Antivirus Blog
blog o bezpečnosti

 

 

Rekordní 25. ročník konference SECURITYhttp://www.antivirus.cz/Blog/Stranky/rekordni-25-rocnik-konference-security.aspxRekordní 25. ročník konference SECURITY<p>​Ve čtvrtek 23. února se v pražském kongresovém hotelu Clarion uskutečnil 25. ročník konference SECURITY. Toto tradiční setkání v letošním roce přilákalo téměř 650 bezpečnostních manažerů, specialistů a auditorů z celé České a Slovenské republiky. Jen s velkými obtížemi byste na našem území hledali podobnou akci zaměřenou na informační bezpečnost s takovou tradicí, návštěvností a charakterem.</p><p><img src="/Blog/PublishingImages/Clanky/2017/konference-security-2017-02-23-tom0048.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>SECURITY 2017 byla opět rozdělena na manažerskou a technickou sekci. Přednášky v obou sálech probíhaly zcela synchronně, každý návštěvník měl možnost mezi sály libovolně přecházet a sestavit si vlastní program z prezentací, které odpovídaly jeho zájmům. Organizátoři z AEC na konferenci každý rok otevírají především aktuální a nadčasová témata. Letošní prim hrála problematika GDPR (Manažerský sál), Ransomware a Internet of Things (Technický sál).</p><p><img src="/Blog/PublishingImages/Clanky/2017/konference-security-2017-02-23-tom0152.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Na kvalitu jednotlivých příspěvků přísně dbá nezávislý programový výbor. Na konferenci nemají místo žádné komerční produktové prezentace. Důraz je kladen na vysokou odbornost a nezávislost jednotlivých přednášek. A samozřejmě praktický přínos pro jednotlivé účastníky. Zatímco na loňskou konferenci byli pozváni zejména přední zahraniční specialisté, v letošním roce odpolední program tvořily případové studie realizovaných tuzemských bezpečnostních projektů.</p><p><img src="/Blog/PublishingImages/Clanky/2017/konference-security-2017-02-23-tom0036.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Na základě účastnického hlasování byla nejvíce oceněna přednáška Senior IT Security Consultanta Ing. Martina Klubala z pořadatelské společnosti AEC. Ten ve své prezentaci „Hacking bankomatů v praxi“ posluchačům předvedl, jak snadné a kolika způsoby lze obejít zabezpečení bankomatů. Na druhém místě se mezi řečníky umístil Bedřich Košata, Chief Science Officer  společnosti CZ.NIC, který se zaměřil na první velké bezpečnostní problémy Internetu věcí. Pomyslný stupeň vítězů doplnili se shodným výsledkem dva mluvčí. Igor Hák z Virus Labu ESET Software seznámil návštěvníky s historií ransomwaru a přidal spoustu praktických ukázek a několika úsměvných situací z praxe. Jan Tomíšek si v bloku GDPR vzal pod drobnohled hlášení incidentů, nové povinnosti zpracovatelů a risk management.</p><p><img src="/Blog/PublishingImages/Clanky/2017/konference-security-2017-02-23-tom0163.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Konference SECURITY se však neomezuje pouze na přednáškové sály. Součástí jsou také doprovodné workshopy a kulaté stoly. Stále oblíbenější je hackerská soutěž, ve které účastníci pod vedením penetračních testerů AEC plní stanovené úkoly z oblasti hackingu, crackingu, reverzního inženýrství, kryptologie a ICT security obecně. Neméně významná byla rovněž vystavovatelská část s přehlídkou řešení partnerů konference. Mnohé stánky byly obsazeny nejvyššími představiteli společností, což dodávalo akci na ještě větší prestiži.</p><p><img src="/Blog/PublishingImages/Clanky/2017/konference-security-2017-02-23-tom0238.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Podle účastnického hodnocení konference splnila svá očekávání. Návštěvníci zůstali přítomni až do samého závěru. Z velkého množství ohlasů účastníků, vyplněných anketních lístků a proběhlých rozhovorů vyplynula další zajímavá témata pro příští ročník. Organizátoři by touto cestou rádi poděkovali všem přednášejícím, účastníkům i všem ostatním, kteří se podíleli na vytvoření nezaměnitelné atmosféry konference SECURITY 2017. Zároveň slibují, že udělají vše proto, aby i další ročník byl místem, kde bezpečnostní odborníci naleznou inspiraci pro svoji nelehkou práci.<br></p>1
