Antivirus Blog
blog o bezpečnosti

 

 

Jubilejní 25. ročník konference SECURITYhttp://www.antivirus.cz/Blog/Stranky/jubilejni-25-rocnik-konference-security.aspxJubilejní 25. ročník konference SECURITY<p>Tradiční konference SECURITY slaví v letošním roce své jubileum. Uskuteční se již po pětadvacáté. Za dobu své existence si našla pevné místo v kalendářích českých a slovenských bezpečnostních manažerů, specialistů a auditorů. V loňském roce přivítala více než pět set účastníků a svojí velikostí patří mezi největší IT security akce na našem území.</p><h2>Konference SECURITY 2017</h2><p><strong>Termín: </strong>čtvrtek 23. února 2017<br><strong>Čas: </strong>9:00 – 17:30<br><strong>Místo konání: </strong>Hotel Clarion, Freyova 33, Praha 9<br><strong>Web: </strong><a href="http://www.konferencesecurity.cz/">www.konferencesecurity.cz</a> </p><p>Hlavní organizátor konference, společnost <a href="https://www.aec.cz/">AEC</a>, si klade za hlavní cíl udržet konferenci nezávislou, tedy bez marketingově a obchodně zaměřených prezentací. Velký důraz klade na odbornou úroveň jednotlivých přednášek a maximální přínos pro účastníky. Mezi řečníky vystoupí řada zahraničních odborníků z oblasti IT bezpečnosti, posluchačům se tak naskýtá unikátní možnost srovnání aktuální situace u nás a v cizině.</p><p>Konference je rozdělena na manažerskou a technickou sekci. Přednášky v jednotlivých sálech probíhají zcela synchronně, účastníci mohou mezi sály volně přecházet a sestavit si tak vlastní program, který plně vyhovuje jejich zájmům. </p><p>Prezentace v technickém sále se zaměří na velmi aktuální problém ransomwaru a s tím související detekce malwaru, útoky a zabezpečení Internetu věcí (Internet of Things) a řízení a správu privilegovaných účtů. V manažerském sále bude dominovat horké téma GDPR. Na základě vyhodnocení loňské návštěvnické ankety celý program opět doplní vysoké množství případových studií. </p><p><img src="/Blog/PublishingImages/Clanky/2016/security-2016-0401.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Jedním z mnoha doplňkových programů je oblíbená testovací laboratoř, ve které si účastníci mohou sami vyzkoušet hackerské techniky a ověřit si své znalosti formou soutěže.</p><p><img src="/Blog/PublishingImages/Clanky/2016/martin-klubal-2014.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Více informací o konferenci včetně podrobného programu a možnosti on-line registrace najdete na webu <a href="http://konferencesecurity.cz/">http://konferencesecurity.cz</a>. Zde také naleznete archív minulých ročníků včetně fotogalerií, reportáží a dalších užitečných informací.<br></p>1
Check Point odhalil, jak mohou hackeři jednoduše a rychle převzít kontrolu na stovkami milionů účtů WhatsApp a Telegramhttp://www.antivirus.cz/Blog/Stranky/check-point-odhalil-jak-mohou-hackeri-jednoduse-a-rychle-prevzit-kontrolu-na-stovkami-milionu-uctu-whatsapp-a-telegram.aspxCheck Point odhalil, jak mohou hackeři jednoduše a rychle převzít kontrolu na stovkami milionů účtů WhatsApp a Telegram<p><strong>Nová zranitelnost odhalená v oblíbených komunikačních službách WhatsApp a Telegram umožňuje hackerům získat plnou kontrolu nad účty, včetně chatu, obrázků, videí, zvukových souborů a kontaktů. </strong></p><p>Výzkumníci společnosti Check Point Software Technologies odhalili novou zranitelnost v on-line platformách populárních služeb pro zasílání zpráv WhatsApp a Telegram (WhatsApp Web a Telegram Web). Zneužitím zranitelnosti by mohli útočníci kompletně převzít kontrolu nad uživatelskými účty a získat přístup k osobním i skupinovým konverzacím, fotkám, videím a dalším sdíleným souborům, kontaktům a dalším datům.</p><p>„Nová zranitelnost ohrožuje stovky milionů uživatelů služeb WhatsApp Web a Telegram Web a vystavuje jejich účty riziku kompletního ovládnutí hackery,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point. „Jednoduchým zasláním zdánlivě neškodné fotky mohou útočníci převzít kontrolu nad účtem a získat přístup k historii zpráv, ke všem fotografiím, které kdy byly sdíleny, a odesílat zprávy jménem uživatele.“</p><p>Zranitelnost umožňuje útočníkům poslat oběti škodlivý kód, který je ukryt ve zdánlivě nevinně vypadajícím obrázku. Jakmile uživatel na obrázek klikne, může útočník získat plný přístup k datům oběti ve službách WhatsApp nebo Telegram a převzít kontrolu nad účtem. Útočník pak může poslat škodlivý soubor všem kontaktům oběti, což potenciálně umožňuje masové útoky.</p><p>Check Point o zranitelnosti informoval bezpečnostní týmy WhatsApp a Telegram 8. března 2017. WhatsApp a Telegram uznaly bezpečnostní riziko a vyvinuly opravu pro webové klienty po celém světě. „WhatsApp a Telegram naštěstí rychle a zodpovědně zareagovaly a přijaly a nasadily ve všech webových klientech opatření zmírňující riziko zneužití,“ dodává Petr Kadrmas. Uživatelům webových verzí WhatsApp a Telegram, kteří si chtějí být jisti, že používají nejnovější verze, je doporučeno restartovat webový prohlížeč.</p><p>WhatsApp a Telegram používají na ochranu dat koncové šifrování zpráv, aby bylo zajištěno, že zprávy mohou číst pouze účastníci komunikace. Přesto stejné koncové šifrování bylo zdrojem také této zranitelnosti. Jelikož byly zprávy zašifrovány na straně odesílatele, WhatsApp a Telegram neměly přístup k obsahu, a nemohly tak zabránit odesílání škodlivého obsahu. Po opravě této zranitelnosti je nyní obsah ověřen před zašifrováním, což umožňuje blokovat škodlivé soubory.</p><p>Obě webové verze obsahují všechny zprávy odeslané a přijaté uživatelem v mobilní aplikaci a jsou plně synchronizované s uživatelskými zařízeními.</p><p><strong>WhatsApp </strong>má celosvětově více než 1 miliardu uživatelů, díky čemuž se jedná o nejrozšířenější službu současnosti pro rychlé zasílání zpráv. Webová verze je dostupná ve všech prohlížečích a v podporovaných platformách, včetně chytrých telefonů Android, iPhone (iOS), Windows Phone 8.x, BlackBerry, BB10 a Nokia.</p><p><strong>Telegram </strong>je cloudová komunikační služba pro mobilní zařízení a počítače, která má měsíčně více než 100 milionů aktivních uživatelů a každý den doručí přes 15 miliard zpráv.</p><p>Více technických informací najdete na blogu společnosti Check Point: <a href="http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/" target="_blank">http://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/</a>. </p><h2>Videoukázky jsou k dispozici zde:</h2><p>WhatsApp: <a href="https://youtu.be/UR_i5XSAKrg" target="_blank">https://youtu.be/UR_i5XSAKrg</a><br>Telegram: <a href="https://youtu.be/26Ih4xTcP-E" target="_blank">https://youtu.be/26Ih4xTcP-E</a><br></p><p><img src="/Blog/PublishingImages/Clanky/2017/WhatsApp_Telegram_utocna_metoda.jpg" alt="" style="margin:5px;width:650px;" /> </p>0
