivé reklamy v prohlížeči.
• 48 % organizací zaznamenalo aktivitu malwaru, jehož cílem byla krádež citlivých dat.

„Příkladem škodlivé aktivity specifické pro rok 2020 je phishing spojený s tématem Covid-19. Pozorovatelným jevem nedávné doby je adaptace na novou architekturu M1 pro OSX adware. Významný dopad mělo také narušení infrastruktury EMOTET, což vidíme na datech z počátku roku 2021. Technologie vyvíjená v Cisco Cognitive Intelligence R&D centru v Praze využívá informace z podrobnější síťové telemetrie. Máme tak ještě více informací, než jaké jsou vidět v DNS provozu. Ty nám pak pomáhají lépe rozlišovat hrozby od legitimního provozu. Můžeme detekovat například njRAT nebo Sality,“ okomentoval trendy poslední doby Tomáš Macek, research manager R&D centra společnosti Cisco.

Nedovolený kryptomining rostl s hodnotou kryptoměn

Nedovolený kryptomining byl nejfrekventovanější na začátku roku. Jeho znovu narůstající aktivita, kterou lze zaznamenat koncem roku, se překrývá se zvyšující hodnotou kryptoměn. Jak se hodnota kryptoměn zvyšovala, rostla i četnost této aktivity.

Phishing dominoval podzimním měsícům

DNS aktivita související s phishingem byla po celý rok poměrně stabilní, s výjimkou prosince, kdy kolem svátků došlo k nárůstu o 52 %. Pokud jde o počet koncových zařízení navštěvujících phishingové stránky, došlo během srpna a září k výraznému nárůstu.

Trojské koně se vyskytovali převážně na webových stránkách

Trojský kůň na tom byl s aktivitou na začátku roku podobně jako nedovolený kryptomining. Neuvěřitelně vysoký počet koncových zařízení připojujících se k webům, obsahující trojského koně, byl z velké části způsoben hrozbami Ursnif/Gozi a IcedID, o nichž je známo, že spolupracují a následně se podílejí na útocích typu ransomware. Tyto samotné dvě hrozby v lednu tvořily 82 % trojských koní zaznamenaných na koncových zařízeních. Nadprůměrná lednová čísla byla však pravděpodobně spojena s „vánoční kampaní“ útočníků a postupně aktivita trojských koní klesala a stabilizovala se. Od konce července až do září byla více zaznamenávána aktivita trojského koně Emotet. Samotná tato hrozba je zodpovědná za vysoký nárůst škodlivé DNS aktivity a celkově se s Emotetem setkalo 45 % organizací. 

Ransomware a velké rozdíly ve výkupném 

Po většinu roku dominovaly dvě hrozby typu ransomware. Počínaje dubnem se počet počítačů ohrožených ransomwarem Sodinokibi (REvil) významně zvýšil a jeho aktivita nadále rostla až do podzimu. Toto zvýšení bylo natolik zásadní, že se s touto hrozbou setkalo 46 % organizací. Druhá hrozba typu ransomware – Ryuk – byla do značné míry zodpovědná za nárůst aktivity v listopadu a prosinci. Přesto počet koncových zařízení připojujících se k doménám spojeným s Ryukem zůstal po celý rok relativně nízký a konzistentní. Sodinokibi má tendenci zasahovat velké množství koncových zařízení a vyžaduje menší výkupné, zatímco Ryuk kompromituje mnohem méně systémů a požaduje výrazně vyšší platby.

Co sektor, to jiná kybernetická hrozba

Firmy potřebují vědět, s jakými bezpečnostní problémy se s největší pravděpodobností setkají a jaký je jejich potenciální dopad. Například organizace z finančního sektoru mohou zaznamenat větší aktivitu týkající se krádeže citlivých dat. V technologickém sektoru lze převážnou většinu provozu DNS připsat dvěma druhům hrozeb: nedovolenému kryptominingu a phishingu. Kryptomining mohou často zaznamenat i společnosti působící ve výrobním sektoru. K této aktivitě se zde přidává také ransomware, což vypovídá o narůstajícím počtu zločinců, kteří na tyto organizace cílí s výhledem velkého výkupného. Organizace ve zdravotnickém průmyslu zase nejčastěji čelí trojským koním. Většinu těchto aktivit lze připsat Emotetu, což byl v roce 2020 nejčastější typ útoku na zdravotnická zařízení.

Řešením může být cloud

Zabezpečení dodávané v cloudu je rychlé a flexibilní, což umožňuje organizacím snadno se přizpůsobit neustále se měnícímu světu a technikám útoku a zároveň umožňuje bezproblémové připojení k aplikacím odkudkoli, což zaměstnanci nyní očekávají. Vynucením zabezpečení na úrovni DNS mohou organizace automaticky zastavit hrozby dříve, než se dostanou do sítě nebo koncových zařízení.