Češi už nechodí na internet nejčastěji na PC, ale přes mobil. Nemyslí však na ochranu.http://www.antivirus.cz/Blog/Stranky/cesi-uz-nechodi-na-internet-nejcasteji-na-pc-ale-pres-mobil-nemysli-vsak-na-ochranu.aspxČeši už nechodí na internet nejčastěji na PC, ale přes mobil. Nemyslí však na ochranu.<p>Antivirovou ochranu mobilního zařízení využívá jen polovina uživatelů, zjistil ESET. PC a notebooky chrání 90 % Čechů.</p><p>Nejčastějším zařízením, na kterém se Češi připojují na internet, už není stolní počítač nebo notebook, ale chytrý mobilní telefon. Vyplývá to z průzkumu společností ESET a  Seznam.cz. Na přelomu května a června letošního roku deklarovalo využití mobilního připojení k internetu prostřednictvím smartphonu 79 procent respondentů. Přes notebook k internetu přistupovalo 71 procent Čechů a na stolním počítači 59 procent. </p><p>Nejméně využívaným zařízením pro surfování na internetu je tablet, v průzkumu jej uvedlo pouze 39 procent respondentů. „Je to vůbec poprvé, co nám v průzkumu vyšlo, že se nejvíce lidí připojuje k internetu přes mobil,“ upozorňuje Miroslav Dvořák, technický ředitel společnosti ESET. „Z hlediska ochrany přitom stále platí, že zatímco desktopová zařízení jsou většinou chráněna antivirem, mobilní zařízení chrání jen zhruba polovina uživatelů,“ dodává Dvořák.</p><p>Malý podíl chráněných mobilních zařízení ostře kontrastuje se stoupajícími statistikami kybernetických hrozeb zacílených na tablety a chytré mobilní telefony. ESET opakovaně varoval před výrazným nárůstem případů vyděračských ransomware zaměřených na operační systém Android. Přesto tyto přístroje před nebezpečným malware chrání jen 53 procent Čechů. U tabletů je to jen o něco více (60 procent), zatímco notebooky jsou chráněny v 92 procentech a PC dokonce v 93 procentech případů.</p><p>Češi na mobilních telefonech přistupují k internetu nejčastěji přes vlastní wi-fi síť (93 procent respondentů). „Připojování na veřejné wi-fi přes mobil je podobně populární jako připojování přes data,“ konstatuje Miroslav Dvořák. Vlastní datové tarify využívá 67 procent dotázaných, veřejné wi-fi sítě 57 procent. „Zajímavé je, že ti, kdo nemají své mobily chráněné antivirem, se připojují na veřejné wi-fi stejně často jako ti, kdo antiviry mají,“ říká technický ředitel společnosti ESET. Více tak riskují, dodává Miroslav Dvořák.</p><p>Tři čtvrtiny uživatelů používají některý ze způsobů uzamčení displeje mobilního telefonu. Nejčastěji jde o PIN (32 procent respondentů) nebo gesto (22 procent). Otisk prstu využívá k autentizaci pětina Čechů, snímek sítnice a jiný druh identifikace pouhá dvě procenta. Plná čtvrtina respondentů přiznala, že svůj telefon nijak nezabezpečuje. Obdobně jsou na tom Češi i se zabezpečením externích záznamových zařízení. Nejoblíbenější USB flash disky používá 81 procent respondentů, ale jen 27 procent chrání jejich obsah šifrováním, heslem nebo klíčem.