ESET vytvořil dešifrovací nástroj pro ransomware Crysishttp://www.antivirus.cz/Blog/Stranky/eset-vytvoril-desifrovaci-nastroj-pro-ransomware-crysis.aspxESET vytvořil dešifrovací nástroj pro ransomware Crysis<p>​Společnost ESET vydala aktualizovanou verzi svého volně dostupného nástroje ESET Decryptor pro oběti ransomware kampaní. Uživatelé, jejichž data nebo zařízení byla zasažena ransomwarem z rodiny Crysis (ESET jej detekuje jako Win32/Filecoder.Crysis), mohou nyní zdarma získat zpět své napadené soubory díky rozšíření dekryptovacího nástroje, který je schopen rozšifrovat soubory s koncovkou .dharma.</p><p>Dešifrovací nástroj společnosti ESET se současnou aktualizací může pomoci obětem šesti unikátních variant této specifické rodiny ransomware. Každou z nich lze identifikovat pomocí vlastní přípony: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma.</p><p>„Crysis je typ ransomware, který byl využit i pro řadu útočných kampaní v České republice. Nejčastěji se tak dělo pomocí malwaru šířeného v přílohách e-mailů, které následně tento ransomware stáhl do zařízení uživatele,“ říká Pavel Matějíček, manažer technické podpory společnosti ESET, a dodává: „Pokud jste se stali jeho obětí, můžete si na internetové stránce společnosti ESET najít a zdarma stáhnout ESET Crysis Decryptor. Pokud potřebujete další informace o tom, jak tento nástroj používat, naleznete je v <a href="https://servis.eset.cz/knowledgebase/article/View/635/46/jak-pouzit-nastroj-eset-crysis-decrypter-pro-desifrovani-dat" target="_blank">databázi znalostí společnosti ESET</a>.“</p><p>Rodina ransomware Crysis se dostala do popředí zájmu poté, co jeden z jejích hlavních „konkurentů“, TeslaCrypt, ukončil v první polovině loňského roku veškeré škodlivé operace. Od té doby zaznamenal ESET zájem více než 50 tisíc uživatelů z celého světa o bezplatné dešifrovací nástroje pro tyto dvě rodiny vyděračského malware.</p><p>Decryptor byl aktualizován dešifrovacími klíči, které byly nedávno zveřejněny na webu BleepingComputer.com. Jde o obdobnou situaci, která nastala v listopadu 2016 uvolněním klíčů pro starší varianty tohoto škodlivého kódu.<br></p>0
Předinstalovaný malware je novou zákeřnou hrozbouhttp://www.antivirus.cz/Blog/Stranky/predinstalovany-malware-je-novou-zakernou-hrozbou.aspxPředinstalovaný malware je novou zákeřnou hrozbou<p>​Technologie Check Point Mobile Threat Prevention odhalila závažnou infekci ve 38 zařízeních se systémem Android ve velké telekomunikační společnosti a nadnárodní technologické společnosti. I když to není nic neobvyklého, jeden detail útoků je velmi zajímavý. Ve všech případech nebyl malware stažen do zařízení uživatelem, ale hrozba už byla v zařízení předinstalovaná.</p><p>Malware byl v zařízeních ještě předtím, než je uživatelé obdrželi, ale škodlivé aplikace nebyly součástí oficiální ROM dodaném výrobcem a byly přidány až někde během dodavatelského řetězce. V šesti případech byl malware navíc přidán pomocí systémových oprávnění přímo do ROM zařízení, takže hrozba nemohla být odstraněna uživatelem a zařízení muselo být přeflashováno.</p><p>Výzkumný tým byl schopen určit, kdy výrobce dokončil instalaci systémových aplikací, kdy byl nainstalován malware a kdy uživatel zařízení dostal.</p><p>Ve většině případů objevený předinstalovaný malware na zařízeních kradl informace a generoval zisky ze zobrazování nelegitimní reklamy. V jednom případě se jednalo o mobilní ransomware Slocker. Slocker používá šifrovací algoritmus AES pro zašifrování všech souborů na zařízení a za poskytnutí dešifrovacího klíče požadoval výkupné. Slocker používá pro komunikaci s C&C serverem anonymní síť Tor.</p><h2>Riziko předinstalovaného malwaru</h2><p>Obecným pravidlem je, že by se uživatelé měli vyhnout riskantním webovým stránkám a měli by stahovat aplikace pouze z oficiálních a důvěryhodných zdrojů. Nicméně jen dodržovat tyto pokyny nestačí. Předinstalovaný malware ohrožuje bezpečnost i těch nejpečlivějších uživatelů. Navíc uživatel, který obdrží zařízení s malwarem, není schopen zaznamenat jakékoliv změny v činnosti přístroje, které se často vyskytují po instalaci malwaru.</p><p>Objevení předinstalovaného malwaru vyvolává řadu znepokojivých otázek ohledně mobilní bezpečnosti. Uživatelé mohou dostat zařízení, které obsahuje zadní vrátka nebo je rootované bez jejich vědomí. Pro ochranu před normálním i předinstalovaným malwarem by měli uživatelé používat pokročilá bezpečnostní opatření, která mohou identifikovat a blokovat jakoukoliv anomálii v chování zařízení.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/" target="_blank">http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/</a><br></p>0
