Antivirus Blog
blog o bezpečnosti

 

 

Vyjádření AEC ke KRACKs zranitelnosti.http://www.antivirus.cz/Blog/Stranky/vyjadreni-aec-ke-kracks-zranitelnosti.aspxVyjádření AEC ke KRACKs zranitelnosti.<p>​<strong>V posledních letech jsme byly zvyklí na to, že standard WiFi sítí WPA2 zabezpečoval bezpečné připojení do sítě. Včera (16. října 2017) byla zveřejněna objevená zranitelnost KRACKs, která za určitých okolností umožňuje kompromitovat WiFi síť tak, že útočník je schopen číst a přeposílat komunikaci. Zranitelnost je implementačního charakteru výrobců síťových karet a operačních systémů, standard WPA2 zůstává i nadále bezpečný. </strong></p><h2>Byl skutečně standard WPA2 prolomen?</h2><p>Standard WPA2 je založen na silné šifře AES pracující v režimu CCMP. Distribuce klíčů je zajištěna pomocí kryptografického protokolu výměny „4way handshake“. Oba tyto principy byly formálně verifikovány a jsou považovány za bezpečné. Zranitelnost KRACKs v žádném případě neprolamuje bezpečnost standardu WPA2, ale ukazuje špatnou implementaci tohoto standardu. Hlavní problém spočívá v tom, že zranitelná zařízení mají chybně implementovaný stavový automat zajištující výměnu klíčů. Pomocí této chyby je možné klíč přenášený z přístupového bodu (AP) znovu odeslat, přičemž jej zařízení přijme a přepíše původní klíč. U systémů Linux a androidů, které používají nástroj pro správu WiFi wpa_supplicant je situace horší. Tyto systémy nahradí původní klíč nulami, tím systém šifrování značně degradují a šifrování probíhá jen na základě inicializačního vektoru, který je možné získat z přenášeného rámce.</p><p>Pomocí zranitelnosti KRACKs není možné získat klíč k dešifrování provozu anebo k přístupu k síti. Změna aktuálního hesla tedy zranitelnost nezastaví. V případě použití režimu WPA2-enterprise není možné získat autentizační údaje a ani narušit proces autentizace v tomto režimu. Autenticita připojované stanice a přístupového bodu je zachovaná. Bezpečný kanál pro kryptografickou výměnu klíčů zůstává také zachován.</p><h2>O co se vlastně jedná?</h2><p>Pro kompromitaci WiFi sítě je nezbytnou podmínkou pozice útočníka na dosah přístupového bodu i stanice. Následně je realizován útok typu Man-in-the-middle (útočník se staví do role prostředníka v komunikaci) způsobem, kdy je vystaven falešný přístupový bod se stejnou adresou jako reálné AP, ale na jiné frekvenci. V dalším kroku je stanice pomocí speciálního rámce přepnuta na frekvenci falešného AP, proběhne výměna klíčů a ve správný okamžik je znovu odeslán klíč určený pro šifrování a dešifrování komunikace stanice. </p><h2>Co tím útočník získá?</h2><p>Útočník je schopen odposlouchávat a přeposílat komunikaci, což mu za určitých podmínek umožní převzít TCP spojení, pomocí kterého je schopen zasahovat a modifikovat komunikaci aplikačních protokolů jako například protokol HTTP pro provoz webu. V případě použití bezpečného protokolu HTTPS je útočník schopen podvrhnout falešný certifikát nebo je schopen přepnout komunikaci na nezabezpečené spojení. </p><h2>Co to znamená v praxi?</h2><p>V případě, že útočník realizuje útok pomocí této zranitelnosti, všechna přenášená data na nezabezpečených protokolech se stávají viditelná pro útočníka. V případě zabezpečených protokolů se cesta k jejich kompromitaci značně zjednodušuje. Cílem útočníka mohou být citlivá firemní data ale i získaní přístupu k internetovému bankovnictví. Jinak řečeno, po úspěšné realizaci útoku, jsme přišli o první ochrannou linii.   </p><h2>Která zařízení jsou zranitelná?</h2><p>Zranitelné jsou všechny systémy, které jako základ pro WiFi subsystém používají linuxový nástroj wpa_supplicant. Jedná se o všechny linuxové distribuce, OS X, MacOS a 31% systémů Android. Systémy iOS a Microsoft Windows jsou zranitelné méně, v důsledku čehož není možné realizovat útok v takovém rozsahu. Útočník získává jen data z některých systémových protokolů pracujících na principu broadcast. </p><p>Oprava zranitelnosti spočívá v přidání nové proměnné do stavového automatu zpracovávajícího 4-way handshake.  Oprava je tedy velmi jednoduchá. Firma Microsoft a linuxová distribuce Debian již hlásili opravu zranitelnosti 10. resp. 16. října.</p><p>Momentálně však neexistuje jednoduchý způsob nebo nástroj jak zjistit, že dané zařízení resp. operační systém je stále zranitelný. </p><h2>Co doporučujeme? </h2><p>Do doby než výrobci zařízení a operačních systémů chybu neopraví, doporučujeme na bezdrátových sítích WiFi vždy používat VPN připojení. V případe enterprise zákazníků doporučujeme vynutit připojení na VPN pomocí centrálních bezpečnostních politik v závislosti na použité technologii. Všechna jiná bezpečnostní opatření, jako například použití HTTPS při komunikaci na webu, je možné obejít.</p><p>Jak se tedy proti KRACKs zranitelnosti dále bránit? Sledujte webové stránky a informace od výrobce vašeho zařízení, zda již vydal bezpečnostní záplatu. Aktualizujte!<br></p><p> </p><div align="right"><table width="260"><tbody><tr><td width="70" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/matej-kacic-2016.jpg" alt="" style="margin:5px;width:60px;height:80px;" /> </td><td width="190" align="left" valign="top"> <strong>Matej Kačic</strong><br>Head of Security Technologies<br>AEC a.s.</td></tr></tbody></table></div>1
ESET se spojil s Microsoftem a bezpečnostními institucemi v mezinárodní operaci proti botnetu Gamarue.http://www.antivirus.cz/Blog/Stranky/eset-se-spojil-s-microsoftem-a-bezpecnostnimi-institucemi-v-mezinarodni-operaci-proti-botnetu-gamarue.aspxESET se spojil s Microsoftem a bezpečnostními institucemi v mezinárodní operaci proti botnetu Gamarue.<p>​Škodlivý kód známý také jako Andromeda používali zločinci pro krádeže přihlašovacích údajů k internetovým účtům. </p><p>Bezpečnostní experti ze společnosti ESET ve spolupráci se společností Microsoft a orgány činnými v trestním řízení několika zemí – americkým Federálním úřadem pro vyšetřování (FBI), Interpolem, Europolem a dalšími institucemi zajišťujícími kybernetickou bezpečnost dnes dokončili mezinárodní operaci proti provozovatelům zločinného botnetu Gamarue, který od roku 2011 ohrožoval uživatele internetu po celém světě. Malware, který tvoří tento botnet, ESET detekuje jako jako Win32 /TrojanDownloader.Wauchos.</p><p>Koordinovaný zásah začal 29. listopadu 2017 a díky společnému postupu mohly orgány činné v trestním řízení během jediného dne zatknout odpovědné osoby a znemožnit činnost rodiny malware, která je zodpovědná za infikování více než 1,1 milionu operačních systémů. Výzkumníci ze společností ESET a Microsoft sdíleli své technické analýzy, statistiky a informace o doménách, na kterých fungovaly vzdálené řídící servery (C&C), jejichž prostřednictvím skupina útočníků prováděla své zločinné aktivity. ESET rovněž poskytl svoje dosavadní informace o botnetu Gamarue, které získal nepřetržitým monitoringem tohoto malwaru a jeho dopadu na uživatele za posledních několik let.</p><h2>Co je Gamarue?