</p><p>„Externí paměťová zařízení si výrazně méně chrání mladí lidé do 24 let,“ konstatuje Miroslav Dvořák. V drtivé většině případů si lidé na USB flash disky nahrávají soukromá data (v 82 procentech), ovšem čtyři z deseti Čechů je využívají i pro pracovní soubory. Citlivá firemní a pracovní data USB flash diskům svěřuje plná čtvrtina respondentů (23 procent). „Polovina lidí už zažila na vlastní kůži nebo u některého ze svých kolegů, že se jim USB disk neopravitelně poškodil. Třetina se setkala se ztrátou disku a sedm procent má zkušenost s jeho odcizením,“ vypočítává Dvořák.</p><p>Ti, co zažili negativní zkušenost s USB diskem, jej však nadále používají pro pracovní účely více než ti, kteří podobnou zkušenost nemají. „Třetina těch, kdo někdy ztratili USB disk nebo se jim neopravitelně poškodil, ho dále využívá k ukládání pracovních i důvěrných dat,“ upozorňuje technický ředitel společnosti ESET. „Obecně platí, že stále ještě máme v ochraně citlivých dat na externích úložných zařízeních co dohánět,“ uzavírá Miroslav Dvořák.</p><p>Průzkum probíhal formou online dotazování, které realizovalSeznam.cz Výzkumník, od 31. května do 2. června 2017 se jej zúčastnilo 993 respondentů. Vzorek je reprezentativní na uživatele služeb společnosti Seznam.cz starší 10 let, byl vyvážen při kvótách na pohlaví, věk a vzdělání.<br></p>0
Industroyer, vážná hrozba pro průmyslové řídící systémyhttp://www.antivirus.cz/Blog/Stranky/industroyer-vazna-hrozba-pro-prumyslove-ridici-systemy.aspxIndustroyer, vážná hrozba pro průmyslové řídící systémy<p>​Tento malware hrozí narušením kritických průmyslových procesů a představuje největší riziko od Stuxnetu. </p><p>Analytici společnosti ESET objevili vzorky malwaru schopného napadat infrastrukturu elektrického napájení. Malware, který ESET detekuje jako Win32/Industroyer, byl s největší pravděpodobností zapojen do útoku na energetickou síť Ukrajiny, během něhož byla v prosinci 2016 část ukrajinského hlavního města Kyjeva na hodinu odstavena od elektrické energie.</p><p>„Nedávný útok na ukrajinskou rozvodnou síť by měl sloužit jako výzva pro všechny, co jsou zodpovědní za bezpečnost kritických systémů na celém světě,“ varuje Anton Cherepanov, Senior Malware Researcher ve společnosti ESET.</p><p>Analytici společnosti ESET zjistili, že Industroyer je schopen přímo ovládat spínače a jističe elektrické sítě. Používá k tomu protokoly průmyslové komunikace, které jsou po celém světě běžné pro infrastruktury napájení, systémy řízení dopravy a jiné kritické infrastruktury. Potenciální dopad této hrozby se může pohybovat v rozmezí od jednoduchého vypnutí rozvodu elektrické energie přes kaskádovité poruchy až po vážnější poškození zařízení.</p><p> <img src="/Blog/PublishingImages/Clanky/2017/schema-prumysloveho-provozu.png" alt="" style="margin:5px;width:650px;" /></p><div style="text-align:center;"> </div><p style="text-align:center;"> <em>Schéma průmyslového provozu</em></p><p>„Schopnost škodlivého kódu Industroyer přetrvávat v systému a přímo zasahovat do provozu průmyslového hardwaru z něj činí největší hrozbu od Stuxnetu, který v roce 2010 úspěšně napadl íránský jaderný program. Aktuálně jde o nejnebezpečnější škodlivý software zaměřený na průmyslové řídící systémy,“ uzavírá Anton Cherepanov.</p><p>Další technické informace o tomto škodlivém softwaru, včetně indikátorů kompromisu, naleznete v článku a v rozsáhlém dokumentu na blogu společnosti ESET na adrese WeLiveSecurity.com - <a href="https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/" target="_blank">https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/</a>. <br></p>0