Adware Skinner využívá nové maskovací techniky a na Google Play už ohrozil tisíce uživatelůhttp://www.antivirus.cz/Blog/Stranky/adware-skinner-vyuziva-nove-maskovaci-techniky-a-na-google-play-uz-ohrozil-tisice-uzivatelu.aspxAdware Skinner využívá nové maskovací techniky a na Google Play už ohrozil tisíce uživatelů<p>​Na Google Play byla objevena nová hrozba, která navazuje na dříve objevené škodlivé kódy Viking Horde, DressCode, CallJam a některé další. Malware nazvaný „Skinner“ byl vložen do herní aplikace, kterou si stáhlo už více než 10 000 uživatelů a podařilo se jí ukrývat na Google Play přes dva měsíce. Skinner sleduje polohu a aktivity uživatelů a může vzdáleně spustit kód z velícího a řídícího (Command and Control) serveru bez souhlasu uživatele. Aplikace byla odstraněna z Google Play po té, co společnost Check Point kontaktovala bezpečnostní tým Google. Adware je celkem běžnou hrozbou, ale Skinner využívá nové sofistikované techniky, které mu pomáhají vyhnout se detekci a maximalizovat zisky nebývale přesným cílením na uživatele.</p><p>Malware obsahuje škodlivou knihovnu, která se rozbalí až po instalaci na zařízení. Skinner maskuje škodlivé části svého kódu, aby unikl odhalení. Škodlivé aktivity se spustí až poté, co malware detekuje aktivitu uživatele, jako je například spuštění aplikace. Je to jen další snaha obejít bezpečnostní opatření. Aplikace si tak kontroluje, jestli je spuštěna skutečným uživatelem nebo testována ochranou technologií. Navíc kontroluje řadu dalších podmínek, než se spustí, včetně absence připojeného debuggeru, emulátoru hardwaru a zda byla instalace provedena z Google Play. Všechna tato opatření znesnadňují detekci a odhalení hrozby. Po aktivaci posílá malware svému C&C serveru data o zařízení, která obsahují polohu a spuštěné aplikace a zároveň si vyžádává reklamy k zobrazení.</p><p>Skinner využívá pokročilé postupy pro zobrazení nelegitimní reklamy, aniž by vzbudil podezření. Zvyšuje tak pravděpodobnost, že uživatel na takovou reklamu klikne. Namísto pouhého zobrazení jakékoliv reklamy, malware kontroluje, jaký typ aplikace uživatel aktuálně používá a zobrazí odpovídající reklamu. Jedná se o zcela nové chování pro mobilní adware. Tento druh „marketingu“ na míru výrazně zvyšuje úspěšnost malwaru.</p><p>„Tato taktika je unikátní a zcela inovativní. Většina adwaru spoléhá na masové šíření. Skinner jde naopak cestou přesně cíleného infikování menšího počtu uživatelů, což ve výsledku generuje stejné příjmy, ale minimalizuje se riziko odhalení. Podobný přístup zcela jistě začnou využívat a ještě zdokonalí další adwary,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe, Check Point Software Technologies.</p><p>I když se nejedná o masivní útok, Skinner znovu ukazuje, že uživatelé se nemohou spoléhat jen na stahování aplikací z legitimních obchodů. Pokud chtějí být v bezpečí, musí pro svou ochranu využívat i pokročilé bezpečnostní technologie. Skinner nejenom že nekopíruje běžně používané postupy, ale využívá modifikované maskovací techniky, takže je mnohem těžší jej odhalit. Hrozby se tak zase posouvají na novou úroveň.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/03/08/skinner-adware-rears-ugly-head-google-play/" target="_blank">http://blog.checkpoint.com/2017/03/08/skinner-adware-rears-ugly-head-google-play/</a></p>0
Malware Danger opět posiluje, v únoru zdvojnásobil svůj podíl na internetových hrozbách v Českuhttp://www.antivirus.cz/Blog/Stranky/malware-danger-opet-posiluje-v-unoru-zdvojnasobil-svuj-podil-na-internetovych-hrozbach-v-cesku.aspxMalware Danger opět posiluje, v únoru zdvojnásobil svůj podíl na internetových hrozbách v Česku<p><strong>​Zvýšil se podíl i škodlivých kódů Adwind a Nemucod, zjistil ESET. Převažuje malware, který se šíří pomocí příloh e-mailů. </strong></p><p>Malware Danger, který v loňském roce představoval hlavní internetovou hrozbu v České republice, se vrací. V únoru znamenal Danger, který ESET detekuje jako JS/Danger.ScriptAttachment, každou pátou zachycenou hrozbu. Jde o downloader, který může do napadeného zařízení stahovat další škodlivé kódy včetně vyděračského ransomware. Jeho nárůst potvrdila pravidelná měsíční statistika společnosti ESET.</p><p>„V lednu jsme zaznamenali výrazný pokles detekcí tohoto malware. Z měsíce na měsíc se snížil o 40 procentních bodů. V únoru se však podíl downloaderu Danger na celkových internetových hrozbách začal znovu zvyšovat až na více než 20 procent,“ konstatuje Miroslav Dvořák, technický ředitel společnosti ESET.</p><p>V únoru však posiloval i škodlivý kód Adwind, který představoval 6,86 procenta zachycených detekcí. Jde o backdoor, který cílí na systémy podporující Java runtime prostředí. „Adwind funguje jako zadní vrátka. To znamená, že odesílá informace o napadeném systému a přijímá příkazy od vzdáleného útočníka. Může jít například o zobrazení zprávy v systému, otevření konkrétní internetové stránky, aktualizaci malware nebo stažení a spuštění nějakého souboru,“ vypočítává Miroslav Dvořák.</p><p>Třetí nejčetnější virovou hrozbou v Česku byl v únoru downloader Nemucod. Stejně jako Danger dokáže stahovat do napadeného zařízení další škodlivé kódy. Šíří se nejčastěji jako škodlivá příloha e-mailů. V únoru představoval 6,33 procenta ze všech detekovaných internetových hrozeb v tuzemsku.</p><h2>Top 10 hrozeb v České republice za únor 2017:</h2><p>1. JS/Danger.ScriptAttachment (20,94 %)<br>2. Java/Adwind (6,86 %)<br>3. JS/TrojanDownloader.Nemucod (6,33 %)<br>4. JS/ProxyChanger (4,36 %)<br>5. JS/TrojanDownloader.Agent.PQT (2,48 %)<br>6. Win32/Adware.ELEX (1,56 %)<br>7. Win32/Packed.VMProtect.AAA (1,56 %)<br>8. Win32/Packed.VMProtect.ABO (1,48 %)<br>9. JS/Kryptik.RE (1,24 %)<br>10. Win32/GenKryptik (1,24 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-unor-2017.png" alt="" style="margin:5px;width:650px;" /><br> </p>0
Počet útoků ransomware na Android loni vzrostl o 50 procenthttp://www.antivirus.cz/Blog/Stranky/pocet-utoku-ransomware-na-android-loni-vzrostl-o-50-procent.aspxPočet útoků ransomware na Android loni vzrostl o 50 procent<p>​Společnost ESET zaznamenala v roce 2016 rekordní nárůst detekcí ransomware na zařízeních s operačním systémem Android. Jde o typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné. Loni šlo o historicky nejvyšší počet pokusů o infikování zařízení s Androidem tímto způsobem. ESET, který má tato data k dispozici díky svojí technologii LiveGrid, bude svoje zjištění prezentovat na Mobile World Congressu (MWC), který se koná 27. února až 2. března 2017 v Barceloně. Stánek společnosti ESET se nachází v kongresové hale 5 na pozici B05.</p><p>„I když jsme celkově zaznamenali nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomware na tuto platformu rostou mnohem rychleji. Nejvyšší nárůst zaznamenal ESET v první polovině roku 2016, rozhodně bychom si ale nedovolili říci, že tato hrozba v dohledné době pomine,“ říká technologický ředitel společnosti ESET Juraj Malcho, který se bude tomuto tématu věnovat ve své prezentaci během MWC 2017.