</h2><p>„Gamarue, který je známý také jako Andromeda Bot, vytvořili v roce 2011 počítačoví zločinci a šířili jej ve své komunitě. Malware byl určen pro krádeže přístupových údajů a stahování dalšího malwaru do systému,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Jedná se o bot, který lze upravit dle potřeby útočníka, a díky kterému může útočník vytvářet a používat vlastní škodlivé pluginy. Ty umožňovaly kyberzločincům řadu aktivit. Například krást data zadaná uživateli do webových formulářů či se vzdáleně připojit a ovládat napadené systémy,“ dodává Dvořák.</p><p>Popularita botnetu Gamarue vyústila ve vznik velkého množství jeho klonů. ESET zjistil, že vzorky tohoto malwaru byly distribuovány po celém světě prostřednictvím sociálních médií, zpráv, externích médií, spamu a pomocí dalších prostředků. </p><h2>Jak ESET a Microsoft pronikli k správcům botnetu?</h2><p>Experti společnosti ESET vytvořili za pomoci služby ESET Threat Intelligence bot, který mohl komunikovat s C&C serverem botnetu Gamarue. Díky tomu mohly společnosti ESET a Microsoft pečlivě monitorovat tyto aktivity a během uplynulého půldruhého roku identifikovat další C&C servery, které spravovaly napadené počítačové systémy obětí. Obě společnosti postupně sestavily seznam všech domén, na kterých fungovaly tyto řídící servery používané kyberzločinci.</p><p>„V minulosti byl Wauchos malwarem, který figuroval v našich statistikách na předních místech. Nyní se nám díky ESET Threat Intelligence a spolupráci s analytiky společnosti Microsoft podařilo vypozorovat změny v chování tohoto malwaru a následně získat informace, které jsme mohli použít pro jeho eliminaci,“ uzavírá Dvořák.<br></p>0
V listopadu Česko nejvíce ohrožoval trojský kůň JS/Redirector, který přesměrovává prohlížeče.http://www.antivirus.cz/Blog/Stranky/v-listopadu-cesko-nejvice-ohrozoval-trojsky-kun-jsredirector-ktery-presmerovava-prohlizece.aspxV listopadu Česko nejvíce ohrožoval trojský kůň JS/Redirector, který přesměrovává prohlížeče.<p>​<strong>Škodlivý kód uživatele přesměruje na konkrétní internetovou adresu se škodlivým softwarem, varuje společnost ESET.</strong></p><p>Nejčetnější internetovou hrozbou v České republice během listopadu byl trojský kůň JS/Redirector. Vyplývá to z pravidelné měsíční statistiky společnosti ESET. JS/Redirector je škodlivý kód, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Škodlivý software bývá obvykle vložen přímo do HTLM kódu odkazovaných stránek.</p><p>„Jde o nepříjemný malware, který se projevuje automatickým otevíráním stránek s různým, často nesmyslným obsahem. K otevírání stránek dochází v nepravidelných intervalech a dané stránky mohou uživatele nabádat, aby si stáhl další software, například kvůli napadení jeho počítače a eliminaci škod,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. JS/Redirector byl sice nejčastěji detekovanou hrozbou během listopadu, jeho podíl na všech hrozbách ale představoval pouze 3,91 procenta.</p><p>Nevyžádaná okna internetového prohlížeče otevírá i druhý v listopadu nejčetněji zachycený malware v Česku, JS/Adware.AztecMedia. Nepřesměrovává však na jiné internetové stránky, nýbrž otevírá okna s nevyžádanou reklamou a v některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. Během listopadu představoval 3,59 procenta všech zachycených internetových hrozeb. </p><p>Třetím nejčastěji detekovaným škodlivým kódem v listopadu byl exploit SMB/Exploit.DoublePulsar. „Jde o nechvalně proslulý škodlivý kód, který ke svému šíření využíval ransomare WannaCry,“ upozorňuje Miroslav Dvořák. V České republice dosáhl tříprocentního podílu na všech hrozbách zachycených společností ESET. </p><h2><br>Deset nejčastějších internetových hrozeb v České republice za říjen 2017:</h2><p>1. JS/Redirector (3,91 %)<br>2. JS/Adware.AztecMedia (3,59 %)<br>3. SMB/Exploit.DoublePulsar (3,56 %)<br>4. JS/Danger.ScriptAttachment (3,03 %)<br>5. PowerShell/Agent.BS (2,75 %)<br>6. Java/Adwind (2,51 %)<br>7. Win32/GenKryptik (2,30 %)<br>8. PowerShell/Adware.Adposhel (2,23 %)<br>9. VBS/TrojanDownloader.Agent.PJJ (1,65 %)<br>10. JS/Kryptik.MX (1,44 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-listopad-2017.png" alt="" style="margin:5px;width:650px;" /> </p>0
100 % organizací je obětí mobilních útoků, vyplývá to z průzkumu mezi více než 850 společnostmi.http://www.antivirus.cz/Blog/Stranky/100-procent-organizaci-je-obeti-mobilnich-utoku-vyplyva-to-z-pruzkumu-mezi-vice-než-850-spolecnostmi.aspx100 % organizací je obětí mobilních útoků, vyplývá to z průzkumu mezi více než 850 společnostmi.<p>​<strong>Check Point v reakci na nárůst mobilních hrozeb představil vylepšení mobilního bezpečnostního řešení SandBlast Mobile. </strong></p><p>Check Point představil výsledky první studie o dopadu mobilních útoků na podnikové prostředí. Studie vychází z dat od více než 850 organizací ze čtyř kontinentů. Výsledky jsou zřejmé: Podniková mobilní prostředí jsou zranitelná a hrozí útoky na obě hlavní mobilní platformy, Android i iOS.</p><p>Mobilní hrozby mohou ohrozit jakékoli zařízení a získat libovolný přístup k citlivým datům. V bezpečí před mobilními útoky není nikdo, od finančních společností a výrobních podniků až po vládní organizace.</p><p>Z průzkumu například vyplývá, že:</p><ul><li>100 % všech organizací zaznamenalo mobilní malwarový útok. </li><li>54 je průměrný počet mobilních malwarových útoků na jednu organizaci. </li><li>89 % společností zaznamenalo útok typu man-in-the-middle přes Wi-Fi. </li><li>75 % organizací mělo v síti v průměru 35 rootovaných nebo jailbroken zařízení.</li></ul><p>V reakci na výsledky studie představil Check Point vylepšené řešení SandBlast Mobile, přední bezpečnostní řešení, které chrání i před pokročilými mobilními kyberútoky. Technologie Check Point SandBlast Mobile poskytuje nejvyšší úspěšnost zachycení mobilních hrozeb na trhu. Check Point SandBlast Mobile nyní přináší několik nových vylepšení:</p><ul><li>Detekce pomocí umělé inteligence okamžitě blokuje zero-day malware. </li><li>Blokování cílených SMiShingových útoků na iOS a Android zařízení. </li><li>Nová aplikace, která umožňuje koncovým uživatelům monitorovat a spravovat zabezpečení zařízení.</li></ul><p>„Útoky na mobilní zařízení překročily v roce 2017 útoky na osobní počítače ve frekvenci i finanční hodnotě a náš report pomáhá tento trend pochopit a vysvětlit,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point. „Mobilní zařízení jsou pro kyberzločince v podstatě nová zadní vrátka a jsme proto rádi, že můžeme představit vylepšené řešení SandBlast Mobile, které proaktivně chrání organizace i jednotlivé zákazníky.“</p><p>V nezávislém testu „2017 Mobile Threat Defense Industry Assessment“ organizace Miercom dosáhl Check Point  nejvyšší úspěšnosti zachycení hrozeb ze všech testovaných výrobců. Check Point upozorňuje, že útoky na mobilní zařízení se posunuly od známého malwaru a zneužití slabin v sítích a operačních systémech k zero-day malwaru, SMS útokům a zneužití Bluetooth zranitelností. V reakci na tyto moderní hrozby nabízí Check Point pro podnikové zákazníky komplexní řešení, které je součástí bezpečnostní architektury Check Point Infinity. Infinity zajišťuje bezpečnost napříč síťovými zařízeními, osobními počítači, cloudem a mobilním světem. Check Point také nabízí řešení pro ochranu spotřebitelů a jednotlivých uživatelů pod značkou ZoneAlarm.</p><p>Více informací o nových funkcích a možnostech řešení SandBlast Mobile najdete na stránce: <a href="http://www.checkpoint.com/mobilesecurity" target="_blank">www.checkpoint.com/mobilesecurity</a></p><p>Celý report „Mobile Cyberattacks Impact Every Business“ najdete <a href="/Blog/Documents/CP_Mobile_Cyberattacks_Impact_Report_2017.pdf">zde</a>.</p><p>O řešení Check Point si můžete přečíst více na jejich blogu:<br><a href="http://blog.checkpoint.com/2017/11/17/sandblast-mobile-the-best-mobile-security-solution-just-got-better" target="_blank">http://blog.checkpoint.com/2017/11/17/sandblast-mobile-the-best-mobile-security-solution-just-got-better</a></p><p>O novém průzkumu si můžete přečíst více na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/11/17/new-research-mobile-malware-hits-every-business" target="_blank">http://blog.checkpoint.com/2017/11/17/new-research-mobile-malware-hits-every-business</a><br></p>0