ESET vydal dekryptor, který pomáhá odšifrovat data napadená ransomwarem AES-NI a XDatahttp://www.antivirus.cz/Blog/Stranky/eset-vydal-dekryptor-ktery-pomaha-odsifrovat-data-napadena-ransomwarem-aes-ni-a-xdata.aspxESET vydal dekryptor, který pomáhá odšifrovat data napadená ransomwarem AES-NI a XData<p>Společnost ESET vytvořila nástroj pro dešifrování zařízení napadených ransomwarem AES-NI, jejichž soubory byly zašifrovány škodlivými kódy Win32 / Filecoder.AESNI.B a Win32 / Filecoder.AESNI.C (známými také jako XData). Dešifrovací nástroj proti AES-NI je založen na klíčích, jež byly nedávno zveřejněny na sociální síti Twitter a na internetovém fóru, které pomáhá obětem ransomwaru.</p><p>„Dešifrovací nástroj funguje na soubory zašifrované klíčem RSA, který používá verze ransomware AES-NI B, jež přidává k napadeným souborům přípony .aes256, .aes_ni a .aes_ni_0day, a také na data zašifrovaná ransomware ve verzi XData,“ vysvětluje Pavel Matějíček, manažer technické podpory společnosti ESET.</p><p>Oběti, jejichž soubory jsou stále zašifrované těmito variantami ransomware, si mohou stáhnout dešifrovací program <a href="https://download.eset.com/com/eset/tools/decryptors/aesni/latest/esetaesnidecryptor.exe" target="_blank">zde</a>.<br></p>0
Internetovým hrozbám v květnu vévodil malware Danger, WannaCry české uživatele skutečně minul.http://www.antivirus.cz/Blog/Stranky/internetovým-hrozbam-v-kvetnu-vevodil-malware-danger-wannacry-ceske-uzivatele-skutecne-minul.aspxInternetovým hrozbám v květnu vévodil malware Danger, WannaCry české uživatele skutečně minul.<p>​Nově posilovala nevyžádaná reklama AztecMedia, která bez souhlasu uživatele mění domovskou stránku prohlížeče. </p><p>Zavirované přílohy e-mailů, které obsahují škodlivý kód Danger, byly i v květnu nejčastější bezpečnostní hrozbou na českém internetu. Představovaly víc než každou pátou detekci pokusu o průnik do počítačů. Konkrétně šlo o 21,39 procenta případů. Ransomware WannaCry, který byl v uplynulých týdnech v popředí zájmu, se na celkovém počtu hrozeb podílel pouze 0,15 procenty. V uplynulém měsíci ale výrazně přibývalo případů nevyžádané internetové reklamy, tzv. adware. Vyplývá to z pravidelné měsíční statistiky společnosti ESET.</p><p>„Zpětná analýza potvrdila naše dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET.</p><p>Téměř desetinu detekovaných hrozeb představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento adware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.</p><p>„Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesňuje Dvořák. AztecMedia v květnu představoval 8,81 procenta všech detekovaných internetových hrozeb v České republice a v žebříčku škodlivých kódů se umístil na druhém místě hned za malware Danger.</p><p>Třetí nejčetnější kybernetickou hrozbou byl v květnu trojský kůň Chromex, který během dubna atakoval nejvyšší příčku žebříčku společnosti ESET. Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem.</p><h3>Top 10 hrozeb v České republice za květen 2017:</h3><p>1. JS/Danger.ScriptAttachment (21,39 %)<br>2. JS/Adware.AztecMedia (8,81 %)<br>3. JS/Chromex.Submeliux (7,62 %)<br>4. Win32/GenKryptik (4,37 %)<br>5. JS/TrojanDownloader.Nemucod (3,77 %) <br>6. Java/Adwind (3,62 %) <br>7. Win32/Adware.ELEX (2,85 %)<br>8. PDF/TrojanDropper.Agent.AD (2,65 %)<br>9. Java/Kryptik.BK (2,59 %)<br>10. PDF/TrojanDropper.Agent.Z (2,04 %)</p><p> </p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-kveten-2017.png" alt="" style="margin:5px;width:650px;" /><br> </p>0