The post Reálná analýza společnosti Cisco odhaluje bezpečnostní rizika práce na dálku appeared first on Bezpečné IT.

Z dat je patrné, že útočníci stojící za nejčastějšími detekcemi, cílili během posledního měsíce na Českou republiku několik mimořádných jednodenních kampaní.

„Praktiky útočníků se vyvíjejí, postupně testují nové škodlivé kódy a styly kampaně a vyhodnocují si rentabilitu. V minulém roce se staly standardem i spamy v češtině. Od dubna sledujeme nástup dvou cílených kampaní měsíčně, které šířily různé typy malware. Je zřejmé, že Česko je pro útočníky lukrativní zemí, nějaký výrazný pokles jejich aktivit proto nemůžeme očekávat,“ vysvětlil Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.

Malware vydávají útočníci za fakturu

Nejčastěji analytici zachytili malware Spy.Agent.AES, který stál v květnu za 22 % útoků. V Česku přitom doposud nepřesáhl hranici 17% podílu na detekcích. Šíří se spamy, nejčastěji v přílohách s názvem „FAKTURA.exe“. Útočil ve dvou výraznějších kampaních 18. a 31. května.

Jakmile je Spy.Agent.AES aktivní, zjistí na zařízení instalované prohlížeče a hledá uložené přihlašovací údaje. Ty následně odesílá na vzdálený server útočníkům.

Kampaně si útočníci kupují online

Další stabilní hrozbou v Česku je malware Formbook, pohybuje se mezi 10% a 20% podílem. Jeho výskyt je menší než Spy.Agent.AES, funguje ovšem velice podobně. Formbook se také šíří spamy, v příloze pojmenované jako „FACTURA.exe“. Dvě větší kampaně proběhly v datech 3. a 18. května.

„Vidíme podobný typ infikované přílohy i načasování jako v minulém měsíci. Je možné, že existuje skupina, která v Česku útočí prostřednictvím Spy.Agent.AES i Fombooku. Takto diverzifikují své útoky a je pravděpodobnější, že uživatele oklamou,“ vysvětlil Jirkal. „Spyware se navíc zcela běžně nabízí na fórech na darknetu k pronájmu. Méně zkušený útočník si tak snadno pronajme škodlivý kód, jeho distribuci i úložiště a pak jen vydělává na odcizených datech.“

Útočníci zneužívají dobré jméno českých institucí

Na třetí pozici skončil trojský kůň Fareit, ten přitom v dubnu stál za celou čtvrtinou útoků v Česku.

„Velký propad může být způsobený řadou faktorů. Například jej útočníci momentálně upravují, protože začal vydělávat méně, nebo jeho operátoři dočasně zaměřili jiným směrem a podobně. Fareit ale představoval výraznou hrozbu i v loňském roce, nelze tedy očekávat, že ze scény zcela zmizí,“ dodal Jirkal.

Fareit se šíří infikovanými přílohami s názvy, které zneužívají jméno renomované české banky. Jedná se o dokument.exe, který útočníci vydávají za sken dokumentů. Stejně jako předchozí hrozby operuje ve vlnách, kampaně analytici zachytili 6. a 11. května.

Experti varují před spustitelnými soubory

Ve všech jmenovaných případech se malware šířil spustitelnými soubory .exe, které však útočníci vydávali za obyčejné dokumenty.

„V minulém roce bylo běžnější, že útočníci zneužívali soubory s dvojitou koncovkou, například .pdf.exe. V e-mailové schránce pak příloha vypadala jako dokument. Operační systém Windows totiž ve výchozím nastavení koncovky souborů skrývá, což může být pro uživatele matoucí,“ popsal Jirkal.

Podle něj je velice důležité, aby uživatelé k přílohám od neznámých odesílatelů přistupovali obezřetně a raději neotevírali nedůvěryhodné zprávy, či dokonce nestahovali a nespouštěli přílohy v nich obsažené.

Hesla si ukládejte do specializovaných aplikací

Password stealery, které se vyskytují v Česku, jsou naprogramované tak, aby kradly přihlašovací údaje uložené v prohlížecích pro automatické vyplňování. Uložená hesla jsou pro útočníky snadný terč. Odborníci proto doporučují hesla ukládat jen v k tomu určených programech, tzv. správcích hesel, nikdy přímo v prohlížečích.

„Útočníci rovněž často používají programy pro hádání hesel. Dobrým preventivním krokem proti tomuto útoku je vytvoření silného hesla.  To v praxi znamená buď hesla složeného z mixu běžných znaků, speciálních znaků a číslic nebo takzvané heslové fráze. Výhodu fráze je, že si ji uživatel je schopen zapamatovat i bez speciálního software na ukládání hesel,“ poradil Jirkal.