Těžba kryptoměn představuje novou hrozbu pro organizace.http://www.antivirus.cz/Blog/Stranky/tezba-kryptomen-predstavuje-novou-hrozbu-pro-organizace.aspxTěžba kryptoměn představuje novou hrozbu pro organizace.<p><strong>​Ze zprávy společnosti Check Point vyplývá, že v říjnu se kyberzločinci více zaměřili na těžbu kryptoměn a malware CoinHive se stal šestým nejčastěji používaným malwarem na světě. </strong></p><p>Check Point Software Technologies, přední světový poskytovatel kyberbezpečnostních řešení, zveřejnil říjnový Celosvětový index dopadu hrozeb, který upozorňuje, že během října nebezpečně rostl malware zaměřený na těžbu kryptoměn a organizace byly terčem škodlivého kódu CoinHive.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila i v říjnu mezi nejbezpečnější země, když se v Indexu hrozeb podruhé za sebou umístila na 119. příčce. Naopak Slovensko se opět o kousek posunulo mezi nebezpečnější země a z 90. místa poskočilo na 75. pozici. Na prvním místě se v Indexu hrozeb umístila potřetí za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenali Nová Kaledonie, Tanzanie a Kuvajt. Naopak Uruguay se posunula z 53. příčky na bezpečnější 118. pozici.</p><p>V říjnu se škodlivý kód CoinHive vyhoupl až na 6. místo mezi nejpoužívanějším malwarem, což potvrzuje trend, na který upozornil <a href="https://blog.checkpoint.com/2017/10/23/crypto-miners-the-silent-cpu-killer-of-2017/" target="_blank">nedávný výzkum</a> společnosti Check Point, podle kterého mohou útočníci využít pro těžbu kryptoměn až 65 % celkových zdrojů CPU koncového uživatele, aniž by o tom věděl. CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.</p><p>Stejně jako v září i říjnu byly RoughTed a Locky dvě nejčastější hrozby. Nicméně do Top 3 se nově dostal škodlivý kód Seamless, který přesměrovává provoz. Tento malware tiše přesměruje oběti na škodlivou webovou stránku, což vede k infekci pomocí exploit kitu. Úspěšné infikování cíle umožňuje útočníkovi stáhnout další malware.</p><p>„Vzestup škodlivých kódů Seamless a CoinHive znovu ukazuje na nutnost pokročilých preventivních bezpečnostních technologií při ochraně sítí před kyberzločinci. Těžba kryptoměn je nová, tichá a sílící hrozba, která je pro útočníky velmi výnosná a způsobuje významný pokles výkonu koncových zařízení a sítí,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.</p><h2>Top 3 - malware:</h2><p><strong>1. ↔ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↔ Locky</strong> - Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.<br><strong>3. ↑ Seamless</strong> - Systém distribuce provozu (TDS), který nenápadně přesměruje oběti na škodlivou webovou stránku, což vede k infekci pomocí exploit kitu. Úspěšné infikování cíle umožňuje útočníkovi stáhnout další malware.</p><p>U škodlivého kódu nejčastěji použitého k útokům na podniková mobilní zařízení došlo k jedné změně v Top 3, na pozici číslo 2 se posunul LeakerLocker, ransomware zaměřený na mobilní zařízení se systémem Android.</p><h2>Top 3 - mobilní malware:</h2><p><strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. LeakerLocker</strong> - Ransomware zaměřený na zařízení se systémem Android, čte osobní uživatelská data a následně je ukazuje uživateli a hrozí, že pokud nedojde k zaplacení výkupného, tak budou informace zveřejněné na internetu.<br><strong>3. Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení</p><p>Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p><img src="/Blog/PublishingImages/Clanky/2017/Check_Point_Threat_Map.png" alt="" style="margin:5px;width:650px;" /> </p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>0
Kyberzločinci se snaží zneužít nákupní horečky, tentokrát se zaměřili na AliExpress.http://www.antivirus.cz/Blog/Stranky/kyberzlocinci-se-snazi-zneuzit-nakupni-horecky-tentokrat-se-zamerili-na-aliexpress.aspxKyberzločinci se snaží zneužít nákupní horečky, tentokrát se zaměřili na AliExpress.<p>Naplno propuká nákupní horečka, blíží se Vánoce, navíc se obchodníci snaží nalákat zákazníky na slevy v souvislosti s Černým pátkem, a kyberzločinci číhají na svou šanci a hledají nové způsoby, jak uživatele okrást.</p><p>Výzkumníci společnosti Check Point nedávno zjistili, že zločinci mají nový způsob, jak zaútočit na online nakupující na populárním nákupním portálu AliExpress. AliExpress je součástí skupiny AliBaba a s více než 100 miliony zákazníků patří mezi nejoblíbenější online obchody.</p><p>Check Point v návaznosti na objevení zranitelnosti okamžitě informoval AliExpress (9. října), který bere oblast kyberbezpečnosti velmi vážně, takže ihned reagoval a vše opravil do dvou dnů od oznámení (11. října). Přístup AliExpressu je chvályhodný a měl by sloužit jako dobrý příklad i pro další online obchodníky.</p><p>Nová zranitelnost umožňovala zločincům okrást uživatele AliExpressu. Útočníci nejdříve poslali odkaz na webovou stránku AliExpressu obsahující škodlivý Javascript kód. Po otevření stránky byl kód spuštěn ve webovém prohlížeči uživatele, takže útočníci obešli zabezpečení AliExpressu.</p><p>AliExpress používá na svých stránkách k přilákání nových i stávajících zákazníků kupóny. Jakmile zákazníci navštíví domovskou stránku AliExpressu, obvykle se zobrazí ve vyskakujícím okně nabídka, aby uživatel zadal údaje o své kreditní kartě a mohl nakupovat ještě efektivněji, využít online plateb a rychlejšího dokončení nákupu.</p><p>Pokud útočníci ale najdou způsob, jak vložit škodlivý kód do AliExpressu, mohou celý proces zneužít. Útok začíná v momentě, kdy kyberzločinci nalákají oběť ke kliknutí na škodlivý odkaz, například poslaný e-mailem. Zákazník se dostane na přihlašovací stránku a po přihlášení může být oběť přesměrována na stránku s vloženým škodlivým kódem. Uživateli se tak zobrazí vyskakující okno s podvodným kupónem a je vyzván k zadání údajů o platební kartě za odměnu 50 dolarů na další nákupy. Jakmile útočníci citlivá data získají, mohou je samozřejmě dále zneužívat.</p> <iframe width="560" height="315" src="https://www.youtube.com/embed/4JhYxCzkdmQ" frameborder="0"></iframe> <p><br>Více informací si můžete přečíst také na blogu společnosti Check Point:<br><a href="https://research.checkpoint.com/christmas-coming-criminals-await/" target="_blank">https://research.checkpoint.com/christmas-coming-criminals-await/</a></p>0