Čínská kyberhrozba infikovala více než 250 milionů počítačů.http://www.antivirus.cz/Blog/Stranky/cinska-kyberhrozba-infikovala-vice-nez-250-milionu-pocitacu.aspxČínská kyberhrozba infikovala více než 250 milionů počítačů.<p>​</p><p>Check Point odhalil masivní čínskou hrozbu, která po celém světě infikovala více než 250 milionů počítačů. Nainstalovaný malware, pojmenovaný Fireball, přebírá kontrolu nad webovými prohlížeči a ovládá je. Fireball má dvě hlavní funkce: Jedna je schopnost spouštět jakýkoli kód na počítačích obětí a stahovat jakýkoli soubor nebo malware a druhá je převzetí kontroly a manipulace s webovým provozem pro generování zisků z reklamy. Aktuálně Fireball instaluje pluginy a různá nastavení, aby zvýšil inzertní potenciál, ale zároveň se snadno může stát nebezpečným distributorem dalšího malwaru.</p><p>Za celou operací stojí Rafotech, velká digitální marketingová agentura se sídlem v Pekingu. Rafotech používá Fireball k manipulaci webových prohlížečů a změnám výchozích vyhledávačů a domovských stránek na falešné vyhledávače, které jednoduše přesměrují dotazy na yahoo.com nebo Google.com. Falešné vyhledávače také například sbírají osobní informace o uživatelích. Fireball může mimo jiné špehovat oběti, efektivně instalovat nový malware nebo spouštět jakýkoli škodlivý kód na infikovaných počítačích, což vytváří masivní bezpečnostní chybu v postižených strojích a sítích.</p><p>V České republice bylo touto hrozbou infikováno 18,32 % organizací.</p><h2>Klíčová zjištění:</h2><ul><li>Analytici společnosti Check Point odhalili masivní čínskou hrozbu, která infikovala přes 250 milionů počítačů po celém světě a 20 % podnikových sítí. </li><li>Malware nazvaný Fireball zneužívá webové prohlížeče, ale může být přeměněn na plně funkční downloader malwaru. Fireball může spustit libovolný kód na počítačích obětí, což může mít za následek celou řadu škodlivých aktivit od krádeží přihlašovacích údajů až po instalaci dalšího malwaru. </li><li>Fireball se většinou šíří jako nechtěný doplněk chtěného programu, takže se instaluje na počítače obětí spolu s požadovaným programem, navíc často bez souhlasu uživatele. </li><li>Za celou operací stojí čínská digitální marketingová agentura. </li><li>Země s nejvíce infikovanými stroji jsou Indie (10,1 %) a Brazílie (9,6 %).</li></ul><h2></h2><h2><img src="/Blog/PublishingImages/Clanky/2017/Worldmap_Fireball.png" alt="" style="margin:5px;width:650px;" />Jak zjistíte, jestli je váš počítač infikovaný?</h2><p>Pokud chcete zjistit, jestli je váš počítač infikovaný, otevřete svůj webový prohlížeč. Nastavili jste tuto domovskou stránku? Můžete ji změnit? Znáte svůj výchozí vyhledávač a můžete ho také upravit? Pamatujete si všechny nainstalovaná rozšíření prohlížeče? Pokud je odpověď na nějakou z těchto otázek "Ne", pak je to znamení adwarové infekce.</p><p><img src="/Blog/PublishingImages/Clanky/2017/Fireball_Flow.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Více informací najdete na blogu společnosti Check Point: <a href="http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/" target="_blank">http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/</a></p>0
Útoky spojené s exploit kity nepolevují a znovu se vynořil také červ Slammer.http://www.antivirus.cz/Blog/Stranky/utoky-spojene-s-exploit-kity-nepolevuji-a-znovu-se-vynoril-take-cerv-slammer.aspxÚtoky spojené s exploit kity nepolevují a znovu se vynořil také červ Slammer.<p>Boom exploit kitů pokračoval i v dubnu, vyplývá to ze zprávy společnosti Check Point. </p><p>Check Point Software Technologies zveřejnil dubnový Celosvětový index dopadu hrozeb, podle kterého i nadále roste počet kyberútoků využívajících exploit kity. Nejčastější formou útoku se stal exploit kit Rig.