Jako další bezpečností prvek je vhodné, pokud to aplikace či služba nabízí, povolit ověření uživatele dalším faktorem. Tím může být potvrzení přístupu ve speciální aplikaci, jednorázový SMS kód či ověření biometrických prvků osoby. Součástí prevence je samozřejmě i dodržování obecných bezpečnostních pravidel, jako jsou pravidelné aktualizace a instalace bezpečnostního programu.

Nejčastější kybernetické hrozby v České republice za květen 2021:

1. MSIL/Spy.Agent.AES trojan (21,66 %)
2. Win32/Formbook trojan (16,02 %)
3. Win32/PSW.Fareit trojan (5,75 %)
4. PHP/Webshell trojan (2,94 %)
5. MSIL/NanoCore trojan (2,19 %)
6. Win32/PSW.Agent.OJQ trojan (1,33 %)
7. Win32/PSW.Delf.OSF trojan (1,18 %)
8. Win32/Rescoms trojan (1,08 %)
9. MSIL/Autorun.Spy.Agent.DF worm (1,07 %)
10. WinGo/RanumBot trojan (0,9 %)

The post Hesla jsou terčem poloviny kybernetických útoků u nás appeared first on Bezpečné IT.

Útoky jsou vedeny na uložená hesla

Za celou čtvrtinou incidentů stál trojský kůň Fareit. Jde o typického zástupce password stealerů. Analytici ESETu zachytili 6. dubna kampaň cílenou speciálně na Českou republiku.

„Pokud odhlédnu od této výraznější kampaně, tak poslední dva týdny v Česku vidíme nižší čísla. Celosvětově ale tlak tohoto malwaru nepolevuje. Je tedy příliš brzo říct, zda útočníci jen krátkodobě omezili aktivity, nebo budeme sledovat utlumení této hrozby v Česku,“ popsal Martin Jirkal, vedoucí analytického týmu v české pobočce ESETu.

Fareit se, jak je typické pro tento typ malwaru, zaměřuje na hesla uložená v prohlížečích pro automatické vyplňování. Přihlašovací údaje pak útočníci využívají pro odcizení přístupu k účtům, šíření dalšího malware nebo prodeji.

Útočníci stojící za touto hrozbou nesázejí na jednu kampaň, ale využívají několik e-mailů v různých jazykových verzích, kterými škodlivý kód šíří. Podobně jako v předchozím měsíci je možné jej stáhnout z příloh, jejichž názvy kombinují jména existujících společností a generického dokumentu například „FIRMA a.s.-Swift-01-04-2021scan.exe“.

Malware cílí na české uživatele

Dalším trojským koněm, který ohrožoval české uživatele, byl Spy.Agent.AES (známý také jako Agent-Tesla). Analytici zachytili celkem dva útoky směřované na Česko, a to 6. a 14. dubna.  Podle dat se malware objevoval především v příloze „FAKTURA.exe“.

„Spy.Agent.AES je ve světe velice rozšířený. Nejvýraznější je v Turecku, Chorvatsku, Japonsku, Španělsku a Portugalsku. Na tomto výčtu je zřejmé o jak závažnou hrozbu jde,“ vysvětlil Jirkal. „Jakmile je Spy.Agent.AES aktivní, skenuje prohlížeče a útočníkům odesílá přihlašovací údaje k online službám.“

Útoky jsou k pronájmu

Třetím výrazným zástupcem password stealerů u nás je Formbook. I v tomto případě zachytili experti kampaně mířené proti Česku, probíhaly 6. a 12. dubna. Uživatelé si jej mohli nedopatřením stáhnout z příloh s názvy „Image001.exe“ a „TT COPY.exe“ nebo v přílohách, které útočníci vydávali za bankovní operace – tedy různé výpisy, faktury a podobně.

„Je velice zajímavé, že všechny tři nejčastější hrozby zaútočily na Česko v jediný den. Bohužel se u takto krátké jednodenní operace nedá přesně určit proč. U password stealerů je běžné, že si útok můžete zakoupit na darkwebu jako službu, včetně distribuce. Je teda možné, že si všechny tři kódy koupil jeden útočník a zkoušel, který bude nejefektivnější. Případně, že se jedna skupina útočníků pokouší útoky diverzifikovat a vytěžit tak ze zranitelných uživatelů maximum. Nevylučuji ani to, že šlo jen o shodu okolností,“ dodal Jirkal.

Ochrana hesel je nutnost

Podle odborníků si malware zpravidla stáhne uživatel do počítače z infikované přílohy.

„Všimněme si, že nejčastěji se minulý měsíc hrozby vyskytovaly v souborech s koncovkou .exe. Operační systém Windows někdy tuto koncovku skrývá a spustitelný program .exe, tak může vypadat například jako neškodný dokument. Apeloval bych proto na uživatele, aby ke všem zprávám ve svém e-mailu přistupovali obezřetně a přílohu nejprve ověřili, než ji otevřou,“ poradil Jirkal.

Experti také varují před ukládáním hesel v počítači či v prohlížeči. Takto uložené přihlašovací údaje jsou pro útočníky snadný terč.