Pozor na podvodné aplikace pro obchodování s kryptoměnami, hrozí ztráta osobních dat.http://www.antivirus.cz/Blog/Stranky/pozor-na-podvodna-aplikace-pro-obchodovani-s-kryptomenami-hrozi-ztrata-osobnich-dat.aspxPozor na podvodné aplikace pro obchodování s kryptoměnami, hrozí ztráta osobních dat.<p>​<strong>Ohroženi jsou uživatelé směnárny Poloniex, útočníci se prolamují do jejich účtů a e-mailových schránek Gmail. </strong></p><p>Uživatelé oblíbené směnárny kryptoměn Poloniex se stali cílem dvou škodlivých aplikací zaměřených na krádeže osobních údajů, které se objevily v oficiálním obchodu s aplikacemi pro Android, Google Play. Podle zjištění společnosti ESET se maskují jako legitimní mobilní aplikace této směnárny. Provozovatelé falešných aplikací se snažili získat přihlašovací údaje uživatelů do aplikace Poloniex a pokoušeli se také přimět oběti, aby jim umožnily přístup k jejich účtům na Gmailu.</p><p>Poloniex je jednou z nejvyužívanějších směnáren kryptoměn na světě s více než 100 tituly kryptoměn, s nimiž je možné obchodovat. To samo o sobě představuje atraktivní cíl pro podvodníky všeho druhu, v tomto případě zločinci navíc využili skutečnosti, že existovala i oficiální mobilní aplikace této služby.</p><p>„Okolo kryptoměn je v současné době hodně rozruchu a počítačoví zločinci se pokoušejí chopit jakékoli nové příležitosti, která se jim naskytne. Ať již v uvozovkách krádeží výpočetního výkonu zařízení uživatelů za účelem těžení kryptoměn přes prohlížeče internetu nebo tím, že infikují nedostatečně aktualizované počítače. Také se snaží využívat falešné webové stránky a aplikace zaměřené na získávání osobních dat,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.</p><p> První škodlivá aplikace byla umístěna do Google Play pod jménem „POLONIEX“ a nabízel ji vývojář „Poloniex“. V době od 28. srpna do 19. září 2017 si tuto aplikaci nainstalovalo až 5 000 uživatelů navzdory varovným hodnocením od dalších uživatelů a negativním recenzím. Druhá aplikace „POLONIEX EXCHANGE“ od vývojáře „POLONIEX COMPANY“ se na Google Play objevila 15. října 2017 a zaznamenala 500 stažení, než ji Google na základě oznámení od společnosti ESET odstranil. ESET o této skutečnosti rovněž informoval společnost Poloniex, autora legitimní aplikace Poloniex.</p><p> </p><h1>Jak fungují škodlivé aplikace Poloniex pro obchodování s kryptoměnami a jak se proti nim bránit?</h1><p>Oficiální obchod s aplikacemi pro zařízení s operačním systémem Android, Google Play, zneužili tvůrci falešných aplikací pro obchodování s kryptoměnami. Zaměřili se na uživatele online směnáren Poloniex a snaží se od nich získat přístupové údaje k uživatelským účtům legitimních aplikací této směnárny i k e-mailovým účtům Gmail. Společnost ESET zveřejňuje informace, jakým způsobem tyto falešné aplikace fungují a jak se proti nim lze účinně bránit.</p><h3>Jak tyto aplikace fungují?</h3><p>Aby útočníci mohli ovládnout účet Poloniex pomocí některé ze škodlivých aplikací, musí nejprve získat osobní údaje pro přihlášení k účtu. Poté potřebují získat přístup k e-mailovému účtu přidruženému ke zneužitému účtu Poloniex, aby mohli mít kontrolu nad oznámeními o neoprávněných přihlášeních a transakcích. A konečně útočníci chtějí vzbudit zdání, že jejich aplikace funguje správně, aby předešli jakémukoli podezření, které by v uživateli mohli během celého procesu vyvolat.</p><p>Obě zjištěné aplikace přitom využívají stejného způsobu, jak dosáhnout tohoto cíle. Ke krádeži osobních dat dojde okamžitě poté, co uživatel spustí některou ze zmíněných aplikací a zadá do ní svoje přihlašovací údaje. Škodlivá aplikace zobrazí falešnou stránku, která požaduje zadání přihlašovacích údajů do směnárny Poloniex. Pokud uživatel citlivé údaje vyplní a klikne na „Přihlásit“, jsou jeho data odeslána útočníkům.</p><p>V případě, že uživatel nepoužívá pro svůj účet u Poloniex dvoufaktorové ověření identity, mají útočníci volný přístup k danému účtu. To znamená, že mohou provádět jménem uživatele transakce, měnit jeho nastavení nebo mu dokonce zablokovat přístup k účtu, když změní jeho heslo. V případě, že uživatel používá dvoustupňové ověřování, například prostřednictvím jednorázově generovaného přístupového kódu zaslaného prostřednictvím SMS na uživatelův telefon, je jeho účet před vetřelci ochráněn. </p><p>Jsou-li podvodníci úspěšní, začnou pracovat na získání přístupu k účtu Gmail daného uživatele. Ten aktivitu vnímá tak, že ji od něj vyžaduje Google, který ho žádá o přihlášení pomocí jeho údajů k účtu Google „za účelem dvoustupňového bezpečnostního ověření“. Když uživatel klikne tlačítko „Přihlásit“, škodlivá aplikace ho požádá o povolení prohlížení jeho e-mailových zpráv a nastavení základních informací o jeho profilu. Pokud uživatel tato povolení odsouhlasí, získá aplikace přístup do jeho e-mailové schránky.</p><p>„Jakmile mají útočníci přístup do účtu uživatele ve směnárně Poloniex a k němu přidruženému účtu u Gmailu, mohou jménem uživatele provádět transakce a současně mazat veškerá upozornění o neoprávněném přihlášení a prováděných transakcích, která přijdou do e-mailové schránky uživatele,“ upozorňuje technický ředitel společnosti ESET Miroslav Dvořák. </p><p>Nakonec, aby to vypadalo, že aplikace funguje tak, jak má, přesměruje uživatele na mobilní verzi legitimní webové stránky směnárny Poloniex, která vyžaduje, aby se uživatel přihlásil. Jakmile se uživatel přihlásí, používá legitimní webové rozhraní společnosti Poloniex pro mobilní zařízení. Škodlivá aplikace od této chvíle otevře toto rozhraní při každém dalším spuštění.</p><p>Před analytiky bezpečnostních rizik na internetu se útočníci snaží svoji činnost zakrýt maskováním domén, kam odesílají odcizené osobní údaje uživatelů. K maskování zneužívají UNICODE znaků, které jsou na první pohled podobné znakům z latinské abecedy, ale znamenají jiný znak. Při manuálním otevření odkazu se tak domény jako hxxp://połoniex.com a hxxp://poloniėx.com/ mohou jevit jako legitimní domény společnosti Poloniex.</p><p>Jak se před touto hrozbou chránit?</p><p>Používáte-li směnárnu Poloniex a na svém mobilním zařízení máte nainstalovanou některou z těchto škodlivých aplikací, prvním krokem je, že ji odinstalujete. Nezapomeňte změnit svá hesla pro přístup do účtů Poloniex i Gmail a kdekoli to bude možné, uvažujte o zavedení dvoufaktorové autentizace.</p><p>A zde je několik rad, jak se nestát obětí podvodníků v budoucnu:</p><ul><li>Ověřte si, zda služba, kterou používáte, skutečně nabízí mobilní aplikaci – pokud ano, aplikace by měla být propojena s oficiálními webovými stránkami dané služby. </li><li>Věnujte pozornost hodnocení aplikace od jiných uživatelů a čtěte jejich recenze. </li><li>Buďte opatrní, když vám aplikace třetích stran nabízejí upozornění a dialogová okna, která budí dojem, že jsou propojena s účtem u Googlu – zneužívání důvěry uživatelů ve služby Googlu je mezi kyberzločinci oblíbeným trikem. </li><li>Zvyšte míru zabezpečení používáním dvouúrovňového ověřování identity (2FA) – jeho význam bývá zásadní. </li><li>Používejte spolehlivá bezpečnostní řešení pro vaše mobilní zařízení. Společnost ESET detekuje zloděje osobních dat jako Android/FakeApp.GV.</li></ul> 0