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika si oproti březnu polepšila a ze 43. příčky se posunula o 20 míst mezi bezpečnější země na 63. místo. Hned na sousedním 62. místě je Slovensko, které se ale naopak posunulo mezi nebezpečnější země z březnové klidnější 97. příčky. Na prvním místě se v Indexu hrozeb už třetí měsíc za sebou umístila Zambie. Největší skok mezi nebezpečnější země zaznamenala Albánie, která se posunula o 64 míst na 41. příčku.</p><p>Exploit kity jsou určené k objevení a zneužití zranitelnosti v počítačích a ke stažení a spuštění dalších škodlivých kódů. Až do minulého měsíce jejich využití klesalo, ale v březnu došlo k nárůstu útoků, především v důsledku vzestupu exploit kitů Rig a Terror.</p><p>Check Point odhalil také náhlé oživení červa Slammer, který se po dlouhé přestávce vrátil do Top 3 nejčastějších škodlivých kódů. Slammer se poprvé objevil v roce 2003. Cílil na Microsoft SQL 2000 a šířil se tak rychle, že mohl způsobit odepření služby u některých postižených cílů. Je to podruhé za několik uplynulých měsíců, co se červ dostal do Top 10 Celosvětového indexu dopadu hrozeb, což ukazuje, jak i desetiletý malware může být znovu úspěšný a nebezpečný.</p><p>Top 3 malwarové rodiny využívaly širokou škálu útočných vektorů a taktik a měly vliv na celý infekční řetězec. Nejrozšířenějším malwarem v dubnu byly Rig EK a HackerDefender, které ovlivnily 5 %, respektive 4,5 % organizací po celém světě. Na třetím místě se umístil červ Slammer, který měl dopad na 4 % společností.<br> </p><h2>Top 3 - malware:</h2><p> <strong>1. ↑ Rig EK – </strong>Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.<br><strong>2. ↓ HackerDefender - </strong>Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.<br><strong>3. ↑ Slammer – </strong>Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</p><p>Mobilní malware na prvních 2 místech nezaznamenal oproti březnu žádnou změnu, na 3. místo se posunul hackerský nástroj Lotoor.</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Hiddad – </strong>Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>2. Hummingbad – </strong>Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.<br><strong>3. Lotoor – </strong>Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.</p><p>„Minulý měsíc jsme viděli prudký nárůst útoků pomocí exploit kitů, což potvrzuje, že staré, ale účinné kyberhrozby nemizí. Často se znovu objevují a vrací vylepšené a aktualizované, takže jsou opět nebezpečné. Důkazem je i fakt, že se červ Slammer dostal do Top 3 škodlivých kódů za duben,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Kyberzločinci vždy raději přizpůsobí nástroje, které již mají k dispozici, než aby vyvíjeli zcela nové útočné nástroje. Je to jednodušší, rychlejší a výhodnější. Pro organizace je to varováním, že musí zůstat ve střehu a nasadit sofistikované bezpečnostní systémy, které chrání proti nejrůznějším útokům.“</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice a nadále pokračoval vzestup exploit kitů. Rig EK si polepšil ještě o jednu příčku oproti březnu a umístil se hned za vedoucím rootkitem HackerDefender. Podobně jako ve světě i v ČR posílil červ Slammer, který se ze 7. pozice posunul na 4. Naopak v březnu 3. ransomware Cryptowall se propadl až na 7. příčku. Tradičně vysoko se drží Conficker, ale už zdaleka nedominuje tak, jako to bylo v roce 2016.</p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"> <h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – duben 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Rig EK</td><td class="ms-rteTable-default">Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.