</p><p><img src="/Blog/PublishingImages/Clanky/2017/android-ramsoware-eset.png" alt="" style="margin:5px;width:650px;" /> </p><p>Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomware (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malware útočící na počítače. Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro operační systém Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují a nebo ho skrývají hlouběji do infikovaných aplikací.</p><p>V průběhu roku 2015 společnost ESET zaznamenala, že zájem tvůrců ransomware, které cílí na Android, se přesunul z východní Evropy do USA a zaměřuje se na uživatele mobilních telefonů. Nicméně v loňském roce se ukázalo, že útočníci stále více míří i na asijský trh. „Určitě můžeme konstatovat, že se z ransomware na Androidu stala plnohodnotná globální hrozba,“ dodává Juraj Malcho.</p><p>Máte-li zájem o kompletní informace o této hrozbě, přečtěte si whitepaper „Trendy v ransomware na Androidu“, který je k dispozici na zpravodajském webu společnosti ESET <a href="http://www.welivesecurity.com/wp-content/uploads/2017/02/ESET_Trends_2017_in_Android_Ransomware.pdf" target="_blank">WeLiveSecurity.com</a>. <br></p>0
Počet ransomwarových útoků se ve 2. polovině roku 2016 zdvojnásobilhttp://www.antivirus.cz/Blog/Stranky/pocet-ransomwarovych-utoku-se-ve-2-polovine-roku-2016-zdvojnasobil.aspxPočet ransomwarových útoků se ve 2. polovině roku 2016 zdvojnásobil<p> <strong>​Check Point zveřejnil zprávu „H2 2016 Global Threat Intelligence Trends Report“, která upozorňuje na klíčové trendy v oblasti malwarových útoků na podnikové sítě a mobilní zařízení. </strong></p><p>Check Point Software Technologies zveřejnil zprávu „H2 2016 Global Threat Intelligence Trends“, podle které se počet ransomwarových útoků v druhé polovině roku 2016 zdvojnásobil. V rámci všech celosvětově detekovaných malwarových incidentů v období od července do prosince 2016 se zvýšil podíl ransomwarových útoků z 5,5 % na 10,5 %.</p><p>Zpráva upozorňuje na klíčové taktiky používané kyberzločinci k útokům na organizace a přináší podrobný přehled o kyberhrozbách v hlavních malwarových kategoriích: ransomware, bankovní a mobilní malware. Zpráva vychází z informací a dat z celosvětové mapy hrozeb Check Point ThreatCloud World Cyber <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">Threat Map</a> a mapuje období mezi červencem a prosincem 2016.</p><h2>Klíčové trendy</h2><p>Výzkumníci společnosti Check Point upozorňují na některé zásadní trendy, které se objevily ve 2. polovině roku 2016:</p><ul><li><strong>Monopol na ransomwarovém trhu </strong>– V roce 2016 byly detekovány tisíce nových ransomwarových variant a v posledních měsících jsme byli svědky další změny. Ransomware je stále více a více centralizovaný a několik významných malwarových rodin dominuje celému trhu a útočí na organizace všech velikostí. </li><li><strong>DDoS útoky prostřednictvím zařízení internetu věcí </strong>- V srpnu 2016 byl objeven nechvalně známý botnet Mirai, vůbec první botnet internetu věcí, který napadá zranitelná zařízení s připojením k internetu, jako jsou digitální videokamery (DVR) a bezpečnostní kamery (CCTV). Infikovaná zařízení jsou následně využívána k DDoS útokům. Nyní je zřejmé, že zranitelná zařízení internetu věcí jsou používána v téměř každé domácnosti a masivní DDoS útoky, které je zneužívají, budou stále běžnější. </li><li><strong>Nové typy souborů používané ve spamových kampaních </strong>– Pro šíření malwarové infekce byly v rámci spamových kampaní nejčastěji použity downloadery s Windows Script (WScript) jádrem. Downloadery naprogramované v JavaScriptu (JS) a VBScriptu (VBS) dominovaly e-mailovému spamu spolu s podobnými dosud méně známými formáty, jako jsou JSE, WSF a VBE.</li></ul><h2>Top malware ve 2. polovině roku 2016:</h2><p><strong>1. Conficker (14,5 %) - </strong>Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.<br><strong>2. Sality (6,1 %) - </strong>Vir, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.<br><strong>3. Cutwail (4,6 %) - </strong>Botnet nejčastěji využívaný pro rozesílaní nevyžádaných e mailů a DDOS útoky. Jakmile je malware nainstalovaný, boty se připojí přímo k C&C serveru a přijímají pokyny o e mailech, které mají rozesílat. Jakmile je úkol hotov, bot hlásí spammerům přesné statistiky.<br><strong>4. JBossjmx (4,5 %) - </strong>Červ, který se zaměřuje na systémy s nainstalovanou zranitelnou verzí JBoss Application Server. Malware vytváří nebezpečnou JSP stránku na zranitelném systému, která vykoná libovolné příkazy. Navíc jsou vytvořena další zadní vrátka, která přijímají příkazy ze vzdáleného IRC serveru.<br><strong>5. Locky (4,3 %) - </strong>Ransomware, který byl poprvé detekován v únoru 2016, a šíří se především prostřednictvím spamu s infikovanou wordovou přílohou nebo příohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.</p><h2>Top ransomware ve 2. polovině roku 2016:</h2><p>Podíl ransomwarových útoků se ve druhé polovině roku 2016 téměř zdvojnásobil z 5,5 % na 10,5 %. Nejčastěji detekované varianty byly:</p><p><strong>1. Locky (41 %) – </strong>Locky byl v 1. pololetí 2016 až třetím nejčastějším ransomwarem, ve druhé polovině roku zaznamenal dramatický nárůst. <br><strong>2. Cryptowall (27 %) - </strong>Ransomware začal jako Cryptolocker doppelgänger, ale nakonec jej překonal. Po zastavení Cryptolockeru se stal Cryptowall jedním z nejvýznamnějších ransomwarů. Cryptowall používá AES šifrování a komunikaci s C&C serverem přes anonymní síť Tor. Pro distribuci jsou často využívány exploit kity a malvertisingové a phishingové kampaně. <br><strong>3. Cerber (23 %) - </strong>Největší světový ransomware jako služba. Cerber využívá koncept franšízy pro šíření malwaru a dělení zisků.</p><h2>Top mobilní malware ve 2. polovině roku 2016:</h2><p><strong>1. Hummingbad (60 %) - </strong>Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.<br><strong>2. Triada (9 %) - </strong>Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>3. Ztorg (7 %) – </strong>Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.