„Je mnohem vhodnější používat speciální program, takzvaný správce hesel. Doporučil bych také využívání dvoufaktorového ověření pomocí aplikace či kódu v SMS, kdykoliv je to možné.  Tento krok vás ochrání před odcizením celého účtu v případě, že útočník nějaké vaše heslo získá,“ poznamenal Jirkal.

Pomoci mohou i spolehlivá hesla, která není snadné prolomit. Existují dva postupy: prvním je řetězec znaků kombinující malá a velká písmena, číslice i speciální znaky; druhým je heslová fráze. Heslová fráze by měla být delší, ale naopak nemusí obsahovat speciální znaky, navíc je možné ji vytvořit tak, aby se uživateli dobře pamatovala.

Součástí prevence by mělo být také dodržování obecných bezpečnostních pravidel, jako jsou pravidelné aktualizace a instalace anti-malware programu, který dokáže škodlivý kód spolehlivě odhalit.

Nejčastější kybernetické hrozby v České republice za duben 2021:

1. Win32/PSW.Fareit trojan (24,88 %)
2. MSIL/Spy.Agent.AES trojan (16,98 %)
3. Win32/Formbook trojan (12,63 %)
4. MSIL/Bladabindi trojan (3,42 %)
5. PHP/Webshell trojan (2,50 %)
6. MSIL/CoinMiner.BIP trojan (2,22 %)
7. BAT/CoinMiner.ARV trojan (0,81 %)
8. MSIL/Autorun.Spy.Agent.DF worm (0,78 %)
9. Win32/AutoRun.Delf.LV worm (0,76 %)
10. Java/Adwind trojan(0,73 %)

The post ESET varuje před spywarem, v dubnu šlo o největší hrozbu appeared first on Bezpečné IT.

Cílená kampaň na české uživatele

Nejčastěji detekovaným malware byl Fareit, stál za více než pětinou všech detekcí. Analytici zachytili na konci měsíce března několik intenzivních kampaní zaměřených primárně na Českou republiku.

„V březnu se Fareit šířil infikovanými e-maily, které se vydávaly za zprávy z renomovaných českých organizací, včetně například bankovních domů či strojírenských společností. Infikované e-maily ale nebyly příliš popracované a pozorný uživatel podvod rychle odhalil,“ popsal Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.

Útočníci v těchto případech vydávají přílohy za potvrzení platby. Infikované e-maily jsou psány velmi lámanou češtinou, obsahují například fráze: „Náš klient nás požádal o zaslání kopie přiložené platby převodem na váš e-mail.” nebo “Potvrďte přijetí a podle toho radte.” Uživatel si malware Fareit mohl stáhnout z příloh s názvy  „Ceskasporitelna, a.s.Swift_260321_scan.exe“ a „HESTEGO a.s._Swift-01-04-2021scan.exe“.

„Právě příloha s koncovkou .exe, která značí spustitelný program, by měla být varovným signálem. V tomto případě jde o program, který když spustíte, nainstaluje škodlivý kód. Běžné dokumenty by měly být například ve formátu .doc nebo .pdf. Důrazně bych varoval uživatele, aby podobné soubory s koncovkou .exe nestahovali nejen z e-mailů, ale obecně z jakýchkoli nedůvěryhodných zdrojů,“ doporučil Jirkal. Operační systém Windows ve výchozím stavu koncovky nezobrazuje, čehož útočníci zneužívají zdvojením koncovky, například “faktura.doc.exe”. Windows uživateli zobrazí pouze koncovku .doc, takže uživatel může získat pocit falešného bezpečí.

S hesly útočníci obchodují

Druhou nejběžnější hrozbou byl trojský kůň Spy.Agent.AES. Taktéž se nejčastěji šíří e-maily, především v anglickém jazyce, analytici ale v některých případech zachytili i českou variantu infikované přílohy s názvem „kopie platby09886673.exe“.

„Cílem Spy.Agent.AES  jsou hesla uložená v prohlížečích. Jakmile je aktivní dokáže uložené přihlašovací údaje sbírat a posílat je útočníkům na vzdálený server. S odcizenými hesly se zpravidla obchoduje na fórech útočníků. Ceny se pohybují podle citlivosti dat, které heslo chrání, v řádech stovek až tisíců korun za jediný údaj,“ dodal Jirkal.

Útok si lze i koupit

Podobný kybernetický útok si lze poměrně běžně pronajmout jako službu na tzv. darknetu. Typickým příkladem je Formbook, který se umístil na třetí příčce statistiky s 10% podílem na detekcích. Jde také o password stealer, podobně jako předchozí škodlivý kód se pokouší odcizit uživatelská hesla.

„Kybernetický zločin se točí kolem zisku. Nadanější programátoři tak často nabízí svůj škodlivý kód jiným podvodníkům. Takto je možné si opatřit nejen samotný malware, ale i úložiště, a někdy dokonce i distribuci. Kupující tak získá databázi přihlašovacích údajů, které může dále zneužít nebo sám prodat,“ vysvětlil celý proces Jirkal.