České uživatele v říjnu ohrožovala nová hrozba využívající protokol DDE, v závěru měsíce dosahovala podílu 40 procent.http://www.antivirus.cz/Blog/Stranky/ceske-uzivatele-v-rijnu-ohrozovala-nova-hrozba-vyuzivajicií-protokol-dde-v-zaveru-mesice-dosahovala-podilu-40-procent.aspxČeské uživatele v říjnu ohrožovala nová hrozba využívající protokol DDE, v závěru měsíce dosahovala podílu 40 procent.<p>Na pozici nejčastěji detekovaného škodlivého kódu  se podle statistiky společnosti ESET vrátil JS/Danger.ScriptAttachment.</p><p>Masivní nástup škodlivých příloh e-mailů, které se šíří pomocí protokolu DDE, zaznamenala během měsíce října společnost ESET. V rámci měsíční statistiky nejčetnějších škodlivých kódů jde o třetí nejčastější internetovou hrozbu v České republice. Poslední říjnový týden však byl  malware využívající ke svému šíření do zařízení uživatele protokol DDE zdaleka nejčastěji detekovaným škodlivým kódem. Poslední říjnové dny se jeho podíl na celkových hrozbách blížil 40 procentům.</p><p>„Útočníci v tomto případě oprášili starší technologii, která je však v aplikacích stále dostupná. Nejčastěji se jedná o programy v rámci balíku kancelářských programů Office. Protokol DDE zneužívá důvěřivosti uživatelů, kterým přijde nevyžádaný e-mail s přílohou, nejčastěji v podobě wordovského dokumentu. Po jeho otevření se uživateli objeví upozornění, že dokument obsahuje odkazy, které mohou směřovat na jiné soubory a zda je chce aktualizovat. Pokud uživatel toto potvrdí, dochází ke spuštění procesu infikování,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET. „Útočníci v tomto případě úspěšně využívají metod sociálního inženýrství, aby adresáta zmátli a vytvořili u něj dojem, že příloha je bezpečná. Nastavení zablokování spouštění maker nemá na zabránění infekce žádný vliv,“ dodává Dvořák.</p><p>V souhrnné měsíční statistice společnosti ESET za říjen letošního roku představuje VBA/DEE třetí nejčetnější hrozbu s podílem 4,41 procenta. Na pozici nejčastěji zachyceného škodlivého kódu se po měsíční přestávce vrátil JS/Danger.ScriptAttachment, který se šíří stejně jako VBA/DDE prostřednictvím příloh e-mailů. ESET jej zachytil v 8,70 procentech případů. Říjnovou dvojkou mezi viry byl trojský kůň JS/TrojanDownloader.Nemucod, jehož podíl na celkových hrozbách dosáhl 5,13 procenta.</p><h2><br>Deset nejčastějších internetových hrozeb v České republice za říjen 2017:</h2><p>1. JS/Danger.ScriptAttachment (8,70 %)<br>2. JS/TrojanDownloader.Nemucod (5,13 %)<br>3. VBA/DDE (4,41 %)<br>4. JS/ProxyChanger (3,33 %)<br>5. JS/Adware.AztecMedia (3,18 %)<br>6. SMB/Exploit.DoublePulsar (2,52 %)<br>7. Java/Adwind (2,16 %)<br>8. Win32/GenKryptik (2,05 %)<br>9. VBS/TrojanDownloader.Agent.PGX (1,75 %)<br>10. JS/Kryptik.MX (1,68 %)<br>10. VBS/TrojanDownloader.Agent.PGF (1,86 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-rijen-2017.png" alt="" style="margin:5px;width:650px;" /><br> </p>0
Zranitelnost v chytrých domácích spotřebičích LG SmartThinQ.http://www.antivirus.cz/Blog/Stranky/zranitelnost-v-chytrych-domacich-spotrebicich-lg-smartthinq.aspxZranitelnost v chytrých domácích spotřebičích LG SmartThinQ.<p>​Check Point pomáhá blokovat vážnou zranitelnost v chytrých domácích spotřebičích LG SmartThinQ. </p><p>Check Point Software Technologies oznámil, že bezpečnostní výzkumníci objevili zranitelnost HomeHack, která ohrožuje miliony uživatelů chytrých domácích spotřebičů LG SmartThinQ. Zranitelnost vystavuje domácí spotřebiče řady SmartThinkQ riziku neoprávněného vzdáleného ovládnutí.</p><p>Zranitelnost v mobilní a cloudové aplikaci LG SmartThinkQ umožnila výzkumnému týmu společnosti Check Point přihlásit se vzdáleně do cloudové aplikace SmartThinQ a převzít kontrolu nad uživatelským účtem LG a získat kontrolu nad vysavačem a jeho integrovanou videokamerou. Jakmile dojde k převzetí kontroly nad konkrétním účtem LG, jakékoli LG zařízení propojené s daným účtem může být ovládáno útočníky – včetně robotických vysavačů, ledniček, trub, praček, sušiček a klimatizací.</p><p>Zranitelnost HomeHack umožňuje útočníkům například špehovat domácnost uživatelů prostřednictvím videokamery v robotickém vysavači Hom-Bot, který odesílá živé video do aplikace LG SmartThinQ jako součást funkce HomeGuard Security. Útočníci mohou ovládat prakticky jakékoliv zařízení LG SmartThinQ, například vypínat a zapínat myčky na nádobí, pračky atd.<br> <br>„V domácnostech se používá stále více a více chytrých zařízení, a hackeři se proto místo útoků na jednotlivá zařízení zaměřují na hacky aplikací, které spotřebiče ovládají. To poskytuje kyberzločincům ještě více příležitostí, jak zneužít slabiny v softwaru a způsobit v domácnostech škody nebo získat přístup k citlivým datům,“ říká Oded Vanunu, ředitel výzkumu produktových zranitelností ve společnosti Check Point. „Uživatelé si musí uvědomovat bezpečnostní rizika, která souvisí s používáním IoT zařízení. Je také nezbytné, aby se IoT výrobci zaměřili na ochranu chytrých zařízení proti útokům a implementovali robustní zabezpečení už při návrhu softwaru a zařízení.“</p><p>Zranitelnosti v mobilní aplikaci SmartThinQ umožnily výzkumníkům společnosti Check Point vytvořit falešný LG účet a použít jej k převzetí pravého uživatelského LG účtu a následně získat vzdálenou kontrolu nad chytrými spotřebiči LG. Check Point informoval LG o zranitelnosti 31. července 2017. Společnost LG nahlášený problém v aplikaci SmartThinQ opravila na konci září. „Společnost LG naštěstí zodpovědně poskytla kvalitní záplatu, která zastaví případné snahy o zneužití slabiny v aplikacích a spotřebičích SmartThinQ,“ dodává Oded Vanunu.  </p><p>„V rámci mise společnosti LG Electronics zlepšit život spotřebitelů po celém světě rozšiřujeme naše portfolio chytrých domácích spotřebičů příští generace a zároveň klademe důraz na vývoj bezpečných a spolehlivých softwarových programů,“ říká Koonseok Lee, Manager of Smart Development Team, Smart Solution BD, LG Electronics.  „V srpnu se společnost LG Electronics spojila se společností Check Point Software Technologies a spustila pokročilý rootovací proces, jehož cílem bylo detekovat bezpečnostní problémy a okamžitě aktualizovat proces bezpečnostních záplat. Od 29. září běží bezpečnostní systém v bezproblémové aktualizované verzi minimálně 1.9.20. Společnost LG Electronics plánuje i nadále posilovat své softwarové bezpečnostní systémy a také spolupracovat s poskytovateli kyberbezpečnostních řešení, jako je Check Point, s cílem poskytovat bezpečnější a pohodlnější spotřebiče.“</p><p>Uživatelé mobilní aplikace a spotřebičů LG SmartThinQ by se měli ujistit, že je vše aktualizované na nejnovější softwarové verze z webových stránek společnosti LG. Check Point také spotřebitelům doporučuje, aby provedli následující kroky a zabezpečili svá chytrá zařízení a domácí Wi-Fi sítě před útoky a potenciálním vzdáleným ovládnutím:</p><p>1. Aktualizujte aplikaci LG SmartThinQ na nejnovější verzi (V1.9.23). Aktualizaci můžete provést přes Google Play, Apple App Store nebo přes nastavení aplikace LG SmartThinQ.<br>2. Aktualizujte svá chytrá domácí zařízení a ujistěte se, že se jedná o nejnovější verzi. Aktualizaci můžete provést v aplikaci SmartThinQ (pokud je aktualizace dostupná, měli byste být upozorněni vyskakujícím oknem)</p><p>Chytré spotřebiče a bezpečnostní řešení LG SmartThinQ umožňují uživatelům sledovat a spravovat domácnost pomocí chytrých telefonů. Prodej robotických vysavačů Hom-Bot překročil hranici 400 000 kusů v první polovině roku 2016. V roce 2016 bylo celosvětově expedováno 80 milionů chytrých domácích spotřebičů, což je 64% nárůst oproti roku 2015.</p> <br> <iframe width="560" height="315" src="https://www.youtube.com/embed/BnAHfZWPaCs" frameborder="0"></iframe> <br> <p>Více informací o zranitelnosti najdete na <a href="http://blog.checkpoint.com/2017/10/18/homehack-how-hackers-could-have-taken-control-of-lgs-iot-home-appliances">blogu společnosti Check Point</a>.<br></p>0