<br> </p><h2>Top bankovní malware ve 2. polovině roku 2016:</h2><p><strong>1. Zeus (33 %) - </strong>Trojan, který cílí na platformu Windows a je často používán pro krádež bankovních informací pomocí zachytávání stisknutých kláves a získávání dat z webových formulářů.<br><strong>2. Tinba (21 %) – </strong>Bankovní trojan, který krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky.<br><strong>3. Ramnit (16 %) – </strong>Bankovní trojan, který krade bankovní přihlašovací údaje, FTP hesla, cookies a osobní data.<br>  <br>„Zpráva ukazuje podstatu současného kyberprostředí, kde dominuje rychlý nárůst ransomwarových útoků. Důvod je jasný, ransomware prostě funguje a generuje útočníkům zisky. Organizace se snaží efektivně chránit, ale mnoho z nich nepoužívá správné zabezpečení a podceňuje vzdělávání zaměstnanců, kteří by rozpoznáním příznaků útoku mohli zabránit nákladným škodám,“ říká Petr Kadrmas, Security Engineer ve společnosti Check Point Software Technologies.</p><p>„Navíc naše data ukazují, že malý počet rodin je zodpovědných za většinu útoků, zatímco tisíce dalších malwarových rodin útočí jen sporadicky,“ dodává Petr Kadrmas. „Většina kybernetických hrozeb je globálních a nadnárodních, přesto vyčnívá APAC region, ve kterém žebříček Top malwarových rodin obsahuje 5 rodin, které se neobjevují v ostatních regionálních žebříčcích.“</p><p>Statistiky v reportu vychází z online mapy kybernetických hrozeb <a href="https://www.threat-cloud.com/ThreatPortal/#/map" target="_blank">ThreatCloud World Cyber Threat Map</a>, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.<br> <br>Celý report lze stáhnout <a href="/Blog/Documents/H2_SummaryGlobal_Report.pdf">zde</a>.<br></p>0
Bankovní malware šířený SMS již cílí na Českohttp://www.antivirus.cz/Blog/Stranky/bankovni-malware-sireny-sms-jiz-cili-na-cesko.aspxBankovní malware šířený SMS již cílí na Česko<p>​Experti společnosti ESET zachytili první případy nové vlny útoků na banky v Česku a Slovensku prostřednictvím mobilního bankovnictví. Kyberútočníci přitom použili malware pro platformu Android, který se již koncem ledna v Česku šířil, ale cílem byly finanční domy v Německu. Nyní je však již škodlivý kód lokalizován a představuje tak hrozbu pro domácí uživatele.  </p><p>„Na Česko cílí nová vlna malware, který se šíří podvodnými zprávami SMS. Podle aktuálních informací se útočníci prozatím zaměřili jen na ČSOB. Dá se však očekávat, že okruh cílových bank se brzy rozšíří,“ konstatuje Lukáš Štefanko, analytik malware ve společnosti ESET. </p><p>Škodlivý kód typu trojan pro platformu Android je novou variantou již známé rodiny malware, která byla v závěru ledna šířena prostřednictvím falešných SMS zpráv, předstírajících komunikaci České pošty nebo obchodu Alza.cz. </p><p>Malware, který ESET detekuje pod názvem Android\Trojan.Spy.Banker.HV, uživateli při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. Nepozorný uživatel tak nevědomky odešle své přihlašovací údaje podvodníkům a vystaví se hrozbě vykradení účtu. </p><p>V aktuální útočné kampani, která probíhá v Česku a na Slovensku, je tento nebezpečný malware šířen pomocí SMS s odkazem na údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem „Flash Player 10 Update“ a ikonou společnosti DHL. Přestože název aplikace útočníci změnili, ikonu zatím nikoli, což při instalaci v českém nebo slovenském prostředí působí podezřele. </p><p>„K omezení rizik doporučuji dodržovat především dvě základní bezpečností opatření. V prvé řadě je nutné nenechat se přimět k instalování aplikací pomocí odkazů, které mohou vést na podvodnou stránku. Aplikaci, kterou chce uživatel instalovat, je třeba si vždy vyhledat v oficiálním obchodě s aplikacemi nebo na důvěryhodných stránkách,” vysvětluje Lukáš Štefanko.</p>0
Check Point a Europol spolupracují v boji proti ransomwaruhttp://www.antivirus.cz/Blog/Stranky/check-point-a-europol-spolupracuji-v-boji-proti-ransomwaru.aspxCheck Point a Europol spolupracují v boji proti ransomwaru<p><strong>Nový report pomáhá organizacím i jednotlivcům zjistit, jak blokovat nové útoky a obnovit data z napadených počítačů. </strong></p><p>Check Point Software Technologies Ltd. oznámil v rámci boje proti ransomwaru další spolupráci s Europolem (Evropským policejním úřadem).</p><p>Check Point a Europol společně zveřejnily zprávu „<a href="/Blog/Documents/ransomware-what_you_need_to_know.pdf">Ransomware: Co byste měli vědět</a>“, která mapuje rychlý vývoj ransomwaru od prvních variant, jako Cryptolocker, který se objevil v roce 2013, až po současné sofistikované a globální ransomwarové hrozby, včetně rodin Locky, CryptXXX, TorrentLocker, Jigsaw a Cerber.  Zpráva popisuje specifické útočné metody používané jednotlivými ransomwarovými rodinami a také uvádí, jaké jsou dostupné dešifrovací nástroje, které mohou použít organizace i jednotlivci  v případě útoku.</p><p>Check Point a Europol ve zprávě také poskytují detailní a praktické rady pro organizace i jednotlivce, jak předejít a zabránit infikování stroje ransomwarem. Součástí reportu jsou i osvědčené postupy, jak reagovat v případě ransomwarového útoku a jak napravit způsobené škody.</p><p>„Nová zpráva poskytuje organizacím i jednotlivců jasné a stručné vodítko, jak reagovat a bránit se rychle se vyvíjejícímu ransomwaru. Užší spolupráce mezi bezpečnostními společnostmi a mezinárodními orgány bude zásadní pro boj s ransomwarem a pro minimalizaci dopadů masivních kampaní. Proto také těsně spolupracujeme s Europolem a snažíme se zvýšit povědomí o rostoucí ransomwarové hrozbě,“ říká Miloslav Lujka, Channel Manager ve společnosti Check Point.</p><p>Check Point je součástí Europol Cybercrime Center Internet Security Advisory Board a je partnerem mezinárodního projektu <a href="https://www.nomoreransom.org/" target="_blank">No More Ransom</a>, v rámci kterého spolupracují donucovacími orgány a soukromý sektor a pomáhají uživatelům efektivněji se bránit proti ransomwaru. Check Point nabízí své kyberbezpečnostní zkušenosti a odborné znalosti a přispívá k vývoji nových řešení pro boj s ransomwarem. Mezi členy dnes patří donucovací orgány z 22 zemí z celé Evropy a také Evropská komise a specializované kyberbezpečnostní společnosti.</p><p>Na portálu <a href="http://www.nomoreransom.org/" target="_blank">www.nomoreransom.org</a> mohou uživatelé najít detailní informace, jak se chránit proti ransomwaru, a oběti zde najdou širokou škálu nástrojů, které pomohou bezplatně odemknout a dešifrovat zařízení kódované nejrůznějšími variantami ransomwaru.</p><p>Celou zprávu, kterou společně připravily Check Point a Europol, můžete stáhnout <a href="/Blog/Documents/ransomware-what_you_need_to_know.pdf">zde</a>.<br></p><p>​</p>0