Hesla ochrání správce hesel

Experti doporučují zaměřit se na ochranu přihlašovacích údajů. Důležité podle nich je nejen vytvoření silného a unikátního hesla do každé služby, ale i potřeba věnovat pozornost volbě vhodného nástroje pro jejich správu a uchování. Silné heslo je takové, které není možné prolomit hrubou silou v dostatečně krátkém čase a s takovými náklady, aby se takovýto útok útočníkům ještě vyplácel.  Existují dvě možnosti, jak takové heslo vytvořit. První z nich je řetězec znaků kombinující malá a velká písmena, číslice i speciální znaky; druhou jsou heslové fráze, které se uživateli dobře pamatují, a které nemusí obsahovat například speciální znaky, o to ale musí být delší, aby tak byla zajištěna dostatečná odolnost hesla. Tyto fráze si lze například vytvářet jako jakýsi stručný příběh, který dává smysl jejich tvůrci.

„Jelikož si silná hesla není snadné pamatovat, doporučil bych proto spravovat hesla ve speciálním programu, který ukládá přihlašovací údaje v šifrované, a tudíž nečitelné podobě. Takový program se nazývá správce hesel, nebo anglicky password manager. Dalším krokem, který zvyšuje bezpečnost je i využívání více faktorového ověření kdykoliv je to možné. Dobře jej známe třeba z banky, kdy přihlášení potvrzujeme pomocí kódu či v určené aplikaci,“ řekl Jirkal.

Dodává, že součástí prevence by měly být pravidelné aktualizace operačního systému i všech programů, včetně internetového prohlížeče. Důležité je také využívat bezpečnostní program, který podobný škodlivý kód dokáže spolehlivě odhalit.

Nejčastější kybernetické hrozby v České republice za březen 2021:

1. Win32/PSW.Fareit trojan (22,73 %)
2. MSIL/Spy.Agent.AES trojan (16,59 %)
3. Win32/Formbook trojan (10,93 %)
4. MSIL/Bladabindi trojan (3,57 %)
5. Win32/Rescoms trojan (2,09 %)
6. BAT/CoinMiner.ARV trojan (1,21 %)
7. Win32/AutoRun.Delf.LV worm (1,05 %)
8. Java/Adwind trojan (0,85 %)
9. MSIL/Autorun.Spy.Agent.DF worm (0,71 %)
10. Win32/Agent.TJS trojan (0,64 %)

The post Cílem útočníků jsou nadále v polovině případů uživatelská hesla appeared first on Bezpečné IT.

V roce 2020 se objevovalo v průměru 1 847 nových vzorků malwarů denně.

Malware pro Windows se pohybuje o řád výš

Ačkoli množství malwaru pro macOS roste nebývalým tempem, hlavním cílem útočníků stále zůstávají Windows. Podle dostupných dat padl i v tomto případě vloni (neslavný) rekord – zaznamenáno bylo 91,05 milionu nových vzorků malwaru. Meziroční nárůst však v tomto případě nebyl natolik dramatický – činil necelé dva miliony vzorků (2,22 %). Denní průměr tak vychází na 249 452.

The post Množství macOS malwaru vloni vzrostlo o více než 1 000 % appeared first on Bezpečné IT.

„Celý rok 2020 byl z hlediska kyberbezpečnostních hrozeb velmi náročný. Ačkoli ústřední roli hrála pandemie, počítačoví zločinci postupně během roku zdokonalovali své útoky se stále ničivějšími dopady. Maximálně využili příležitosti nad rámec základních sítí a zaměřili se také na práci a výuku na dálku a na digitální dodavatelský řetězec. Bezpečnostní rizika nikdy nebyla větší, což je způsobeno rozsáhlostí digitálního prostředí a provázaností všeho se vším. Přístup založený na integrované platformě s využitím AI a zpravodajství o hrozbách je nutností k účinné obraně všech okrajů sítě a k okamžitému odhalování a neutralizaci hrozeb, jimž jsou dnes všechny subjekty vystavené,“ říká Derek Manky, ředitel FortiGuard Labs pro bezpečnostní zpravodajství a globální aliance v oblasti bezpečnostních informací.

Hlavní zjištění studie za 2. pololetí 2020:

„Obliba“ ransomwaru nepolevuje: Data laboratoří FortiGuard ukazují sedminásobný nárůst celkové aktivity v oblasti vyděračského softwaru oproti 1. pololetí roku 2020. Za masivním růstem stojí několik trendů: rozvoj ransomwaru ve formě služby (RaaS), zaměření na vysoké výkupné od velkých firem a hrozba zveřejnění dat, nebudou-li požadavky splněny. Mezi nejaktivnější druhy ransomwaru s různou mírou rozšíření patřily Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING a BazarLoader. Výrazně postižené vyděračským softwarem byly sektory zdravotnictví, profesionálních služeb, spotřebitelských služeb, veřejné správy a finančních služeb. Jako účinnou zbraň proti stoupajícímu riziku napadení ransomwarem je nutné zajistit včasné, úplné a bezpečné zálohování dat mimo podnik. K minimalizaci rizika přispívá i přístup na principu nulové důvěry a segmentace sítí.