Blíží se nová kyberbouře, která k masivním kyberútokům využije botnet z IoT zařízení.http://www.antivirus.cz/Blog/Stranky/blizi-se-nova-kyberboure-ktera-k-masivnim-kyberutokum-vyuzije-botnet-z-iot-zarizeni.aspxBlíží se nová kyberbouře, která k masivním kyberútokům využije botnet z IoT zařízení.<p>​Check Point varuje před nově vznikajícím obřím botnetem, který by mohl vytvořit takovou kyberbouři, která by ohrozila fungování internetu. Podle odhadů bylo infikováno už více než milion organizací z celého světa. Botnet staví svou armádu z IoT zařízení, jako jsou bezdrátové IP kamery, a roste rychleji a disponuje větší silou než botnet Mirai z roku 2016.<br> <br>IoT botnety zneužívají chytrá zařízení s připojením k internetu, která byla nakažena stejným škodlivým kódem a útočníci je mohou vzdáleně použít ke kyberútokům. IoT botnety stojí za řadou nejničivějších kyberútoků proti organizacím po celém světě, včetně nemocnic, vnitrostátních dopravců, komunikačních společností a politických hnutí.<br> <br>Některé technické detaily sice vyvolávají podezření na možné spojení s botnetem Mirai, ale jedná se o zcela novou a mnohem sofistikovanější kampaň, která se rychle šíří po celém světě. Je zatím příliš brzy, aby bylo možné přesně odhadnout záměry útočníků, ale vzhledem k předchozím botnetovým DDoS útokům, které způsobily výpadky internetu, je nezbytné, aby byly organizace připravené a měly správné nastavené postupy a obranné mechanismy.<br> <br>Řešení Check Point Intrusion Prevention System (IPS) poprvé upozornilo na novou hrozbu na konci září, přičemž počet pokusů o zneužití zranitelností v různých IoT zařízeních postupně roste. Malware se každým dnem vyvíjí a snaží se zneužívat zranitelnosti v bezdrátových IP kamerách, jako jsou GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology a další. Zatím odhadujeme, že po celém světě bylo infikováno více než milion organizací a počet se dále zvyšuje. Check Point předpovídá, že nyní zažíváme klid před kyberbouří.<br> <br>Více informací najdete v reportu společnosti Check Point:<br><a href="https://research.checkpoint.com/new-iot-botnet-storm-coming/" target="_blank">https://research.checkpoint.com/new-iot-botnet-storm-coming/</a></p>0
ESET odhalil malware, který mění PIN na mobilním telefonu s Androidem a šifruje data.http://www.antivirus.cz/Blog/Stranky/eset-odhalil-malware-ktery-meni-pin-na-mobilnim-telefonu-s-androidem-a-sifruje-data.aspxESET odhalil malware, který mění PIN na mobilním telefonu s Androidem a šifruje data.<p><strong>Trojský kůň DoubleLocker zašifruje obsah zařízení a chová se jako klasický ransomware. Po obětech posléze žádá výkupné.</strong></p><p>Analytici společnosti ESET objevili DoubleLocker, nový typ malware pro Android, který kombinuje dva různé nástroje pro získávání peněz od svých obětí. Jedná se o kombinaci trojanu a ransomwaru. Malware se šíří především v Evropě a Turecku.</p><p>DoubleLocker zneužívá služby Android Accessibility, což je oblíbený trik mezi kybernetickými zločinci. Jakmile je podvodná aplikace spuštěna, zažádá si o aktivaci služby zpřístupnění, která se v tomto případě vydává za aplikaci Google Play Service. </p><p>Pokud aktivaci této služby uživatel na svém zařízení potvrdí, ta toto potvrzení využije k získání administrátorských práv k zařízení. Čímž se jí otevírá cesta ke změně výchozí domovské aplikace a zámku obrazovky. Oboje bez uživatelova vědomí a souhlasu.</p><p>Kromě toho, že DoubleLocker je ransomware, vychází ze základu konkrétního, již zdokumentovaného bankovního trojanu. Podle Štefanka dokáže snadněji přidávat funkce pro získávání pověření uživatelů a zneužívání jejich účtů. </p><p>„Dodatečné funkce povyšují tento malware na něco, co lze nazvat vyděračským bankovním trojanem,“ říká Lukáš Štefanko, který podle svých slov v květnu letošního roku zaznamenal testovací verzi tohoto bankovního trojanu. DoubleLocker se podle něj zatím vyskytuje pouze v Evropě, zejména v Polsku, Turecku a Německu. Ojedinělé případy jsou v Bělorusku a Estonsku. Uživatele v České republice zatím nenapadl.</p><p>Prohlédněte si video, jakým způsobem dochází k infekci mobilního zařízení malwarem DoubleLocker: <a href="https://www.youtube.com/watch?v=odSWGPLEqt0" target="_blank">https://www.youtube.com/watch?v=odSWGPLEqt0</a>. Více informací o malwaru DoubleLocker naleznete v článku na oficiálním blogu společnosti ESET <a href="http://www.welivesecurity.com/" target="_blank">www.welivesecurity.com</a>. <br></p>0
Ransomware Locky v září masivně útočil ve světě i v ČR.http://www.antivirus.cz/Blog/Stranky/ransomware-locky-v-zari-masivne-utocil-ve-svete-i-v-cr.aspxRansomware Locky v září masivně útočil ve světě i v ČR.<p> <strong>​Ze zprávy společnosti Check Point vyplývá, že v září probíhala masivní kampaň ransomwaru Locky, čímž se tento ransomware stal druhým nejčastěji používaným malwarem na světě. </strong></p><p>Check Point zveřejnil zářijový Celosvětový index dopadu hrozeb, který odhalil masivní nárůst celosvětových útoků ransomwaru Locky, který ovlivnil 11,5 procent organizací po celém světě.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila i v září mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 119. příčce. Naopak Slovensko poskočilo mezi nebezpečnější země a posunulo se o 29 míst na 90. pozici. Na prvním místě se v Indexu hrozeb umístila podruhé za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenal Irák, který se posunul o 75 míst na 23. příčku. Naopak Spojené arabské emiráty se posunuly z 33. příčky na bezpečnější 110. pozici.</p><p>Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016, ale v září vylétl o 25 příček až na druhé místo, hned za malvertisingovou kampaň RoughTed. Za vzestupem stál botnet Necurs, který se sám objevil na desátém místě. HackerDefender, uživatelský rootkit pro Windows, který byl v srpnu třetím nejčastějším malwarem, vypadl z Top 10. </p><p>Locky se poprvé začal šířit v únoru 2016 a rychle se stal jednou z nejvýznamnějších malwarových rodin. Šíří se primárně prostřednictvím nevyžádaných e-mailů, které obsahují downloader maskovaný jako příloha ve formátu word nebo zip, která obsahuje škodlivá makra. Když uživatelé aktivují tato makra, příloha stáhne a nainstaluje malware, který zašifruje soubory uživatelů. Následně je uživatel nasměrován, aby stáhl prohlížeč Tor a navštívil webovou stránku vyžadující platbu v bitcoinech. V červnu 2016 vydal botnet Necurs aktualizovanou verzi Lockyho, která využívala nové techniky umožňující vyhnout se detekci.