Hrozba malware Danger v Česku klesá, v lednu posiloval downloader Agenthttp://www.antivirus.cz/Blog/Stranky/hrozba-malware-danger-v-cesku-klesa-v-lednu-posiloval-downloader-agent.aspxHrozba malware Danger v Česku klesá, v lednu posiloval downloader Agent<p><strong>Podíl škodlivého kódu Danger na celkových počítačových hrozbách klesl oproti prosinci o 30 procentních bodů, zjistil ESET. </strong></p><p>Naprostá převaha škodlivého kódu Danger nad všemi ostatními internetovými hrozbami v Česku v letošním roce prozatím pominula. V lednu sice tento malware nadále představoval nejčetněji detekovanou hrozbu, jeho podíl ale klesl o více než 30 procentních bodů na 11,05 procenta. Naopak posilovaly jiné typy škodlivých kódů, jak vyplývá ze statistiky společnosti ESET.</p><p>„Pokles podílu downloaderu Danger je opravdu významný. V prosinci představoval téměř každou druhou zaznamenanou hrozbu, v lednu jen každou desátou. Zjistili jsme však významný nárůst výskytu různých typů malware rodiny TrojanDownloader,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Stejně jako v případě Dangeru jde, ostatně jak už sám název napovídá, o kód snažící do napadeného zařízení nahrát další škodlivé kódy,“ dodává.</p><p>Downloadery jsou nebezpečné v tom, že mohou do napadeného počítače instalovat v podstatě jakýkoliv další malware. Stále častěji se jedná o vyděračský ransomware, prostřednictvím kterého útočníci zašifrují soubory a požadují po oběti zaplacení výkupného. „Oběť ale nemá jistotu, zda se po uhrazení částky, která se pohybuje v řádu jednotek až desítek tisíc korun, ke svým souborům skutečně dostane,“ varuje Dvořák. Útočníci požadují platby výhradně v elektronické měně Bitcoin.</p><p>Druhou nejčetnější lednovou hrozbou v Česku byl zástupce výše uvedené rodiny, konkrétně pak  VBA/TrojanDownloader.Agent.CHO, který představoval 5,03 procenta zachycených případů. Na třetí pozici se dostal malware Changer, který ESET detekuje jako JS/ProxyChanger. Tento škodlivý kód umožňuje přesměrovat legitimní požadavek na útočníkem nastrčenou stránku a získat tak například číslo kreditní karty oběti. Changer stál za 4,36 procenty případů zjištěných internetových útoků v Česku.</p><h3><br>Top 10 hrozeb v České republice za leden 2017:</h3><p>1. JS/Danger.ScriptAttachment (11,05 %)<br>2. VBA/TrojanDownloader.Agent.CHO (5,03 %)<br>3. JS/ProxyChanger (4,36 %)<br>4. JS/TrojanDownloader.Nemucod (4,12 %)<br>5. JS/Kryptik.RE (3,38 %)<br>6. VBA/TrojanDownloader.Agent.CIY (2,55 %)<br>7. VBA/TrojanDownloader.Agent.CIQ (2,04 %)<br>8. Java/Adwind (2,01 %)<br>9. JS/TrojanDownloader.Iframe (1,73 %)<br>10. PowerShell/TrojanDownloader.Agent.DV (1,58 %)</p><p> <img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-leden-2017.png" alt="" style="margin:5px;width:650px;" /></p>0
Falešná aplikace České pošty míří na německé banky, dokáže ale vykrást i české účtyhttp://www.antivirus.cz/Blog/Stranky/falesna-aplikace-ceske-posty-miri-na-nemecke-banky-dokaze-ale-vykrast-i-ceske-ucty.aspxFalešná aplikace České pošty míří na německé banky, dokáže ale vykrást i české účty<p>Experti společnosti ESET analyzovali malware, který se šíří v Česku pomocí falešných SMS, jež se vydávající za zprávy od České pošty. Malware typu trojský kůň pro platformu Android, který mobilní ochrana ESET detekuje jako Android/Spy.Banker.HO trojan, má řadu funkcí: především se snaží získat přístup k mobilnímu bankovnictví cílových bank, ale kromě toho také umožňuje útočníkovi ovládat mobilní přístroj a dokáže se automaticky přeposílat na všechny kontakty, které najde v adresáři. </p><p>Největší nebezpečí představuje tento takzvaný mobilní bankovní trojan pro uživatele mobilního bankovnictví některé z cílových bank. Jak zjistili experti společnosti ESET, takových bankovních ústavů je asi deset a – naštěstí pro české oběti tohoto malware – mezi nimi není žádná česká banka. „Tento malware cílí především na německé banky. Ale pozor, dokáže vykrást také účet PayPal nebo získat údaje k platební kartě,“ upozorňuje Lukáš Štefanko, Malware Researcher společnosti ESET. „Primárním cílem aplikace Pošta Online je dostat se pod nějakou relevantní záminkou (SMS od banky) do telefonu potenciální oběti. Pokud tato oběť nepoužívá aplikaci německé banky, alespoň se snaží získat informace o kreditní kartě.“</p><p>V konečném důsledku požaduje tato škodlivá aplikace informace o kreditní kartě oběti při každém spuštění aplikace Google Play, což se týká všech uživatelů zařízení s operačním systémem Android, dodává Štefanko. K vykradení bankovního účtu nebo účtu PayPal může dojít tak, že když se uživatel pokusí připojit ke svému účtu, malware mu podsune falešný přihlašovací formulář. Uživatel tedy nezadá své přihlašovací údaje do oficiálního bankovního formuláře, ale prozradí je podvodníkům. Ti se pak připojí k jeho účtu a zadají příkaz k převodu. Potvrzovací SMS si pak z infikovaného přístroje nechají přeposlat, aniž by se uživateli zobrazila. Příkaz tak mohou potvrdit, a nic netušící oběť zjistí krádež peněz až při kontrole účtu nebo dokonce až z pravidelného výpisu. </p><p>Vedle klíčových funkcionalit je Android/Spy.Banker.HO trojan zajímavý i z čistě technického pohledu. Například obsahuje obranu před bezpečnostními aplikacemi. Když takovou aplikaci detekuje, snaží se ji před uživatelem skrýt: neustále zobrazuje domovskou obrazovku, takže minimalizuje okno bezpečnostní aplikace a uživatel v tom případě nemůže manuálně oskenovat přístroj a je obtížné tuto infiltraci odstranit. </p><p>Co se odstraňování týče, nejjednodušší je nainstalovat kvalitní mobilní bezpečnostní řešení, například ESET Mobile Security, které si s infekcí poradí. Alternativní řešení jsou už složitější - podle expertů společnosti ESET jsou v principu dvě možnosti: připojit infikované zařízení k PC a využít nástroj ADB neboli Android Debug Bridge. </p><p>„Úspěšnost útoků tohoto typu stojí a padá s věrohodností záminky pro stažení a s kvalitou formulářů, které podsouvá obětem – a především závisí na chování uživatelů. Je dobré mít na paměti, že útočníci mohou SMS zprávu s linkem na škodlivou aplikaci jednoduše měnit a stejně tak mohou kdykoli vylepšit falešné formuláře nebo přidat další.  Opatrnosti proto není nazbyt a je dobře být obezřetný, stahovat aplikace pouze z oficiálních obchodů a používat spolehlivé mobilní bezpečnostní řešení,“ doporučuje Lukáš Štefanko ze společnosti ESET<br></p>0