Dodavatelský řetězec v centru pozornosti: Útoky proti dodavatelskému řetězci mají dlouhou historii, ale útok proti společnosti SolarWinds odstartoval debatu na nové úrovni. Postižené subjekty v průběhu útoku předávaly značné množství informací. Experti FortiGuard Labs je detailně sledovali a na jejich základě sestavili indikátory narušení pro detekci souvisejících aktivit. Detekovaná komunikace s internetovou infrastrukturou v souvislosti s útokem SUNBURST v průběhu prosince 2020 dokládá, že kampaň byla skutečně globální povahy, kdy aliance zpravodajských služeb zvaná Pět očí vykazovala obzvlášť vysokou míru provozu odpovídajícímu těmto indikátorům. Existují i důkazy o možných vedlejších cílech, což podtrhuje propojenost moderních útoků proti dodavatelskému řetězci a důležitost řízení rizik dodavatelského řetězce.

Útočníci se zaměřují na online aktivity: Analýza nejběžnějších kategorií škodlivého softwaru odhaluje nejčastější techniky, které kyberzločinci užívají k vybudování opěrných bodů uvnitř sítě. Hlavním cílem útoků byly platformy společnosti Microsoft, kdy útočníci zneužívali typy dokumentů, se kterými většina lidí běžně pracuje. Další linií zůstávají internetové prohlížeče. Do kategorie HTML spadají malwarem naplněné podvodné stránky a skripty, které vkládají škodlivý kód nebo přesměrovávají uživatele na škodlivé stránky. Tyto typy hrozeb sílí v době celosvětových problémů a v obdobích intenzivnějších online nákupů. Zaměstnanci, kteří bývají při procházení internetu z firemní sítě obvykle chráněni webovými filtry, jsou při práci na dálku vystaveni vyššímu riziku.

Domácí pracoviště zůstává cílem útoků: Hranice mezi domovem a kanceláří se v roce 2020 výrazně setřela. To znamená, že cílením na domácí prostředí se útočníci dostávají blíže k podnikovým sítím. Ve druhé polovině roku 2020 se na vrcholu ocitly exploity zaměřené na zařízení internetu věcí (IoT), jaká jsou užívána v mnoha domácnostech. Zařízení IoT představují nový „okraj sítě“, který je nutné chránit, přičemž bezpečnostní monitoring a pravidla musí být uplatňována na každém takovém zařízení.

Na globální scénu přichází noví hráči: Autoři pokročilých perzistentních hrozeb (APT) nadále různými způsoby zneužívají pandemii COVID-19. Nejčastější jsou útoky zaměřené na krádeže osobních údajů ve velkém, krádeže duševního vlastnictví a získávání informací podle národních zájmů útočníků. Ke konci roku 2020 vzrostla aktivita APT zacílená na boj proti pandemii COVID-19, včetně vývoje vakcín a zpracování národních i mezinárodních zdravotních politik. Mezi cíle útoků patřily státní instituce, farmaceutické společnosti, univerzity a firmy zabývající se lékařským výzkumem.

Zplošťování křivky zneužití zranitelností: Aktualizace a ošetření zranitelností jsou nadále prioritou vzhledem k neustávajícím snahám útočníků zranitelnosti zneužívat ke svému prospěchu. Ze sledování postupu 1 500 exploitů v posledních dvou letech je patrné, jak rychle a jak daleko se mohou šířit. I když to neplatí obecně, zdá se, že se většina exploitů nešíří daleko příliš rychle. Z exploitů sledovaných v posledních dvou letech bylo pouhých 5 % detekováno více než 10 % subjektů. Zvolíme-li náhodnou zranitelnost, data ukazují, že za jinak shodných podmínek existuje pravděpodobnost zhruba 1:1 000, že bude určitý subjekt napaden. Přibližně 6 % exploitů během prvního měsíce napadne více než 1 % firem a 91 % ani po roce hranici 1 % nepřekročí. Přesto je vhodné ošetřit zranitelnosti, pro něž existují známé exploity, a zaměřit se při tom na ty, které se šíří nejrychleji.

The post Rozsah a důmyslnost počítačových útoků strmě roste. Bez výjimky appeared first on Bezpečné IT.