</p><p>Nová vlna ransomwaru Locky ukazuje, že organizace nikdy nesmí usnout na vavřínech. Kyberzločinci neustále hledají způsoby, jak vylepšit stávající nástroje, aby byly znovu účinné. Navíc výkonné botnety mohou dát starým variantám novou sílu i pro celosvětové útoky. Každá desátá organizace byla v září ovlivněna ransomwarem Locky, což ukazuje, že i stávající malware může být stejně nebezpečný jako zcela nové varianty.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↑ Locky</strong> - Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.<br><strong>3. ↓ Globeimposter</strong> - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</p><p>Nejčastěji použitým malwarem k útokům na podniková mobilní zařízení byl škodlivý kód Triada, který se na první příčku posunul z 3. pozice:</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. Hiddad</strong> - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení</p><p>„Pokud ještě nějaká organizace pochybovala o nebezpečnosti ransomwaru, tyto statistiky by jí měly otevřít oči,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Ransomware obsadil 2 ze 3 míst mezi nejpoužívanějším malwarem. První je relativně nová varianta, která se objevila v letošním roce, a druhá ransomwarová rodina je starší a momentálně zažívá svůj restart. Stačí, aby se jeden jediný zaměstnanec stal obětí sociálního inženýrství a celá organizace se může dostat do velmi vážných problémů.“ </p><p>Check Point věří, že je důležité nasadit vícevrstvou kyberbezpečnostní strategii, která ochrání před stávajícími malwarovými rodinami i před zcela novými hrozbami nultého dne. Efektivní kyberbezpečnostní nástroje využívají nejenom analýzu na základě signatur, ale odhalí i podezřelé chování a obecné znaky, jako jsou vložená makra v dokumentech. Takový přístup mají například řešení SandBlast Zero-Day Protection a Mobile Threat Prevention.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Ransomware Locky ukázal v září sílu i v České republice a stal se nejpoužívanějším škodlivým kódem k útokům na podnikové sítě. Na druhém místě se stejně jako v srpnu umístil ransomware Globeimposter a na třetí místo z první příčky klesla malvertisingová kampaň RoughTed.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – září 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">Locky</td><td class="ms-rteTable-default">Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.</td></tr><tr><td class="ms-rteTable-default">Globeimposter</td><td class="ms-rteTable-default">Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">CConficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Zeus</td><td class="ms-rteTable-default">Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.<br>Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.<br>V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.</td></tr><tr><td class="ms-rteTable-default">Rig ek</td><td class="ms-rteTable-default">Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.<br>Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.</td></tr><tr><td class="ms-rteTable-default">Triada</td><td class="ms-rteTable-default">Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.</td></tr><tr><td class="ms-rteTable-default">Teslacrypt</td><td class="ms-rteTable-default">TeslaCrypt je ransomware, který byl poprvé zachycen v únoru 2015 a původně se zaměřoval na počítačové hráče, protože infikoval stroj při instalaci her. Po infikování vyhledával soubory s konkrétními příponami, které jsou spojené se 40 různými hrami a šifroval je. Mezi šifrovanými soubory byly uložená data, profily hráčů a podobně. TeslaCrypt se obvykle šířil pomocí běžných exploit kitů, jako Angler, Nuclear nebo Fiesta. V květnu 2016 vývojáři ransomware odstavili a zveřejnili dešifrovací master klíč. Zdá se, že operátoři škodlivého softwaru se místo toho zaměřili na distribuci ransomwaru CryptXXX.</td></tr><tr><td class="ms-rteTable-default">Taskdespy</td><td class="ms-rteTable-default">Taskdespy je trojan, který cílí na platformu Windows. Malware shromažďuje systémové informace a odesílá je na vzdálený server. Navíc nahrává citlivé soubory z infikovaného sytému na server.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a>.</p>0
ESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.http://www.antivirus.cz/Blog/Stranky/eset-upozornuje-na-falesne-souteze-na-facebooku-obeti-mohou-prijit-o-penize.aspxESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.<p>​Bezpečnostní společnost ESET varuje internetové uživatele v České republice a na Slovensku před falešnými soutěžemi na Facebooku, které zneužívají důvěřivosti lidí. Oběti mohou v konečném důsledku přijít o peníze tím způsobem, že od nich správci těchto soutěží vymámí osobní údaje, číslo platební karty, datum její platnosti a CVC/CVV číslo ze zadní strany karty. Jde o údaje nezbytné pro uskutečnění online transakce s platební kartou oběti.</p><p>Několik facebookových stránek slibuje lidem jako výhru luxusní auta, mobilní telefony nebo pračky. Tyto podvodné soutěže, které pravděpodobně pochází ze Slovenska, mají již více než 39 tisíc lajků.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_01.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Pro účast v těchto falešných soutěžích stačí lajkovat celou facebookovou stránku, nebo sdílet a komentovat příspěvek a šířit tak podvod mezi své facebookové přátele,“ upozorňuje Václav Zubr, bezpečnostní expert společnosti ESET. </p><p>Principem této falešné soutěže je, že „vyhrává“ každý. Soutěžícímu se následně přes zprávu na Facebooku ozve falešný vyhlašovatel soutěže a vyžádá si od něj osobní údaje a informace o platební kartě. Jako důvod uvádí ověření identity vítěze. Přestože řada stránek již byla smazána či zablokována, některé z nich (například <a href="https://www.facebook.com/vyhrajemtodnes" target="_blank">Vyhraj to</a> a <a href="https://www.facebook.com/vyhernyden1/">Výherní den</a>) jsou však stále ještě aktivní.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_02.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Internetoví uživatelé by si měli jednou provždy uvědomit, že ne vše, na co na internetu narazí, je pravdivé. Pokud to je zároveň příliš dobré na to, aby to byla pravda, jde s největší pravděpodobností o podvod,“ dodává Zubr.</p><p>ESET zároveň upozorňuje na novou vlnu podvodu se slevami na značkové brýle RayBan, jež se šíří rovněž přes Facebook. Tentokrát jde o lokalizovanou verzi ve slovenštině. Cílem této škodlivé kampaně je šíření podvodných stránek, které sbírají údaje o platebních kartách uživatelů. Weby jsou, <a href="/Blog/Stranky/na-facebooku-a-twitteru-se-siri-podvodna-kampan-zneuzivajizi-znacku-ray-ban-cilem-je-ziskat-udaje-o-platebnich-kartach.aspx">stejně jako v minulosti</a>, propagované prostřednictvím fotografií výprodeje značkových slunečních brýlí RayBan. Útočník však pouze zneužívá značku známého výrobce a společnost Ray Ban ani její distributoři nejsou autory falešné slevy, která může dosahovat výše až 90 procent.<br></p>0
Nebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.http://www.antivirus.cz/Blog/Stranky/nebezpeci-emailovych-priloh-js-danger-pominulo-v-zari-byl-nejvetsi-hrozbou-trojan-js-chromex.aspxNebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.<p><strong>​Podíl detekcí jednotlivých škodlivých kódů v Česku byl v září podle statistiky společnosti ESET velmi vyrovnaný.</strong></p><p>Žebříček nejčastějších internetových hrozeb v České republice za měsíc září vedl trojský kůň JS/Chromex.Submelius. Jeho podíl na celkových virových hrozbách byl 7,34 procenta. Po více než roce z čela žebříčku sestoupil JS/Danger.ScriptAttachment. Ten ještě v loňském měsíci držel bezmála čtvrtinový podíl, nyní je to méně než 3 procenta.</p><p>„Zajímavý je výrazný pokles podílu JS/Danger.ScriptAttachment, který už druhým rokem v našich statistikách měsíc, co měsíc vedl. Nabízí se vysvětlení, že přestává fungovat tento distribuční mechanismus, tudíž od něj útočníci upouští a budou se snažit najít jiný způsob,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.</p><p>Trojský kůň JS/Chromex.Submelius, jenž se v září stal nejčastěji zachyceným škodlivým kódem, se šíří prostřednictvím neoficiálních streamovacích služeb. Uživatelům nabízí instalaci škodlivých pluginů pro internetový prohlížeč Chrome. Ačkoli tyto pluginy mají zajistit rychlejší načítání internetových stránek, obvykle způsobují opak. JS/Chromex.Submelius se v České republice poprvé četněji vyskytl letos v březnu, kdy byl pátou nejčastěji zachycenou hrozbou. V červenci pak v četnosti výskytu téměř dotáhl vedoucí JS/Danger.ScriptAttachment.</p><p>Druhým nejčetnějším škodlivým kódem byl v září JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. Může například oběť přesměrovat na web útočníka,“ vysvětluje Miroslav Dvořák. V září představoval JS/ProxyChanger zhruba každou třicátou hrozbu, dosáhl podílu 3,18 procenta. Virovou trojkou v září byl Java/Adwind, další trojský kůň, který slouží jako backdoor a umožňuje vzdálené ovládání napadaného zařízení.</p><p>Dlouhodobá jednička mezi českými internetovými hrozbami, škodlivá e-mailová příloha JS/Danger, se v září propadla v žebříčku četnosti na páté místo a podílem 2,93 procenta si meziměsíčně pohoršila o víc než 20 procentních bodů. </p><h2>Deset nejčastějších internetových hrozeb v České republice za září 2017:</h2><p>1. JS/Chromex.Submelius (7,34 %)<br>2. JS/ProxyChanger (3,18 %)<br>3. Java/Adwind (3,17 %)<br>4. VBS/TrojanDownloader.Agent.PFE (2,98 %)<br>5. JS/Danger.ScriptAttachment (2,93 %)<br>6. Win32/RiskWare.PEMalform (2,40 %)<br>7. SMB/Exploit.DoublePulsar (2,31 %)<br>8. Win32/GenKryptik (1,95 %)<br>9. JS/Adware.AztecMedia (1,87 %)<br>10. VBS/TrojanDownloader.Agent.PGF (1,86 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-zari-2017.png" alt="" style="margin:5px;width:650px;" /> </p>0
Kyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.http://www.antivirus.cz/Blog/Stranky/kyberzlocinci-v-srpnu-vyuzivali-ransomware-a-sirokou-skalu-bankovnich-trojanu.aspxKyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.<p>Ze zprávy společnosti Check Point vyplývá, že Roughted zůstal nejčastěji použitým malwarem k útokům na podnikové sítě, následovaly škodlivé kódy Globalimposter a HackerDefender.</p><p>Check Point zveřejnil srpnový Celosvětový index dopadu hrozeb, podle kterého byly v srpnu bankovní trojské koně velmi oblíbeným nástrojem kyberzločinců.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v srpnu mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 122. příčce. Podobně si vedlo i Slovensko, které skončilo na 119. pozici. Na prvním místě se v Indexu hrozeb umístila Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Uruguay, která se posunuly o 75 míst na 47. příčku. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.</p><p>Do Top 10 škodlivých kódů se dostaly bankovní trojany Zeus, Ramnit a Trickbot. Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údajů a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky.</p><p>Srpnový Celosvětový index dopadu hrozeb také odhalil, že ransomware Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.</p><p>„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní.“</p><p>Roughted zůstal i během srpna nejčastěji použitým malwarem k útokům na podnikové sítě, přestože celosvětově klesl jeho dopad z 18 % na méně než 12% organizací. Globalimposter na druhém místě ovlivnil 6 % organizací z celého světa a HackerDefender na třetím místě měl dopad na 4 % společností.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↑ Globeimposter</strong> - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.<br><strong>3. ↓ HackerDefender</strong> - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.</p><p>Hummingbad, který se v první polovině roku 2017 pokaždé umístil v Top 10 škodlivých kódů, zaznamenal výrazný pokles. Naopak Triada se posunula na první příčku ze třetí pozice a následovaly škodlivé kódy Hiddad a Gooligan:</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. Hiddad</strong> – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. Gooligan</strong> – Malware pro Android umí rootovat zařízení a krást e-mailové adresy a autentizační tokeny uložené v zařízení.</p><p>Srpnový Index hrozeb ukazuje, jak je oblast kyberhrozeb různorodá a dynamická. Před několika měsíci byl Hummingbad zcela dominantní, ovšem v srpnu se nedostal ani do Top 10. Naopak výrazný byl především ransomware a na vzestupu jsou bankovní trojské koně.</p><p>„Je důležité, aby organizace znaly rizika a neustále měly aktuální ochranu proti dobře známým malwarovým rodinám, novým variantám i novým hrozbám nultého dne,“ dodává Kovalčík. „Vyžaduje to vícevrstvou bezpečnostní strategii, která dokáže reagovat na nejrůznější neustále se vyvíjející typy útoků.“</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR je na prvním místě stále malvertisingová kampaň RoughTed, na druhém místě Globeimposter a na třetím HackerDefender.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – srpen 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Globeimposter</td><td class="ms-rteTable-default">Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">CConficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Tinba</td><td class="ms-rteTable-default">Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.<br>Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.<br>Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Trickbot</td><td class="ms-rteTable-default">Bankovní trojan, který je variantou Dyre, byl objeven v říjnu 2016. Trickbot může stahovat pokyny z řídících a velících serverů, když se oběti pokusí navštívit webové stránky, na rozdíl od většiny bankovních trojanů, které aktualizují své konfigurace periodicky. Tato funkce pomáhá Trickbotu vyhnout se chybám způsobeným zastaralou konfigurací, což by jinak mohlo vést k jeho objevení.</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.</td></tr><tr><td class="ms-rteTable-default">Datan</td><td class="ms-rteTable-default">Nepříznivě ovlivňuje výkon počítače.</td></tr><tr><td class="ms-rteTable-default">MagicHoundFetch</td><td class="ms-rteTable-default">MagicHoundFetch je trickler, který cílí na platformu Windows. Tento malware byl údajně používán v pokročilé perzistentní útočné kampani působící primárně na Blízkém východě. Malware shromažďuje informace o systému a odesílá je na vzdálený server. Také hlásí serveru svůj stav. Může stáhnout a spustit soubory na infikovaném systému. Navíc infikuje spouštěcí klíč v registru, aby přežil restart systému.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a>.</p>0