Mobilní malware HummingBad vrací úder a útočí novou verzíhttp://www.antivirus.cz/Blog/Stranky/mobilni-malware-hummingbad-vraci-uder-a-utoci-novou-verzi.aspxMobilní malware HummingBad vrací úder a útočí novou verzí<p>Výzkumníci společnosti Check Point odhalili novou variantu mobilního malwaru HummingBad, která se ukrývala ve více než 20 aplikacích na Google Play. Aplikace infikované v rámci této kampaně byly stažené miliony nic netušících uživatelů.</p><p>Check Point o aplikacích informoval bezpečnostní tým Google a aplikace byly následně z Google Play stažené.</p><p>Nová varianta mobilního malwaru se jmenuje "HummingWhale" a využívá nové techniky, takže reklamní podvody jsou sofistikovanější než kdy dříve. HummingBad byl nejvýraznějším mobilním malwarem roku 2016. Obětí se stalo více než 10 milionů uživatelů a škodlivý kód vydělával svým tvůrcům více než 300 000 dolarů měsíčně, takže bylo jen otázkou času, kdy se objeví nějaká nová verze a najde si cestu na Google Play</p><p>Všechny nové podvodné aplikace byly publikovány pod falešnými jmény čínských vývojářů. Princip je jednoduchý. Nainstalovaný malware dostává od řídícího a velícího (C&C) serveru falešné reklamy a aplikace a nabízí je uživateli. Jakmile se uživatel pokusí zavřít reklamu, aplikace, která již byla malwarem stažena, je nahrána do virtuálního stroje a spouští se, jako by byla ve skutečném zařízení. Vytvoří se také falešná identita, kterou malware používá ke generování příjmů pro kyberzločince.</p><p><strong>Tato metoda má několik výhod:</strong><br>1. Umožňuje malwaru instalovat aplikace bez nutnosti získat nejdříve potřebná vyšší oprávnění.<br>2. Maskuje škodlivou činnost, což umožňuje proniknout do Google Play.<br>3. Umožňuje malwaru spustit zabudovaný rootkit, takže může dosáhnout stejného efektu i bez něho.<br>4. Muže instalovat neomezený počet podvodných aplikací bez přetížení zařízení.</p><p>Nová hrozba je ukázkovým příkladem, jak se vývojáři od sebe navzájem učí a jak se vyvíjí a přejímají útočné techniky, protože podobně jako u škodlivých kódů Gooligan a CallJam i HummingWhale se snaží podvodně zvyšovat hodnocení na Google Play, aby aplikace působily věrohodně. Znovu je to tedy připomínka, že nelze spoléhat jen na ochranu na Google Play, ale je potřeba dále do svého bezpečí investovat a používat pokročilé zabezpečení.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/01/23/hummingbad-returns/" target="_blank">http://blog.checkpoint.com/2017/01/23/hummingbad-returns/</a><br></p>0
Mobilní ransomware Charger zašifruje zařízení a požaduje výkupné pod pohrůžkou rozprodání osobních dathttp://www.antivirus.cz/Blog/Stranky/mobilni-ransomware-charger-zasifruje-zarizeni-a-pozaduje-vykupne-pod-pohruzkou-rozprodáni-osobnich-dat.aspxMobilní ransomware Charger zašifruje zařízení a požaduje výkupné pod pohrůžkou rozprodání osobních dat<p>Před několika týdny bezpečnostní řešení Check Point Mobile Threat Prevention detekovalo a zablokovalo novou hrozbu. Nic netušící uživatel stáhl a nainstaloval mobilní ransomware nultého dne z Google Play nazvaný “Charger.” Incident znovu ukazuje, jakou hrozbou je malware pro organizace a jak pokročilá detekce chování pomáhá vyplnit mezeru v mobilní bezpečnosti.</p><p>Charger byl nalezen v aplikaci EnergyRescue. Infikovaná aplikace krade kontakty a SMS zprávy z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, ransomware uzamkne zařízení a zobrazí zprávu požadující platbu. V českém překladu by zněla:</p><p>"Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací. DÁVÁME VÁM 100% ZÁRUKU, ŽE VŠECHNY SOUBORY BUDOU OBNOVENÉ, JAKMILE OBDRŽÍME PLATBU. ODEMKNEME MOBILNÍ ZAŘÍZENÍ A SMAŽEME VŠECHNA VAŠE DATA Z NAŠEHO SERVERU! VYPNOUT TELEFON NEPOMŮŽE, VŠECHNA VAŠE DATA JSOU JIŽ ULOŽENA NA NAŠICH SERVERECH! MŮŽEME JE PRODAT NA SPAMOVÁNÍ, PODVODY, BANKOVNÍ ZLOČINY A PODOBNĚ. Shromažďujeme a stahujeme všechna vaše osobní data. Veškeré informace o vašich sociálních sítích, bankovních účtech, kreditních kartách. Shromažďujeme veškerá data o vašich přátelích a rodině."</p><p>Výkupné bylo 0,2 bitcoinu (zhruba 180 dolarů), což je mnohem vyšší částka, než bylo doposud u mobilního ransomwaru běžné. Pro srovnání ransomware DataLust požadoval výkupné pouze 15 dolarů.<br>Podobně jako u jiných malwarů z minulosti, také Charger kontroluje lokální nastavení a nespustí škodlivé aktivity, pokud je přístroj lokalizován na Ukrajině, v Rusku nebo Bělorusku. Pravděpodobně aby se vývojáři vyhnuli stíhání ve svých vlastních zemích nebo vydání mezi zeměmi.</p><p>Malware využívá nejrůznější pokročilé techniky, aby skryl své skutečné záměry a bylo těžší jej detekovat:<br>• Kóduje řetězce do binárních polí, takže je obtížné je kontrolovat.<br>• Nahrává dynamicky kód z šifrovaných zdrojů, což většina detekčních technologií nezachytí. Kód je zároveň zahlcen nesmyslnými příkazy, které maskují skutečné příkazy.<br>• Než spustí škodlivou činnost, zkontroluje, zda nedošlo ke spuštění v emulátoru. Tato technika byla poprvé použita počítačovým malwarem a v oblasti mobilního škodlivého kódu se stává trendem.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/01/24/charger-malware/" target="_blank">http://blog.checkpoint.com/2017/01/24/charger-malware/</a><br></p>0