V závěru roku o pětinu ubylo e-mailových rizik. Nejvýraznější koncentrace škodlivých e-mailů zachytili analytici ESETu v polovině listopadu a v prosinci, kdy útočníci zneužívali boom předvánočních akcí nebo Black Friday, který je zejména v anglofonních zemích velmi populární. Malware se šířil infikovanými přílohami, ty útočníci vydávali za faktury, logistické dokumenty, potvrzení objednávek, notifikace z bank nebo za zprávy související s pandemií koronaviru.

„V minulém čtvrtletí jsme zachytili první spamy, které jako vějičku používaly vakcínu. Zachytili jsme například e-maily s předmětem: Vakcína Pfizer: 11 věcí, které musíte vědět. Tyto zprávy šířily malware. V Česku zatím takové zprávy nejsou, ale lze očekávat nárůst podobných podvodů, alespoň do doby, než se lidé přestanou o toto téma zajímat,“ popsal Robert Šuman, vedoucí výzkumného pražského centra společnosti ESET.

Pokračoval klesající trend v objemu webových hrozeb. Celkově jich analytici detekovali o 23 % méně. Mírné navýšení nastalo na konci listopadu, kdy útočníci zneužili období předvánočních nákupů. V tomto období detekční nástroje ESETu blokovaly 8,5 milionu webových hrozeb denně, mezi tyto hrozby patřily zejména online podvody, stránky obsahující malware a phishing.

Útočníci stále častěji zneužívají homoglyfové útoky, u nichž analytici zachytili nárůst. Jde o techniku, kdy útočník zamění stejně vypadající nebo velmi podobné znaky, aby adresa webu vizuálně připomínala nějakou legitimní značku či stránku. Využívají k tomu jiné znakové sady – například cyrilici. Lidské oko rozdíl prakticky nepozná, ale počítač ano.

V Česku krade spyware hesla, v zahraničí vyhledává antivir

Pokles o pětinu zaznamenali analytici i v případě spywaru, který dokáže odcizit nějaký typ uživatelských dat. V Česku nicméně jde o dlouhodobě dominantní hrozbu.

„Ve světě detekujeme trochu jiné typy malwaru než u nás. V Česku jsou cílem spywaru především přihlašovací údaje uživatelů, například celosvětově nejvýraznější hrozba HoundRat sbírá spíše technické informace o daném zařízení, například typ verze operačního systému, typ prohlížeče, přítomnost antiviru a podobně. Tyto informace se útočníkům hodí především pro vytipování možných zranitelností a provádění dalších nelegálních aktivit,“ řekl Šuman

Nadále roste počet útoků na služby vzdáleného připojení

Experti stále pozorují rostoucí trend v útocích na služby pro práci na dálku, jako služby RDS (služby vzdálené plochy), VPN (virtuální privátní síť) brány, webové či poštovní servery – v praxi jde o nástroje, které umožňují pracovat na dálku. Počet unikátních zařízení, která hlásila pokusy o prolomení služby RDS, vzrostl v minulém čtvrtletí o 17 %. Zranitelné mohou být i VPN brány. V loňském roce například útočníci využívali zranitelnost z roku 2019 v programu Pulse Secure Connect, což je renomovaná služba pro bezpečné VPN připojení. Na zmíněnou zranitelnost existuje od dubna 2019 bezpečnostní oprava. Pokles ukazují data jen v době okolo Vánoc, tedy v době pracovního volna.

„Celkově jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik zajímavé.  Svědčí o tom i nárůst detekcí ransomwaru a penetračních průniků. Je možné, že jen našli dost zranitelných míst. Apeloval bych proto na všechny instituce, aby zabezpečení bodů vystavených do internetu nepodceňovali,“ vysvětlil Šuman. „Podle dostupných dat útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na pravidelné aktualizace.“

Pokud se útočníkům podaří do sítě proniknout, zpravidla se pokusí ukrást maximum dat, které by bylo možné prodat či jinak zpeněžit, a následně ještě veškerá data zašifrovat a požadovat výkupné.

Tvůrci ransomwaru používají nové taktiky vydírání

Objem ransomwarových útoků klesal postupně v průběhu celého roku, ve čtvrtém čtvrtletí klesl o 4 %. Naprostá většina z detekovaných kódů se šířila masově distribuovanými e-maily, objem masově šířených útoků však v průběhu roku klesl o 35 %. Podle expertů mezi útočníky stoupá popularita cílených útoků. Nejčastějším ransomwarem po celém světě zůstal WannaCryptor (známý také jako WannaCry).

„Nejvíce ransomwarových útoků jsme zachytili v Rusku, Turecku, Jižní Africe a jihovýchodní Asii. Nejčastěji šlo o ransomware WannaCry, který zneužívá několik let starou zranitelnost, na kterou existuje bezpečnostní aktualizace. Pečlivé aktualizace jsou nezbytnou prevencí těchto útoků,“ popsal Šuman.

V listopadu ukončila činnost skupina Maze, šlo o nejvýraznějšího hráče na poli ransomwaru.  Zástupci skupiny nijak nevysvětlili, proč se rozhodli odejít. Také v prohlášení vyvrátili, že by kdy existoval kartel Maze, což je ovšem v rozporu s používanými metodami skupiny. Mimo jiné skupina také v prohlášení zdůraznila význam ochrany dat a zabezpečení sítí.

Minulé čtvrtletí přineslo také novou metodu, jak na útok mohou útočníci upozornit: tou je tzv. print bombing, kdy všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné, a to včetně pokladních tiskáren na účtenky. Další metodou nátlaku je telefonování zaměstnancům firmy, pokud mají útočníci dojem, že firma data obnovila ze záloh bez zaplacení výkupného.

Na konci roku rostl výskyt malwaru pro těžbu kryptoměn

V listopadu začala opět růst hodnota bitcoinu, v reakci na to mírně přibylo detekcí podvodů a útoků, které s kryptoměnami souvisí. Například objem malwaru, který nelegálně těží kryptoměny na zařízení uživatele se zvýšil o 4 %.

„Ačkoli se může zdát, že malware těžící kryptoměny nepředstavuje vážnou hrozbu, není dobré jej podceňovat. Krom vytížení výpočetního výkonu počítače v sobě může skrývat další nebezpečnější škodlivý kód. V České republice se místo něj setkáváme spíše s falešnými investičními stránkami, případně s vyděračskými e-maily, které vyžadují platbu v bitcoinech,“ uzavřel Šuman.

Celou zprávu o vývoji malware si můžete stáhnout zde.

The post Vývoj v oblasti kybernetických hrozeb: Nové postupy, jak vydírat napadané firmy appeared first on Bezpečné IT.

Infrastruktura malwaru Emotet se skládala ze stovek serverů po celém světě a nyní je její provoz sledován policejními složkami a data o nakažených zařízeních budou sdílena s dalšími státy, včetně České republiky. NÚKIB tato data bude analyzovat a v případě pozitivního nálezu bude kontaktovat organizace s kompromitovanými zařízeními.

Na operaci se za koordinace Europolu a Eurojustu podílely policejní složky Nizozemska, Německa, Spojených států, Spojeného království, Francie, Litvy, Kanady a Ukrajiny.

NÚKIB však zároveň upozorňuje, že ačkoli jde o žádoucí vývoj v této kauze správným směrem, stále není opatrnosti nazbyt, protože hrozba zatím není zcela zažehnána, a navíc nadále existují i jiné druhy malwaru.

Doplňujeme také komentář Petera Kovalčíka, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point:

Emotet byl původně bankovní trojan, ale postupem času se vyvinul v ničivý botnet. Dlouhodobě šlo o nejúspěšnější a nejrozšířenější malware roku 2020. Data ze sítě Check Point ThreatCloud ukazují, že Emotet v průběhu loňského roku ovlivnil 19 % organizací po celém světě. V České republice byl jeho dopad ještě vyšší, například v prosinci měl dopad na více než 21 % českých společností.

Emotet byl známý především kvůli dynamické povaze a unikátním technickým vlastnostem, ale také kvůli velmi sofistikovanému obchodnímu modelu. Velmi efektivně totiž spolupracoval s dalšími kyberzločineckými skupinami, které stojí například za hrozbami Trickbot nebo Ryuk.

Šlo o velmi nebezpečnou kombinaci hrozeb a i v České republice jsme sledovali nepříjemně hodně podobných útoků. Emotet byl vzhledem ke své masivní celosvětové infrastruktuře zodpovědný za prvotní proniknutí do organizací. Následně byly infikované oběti prodané Trickbotu, který pronikl hlouběji do infikovaných sítí a rozdělil oběti v závislosti na odvětví. Nakonec došlo k prodeji ransomwarovým kyberzločincům, kteří stojí například za ransomwarem Ryuk. Takto vypadala infrastruktura, která stála za výrazným nárůstem úspěšných ransomwarových útoků v posledních letech.

Botnet Emotet se snažil nalákat oběti prostřednictvím phishingových e-mailů a jen v roce 2020 odeslal e-maily s více než 150 000 různými předměty a více než 100 000 různými názvy souborů. Phishingové e-maily neustále přizpůsoboval aktuálním událostem a trendům, například koronavirové pandemii, Vánocům nebo Black Friday.

Svého vrcholu dosáhl v období od srpna do října, kdy bylo v těchto phishingových kampaních detekováno každý měsíc v průměru 25 000 různých názvů souborů. V listopadu počet klesl na méně než 500, v prosinci a lednu bylo aktivních přibližně 5 000 názvů souborů za měsíc.

Je potřeba si uvědomit, že Emotet ovlivnil každou pátou organizaci na světě. Aktuální oznámení ukazuje důležitost globálních kybernetických skupin a spolupráce při ochraně veřejnosti před kybernetickými hrozbami.

The post Nejnebezpečnější malware na světě Emotet utrpěl těžký úder appeared first on Bezpečné IT.