Celosvětově v prosinci ubylo malwarových útoků, ale Česká republika se naopak posunula mezi nebezpečnější zeměhttp://www.antivirus.cz/Blog/Stranky/celosvetove-v-prosinci-ubylo-malwarovych-utoku-ale-ceska-republika-se-naopak-posunula-mezi-nebezpecnejsi-zeme.aspxCelosvětově v prosinci ubylo malwarových útoků, ale Česká republika se naopak posunula mezi nebezpečnější země<p><strong>​V prosinci došlo k výraznému poklesu ransomwarových útoků Locky, který tak poprvé od června 2016 vypadl z Top 10 malwarových rodin. </strong></p><p>Check Point Software Technologies zveřejnil nejnovější Index hrozeb, podle kterého došlo v prosinci 2016 k významnému poklesu ransomwarových útoků Locky. Zveřejněn byl i žebříček nejrozšířenějších malwarových rodin, které jsou používané k útokům na podnikové sítě.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika po klidnějším listopadu zaznamenala bouřlivý prosinec. Z klidnější 104. pozice se posunula o 59 míst na nebezpečnější 45. příčku. Slovensko už v listopadu zaznamenalo nárůst útoků a prosinec nepřinesl zlepšení, takže Slovensko se umístilo dokonce na 34. pozici. Mezi bezpečnější země se nejvýrazněji posunula Angola, která se ze 16. místa posunula na 89. příčku. Spolu s Českou republikou zaznamenala největší skok mezi nebezpečné země Paraguay, která se posunula o 65 míst na 41. příčku. Na prvním místě se v Indexu hrozeb umístila Makedonie.</p><p>Locky, který využívá pro šíření především masivní spamové kampaně, se objevil v roce 2016 a velmi rychle se stal jedním z nejoblíbenějších nástrojů kyberzločinců. Potvrdil tak současný trend a vzestup ransomwarových utoků, které šifrují data na cílovém počítači a za dešifrování požadují zaplacení výkupného. V prosinci Check Point ale zaznamenal pokles týdenního průměru infekcí Locky o 81 % ve srovnání s týdenní průměry říjnu a listopadu. Locky tak poprvé od června 2016 vypadl z Top 10 globálních malwarových rodin.</p><p>„Masivní pokles útoků ransomwaru Locky v průběhu prosince byl součástí globálního poklesu malwaru o 8 % ve srovnání s předchozími měsíci. Společnosti by si ale neměly dělat iluze a neměly by usnout na vavřínech. Nejpravděpodobnější příčinou je, že se zločinci rozhodli během vánočních svátků užít trochu plodů své práce a s trochou nadsázky si vzali vánoční dovolenou. Podobný pokles byl i v prosinci o rok dříve. V lednu můžeme zase očekávat nárůst kyberútoků. Ransomware je každopádně i nadále velmi významnou hrozbou a organizace potřebují toto nebezpečí brát vážně i v roce 2017,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.</p><p>Conficker byl opět nejčastěji použitým malwarem k útokům na podnikové sítě, ale byl zodpovědný „jen“ za 10 procent všech detekovaných útoků, což je pokles o 5 procentních bodů. Na druhém místě se umístil škodlivý kód Nemucod, který byl použit u 5 procent útoků, a červ Slammer na třetím místě měl na svědomí 4 procenta útoků. Celkově Top 10 malwarových rodin bylo zodpovědných za 42 procent všech známých útoků.</p><p>1. <strong>↔ Conficker:</strong> Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.<br>2. <strong>↑ Nemucod:</strong> JavaScript nebo VBScript downloader, který se běžně používá pro stažení ransomwarových variant nebo jiných škodlivých kódů.<br>3. <strong>↑ Slammer:</strong> Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</p><p>Check Point zveřejnil také nejrozšířenější mobilní malwarové rodiny v prosinci 2016 a znovu útoky na zařízení se systémem Android byly mnohem častější než útoky na iOS. Tři nejrozšířenější mobilní malwarové rodiny byly v prosinci:</p><p>1. <strong>↔ HummingBad:</strong> Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.<br>2. <strong>↔ Triada:</strong> Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br>3. <strong>↔ Ztorg:</strong> Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice a v prosinci došlo k výrazným změnám. Na prvním místě překvapivě není Conficker, který odsunul na druhou pozici červ Slammer. Na 3. pozici je stejně jako v listopadu ransomware Cryptowall, ale Locky se ze 4. příčky propadl až na 10. místo.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – prosinec 2016</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">Slammer</td><td class="ms-rteTable-default">Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Cryptowall</td><td class="ms-rteTable-default">Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.</td></tr><tr><td class="ms-rteTable-default">Nemucod</td><td class="ms-rteTable-default">Malwarový dropper, který po spuštění stahuje z online serveru další malware a spouští jej na infikovaném počítači. Nemucod byl detekován na konci roku 2015, ale využíván byl pravděpodobně už dříve. Způsob distribuce zůstal stále stejný: Spam informuje uživatele o pokutách za dluhy, neúspěšných platbách a různých dalších nepříjemnostech, které vyžadují okamžitý zásah oběti. Nemucod infikuje oběti různými škodlivými kódy (například ransomwarem TeslaCrypt) a adwarem (například na klikací podvody zaměřený Boaxxe).</td></tr><tr><td class="ms-rteTable-default">Kelihos</td><td class="ms-rteTable-default">Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook.</td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Fraud</td><td class="ms-rteTable-default">Nebezpečné webové stránky využívané pro phishing a podvodné prokliky.</td></tr><tr><td class="ms-rteTable-default">CTB-Locker</td><td class="ms-rteTable-default">CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.</td></tr><tr><td class="ms-rteTable-default">RookieUA</td><td class="ms-rteTable-default">RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.</td></tr><tr><td class="ms-rteTable-default">Locky</td><td class="ms-rteTable-default">Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.</td></tr></tbody></table><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a></p><h2>Index hrozeb společnosti Check Point</h2><p>Index hrozeb vychází z online mapy kybernetických hrozeb <a href="https://www.threat-cloud.com/ThreatPortal/#/map" target="_blank">ThreatCloud World Cyber Threat Map</a>, která v reálném čase sleduje, jak a kde po celém světě probíhají kybernetické útoky. Threat Map využívá informace z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.<br></p>0