<br>Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Slammer</td><td class="ms-rteTable-default">Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</td></tr><tr><td class="ms-rteTable-default">Adwind</td><td class="ms-rteTable-default">Adwind je backdoor, který cílí na systémy podporující Java runtime prostředí. Malware Adwin rozesílá informace o systému a přijímá příkazy od vzdáleného útočníka. Příkazy mohou být použity například k zobrazení zprávy v systému, otevření URL, aktualizaci malwaru, stažení/spuštění souboru nebo stažení/nahrání pluginu. Stahovatelné pluginy pro malware mohou poskytnout další funkce, včetně možností vzdáleného ovládání a spouštění shell příkazů.</td></tr><tr><td class="ms-rteTable-default">Cryptowall</td><td class="ms-rteTable-default">Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.</td></tr><tr><td class="ms-rteTable-default">Ghost</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.</td></tr><tr><td class="ms-rteTable-default">Datan</td><td class="ms-rteTable-default">Nepříznivě ovlivňuje výkon počítače.</td></tr><tr><td class="ms-rteTable-default">Graftor</td><td class="ms-rteTable-default">Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.</td></tr><tr><td class="ms-rteTable-default">RookieUA</td><td class="ms-rteTable-default">RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.</td></tr><tr><td class="ms-rteTable-default">Business</td><td class="ms-rteTable-default">Škodlivý program zaměřený na platformu Windows. Simuluje činnost antiviru nebo bezpečnostních modulů operačního systému.</td></tr><tr><td class="ms-rteTable-default">Darkness</td><td class="ms-rteTable-default">Darkness je backdoor bot agent, který infikuje hostitelské stroje se systémem Windows a přijímá vzdáleně příkazy od útočníků. Může být využit k DDoS útokům. Šíří se prostřednictvím e-mailů, vyměnitelných zařízení nebo síťových sdílení.</td></tr><tr><td class="ms-rteTable-default">BoA</td><td class="ms-rteTable-default">Nový bankovní malware.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.</p><p><img src="/Blog/PublishingImages/Clanky/2017/170531_Check_Point_malware_duben_mapa.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a>.<br></p>0
Hackeři mohou zneužít titulky a převzít kontrolu nad miliony přístrojů.http://www.antivirus.cz/Blog/Stranky/hackeri-mohou-zneuzit-titulky-a-prevzit-kontrolu-nad-miliony-prístroju.aspxHackeři mohou zneužít titulky a převzít kontrolu nad miliony přístrojů.<p>Výzkumníci společnosti Check Point upozorňují na novou útočnou metodu, která by hackerům mohla umožnit vytvořit škodlivé titulky a zaútočit na uživatele populárních mediálních platforem a získat kompletní kontrolu nad počítači, mobilními zařízeními a chytrými televizemi. </p><p>Check Point Software Technologies zveřejnil informace o nové útočné metodě, která ohrožuje stovky milionů uživatelů populárních přehrávačů médií, včetně VLC, Kodi (XBMC), Popcorn Time a Stremio. Vytvořením škodlivých titulků, které si diváci stáhnou, mohou útočníci získat plnou kontrolu nad jakýmkoli zařízením, na kterém jsou spuštěny zranitelné platformy.</p><p>„Dodavatelský řetězec titulků je velmi složitý. Používá se více než 25 různých formátů titulků, všechny s jedinečnými funkcemi a vlastnostmi. Tento roztříštěný ekosystém spolu s omezenou bezpečností znamená, že existuje mnoho zranitelností, které lze zneužít, což je pro útočníky velmi atraktivní,“ říká Omri Herscovici, vedoucí týmu výzkumu zranitelností ve společnosti Check Point. „Zjistili jsme, že lze vytvářet a automaticky doručit škodlivé titulky na miliony zařízení, což obejde bezpečnostní software a útočníkovi dá plnou kontrolu nad infikovaným zařízením a daty.“</p><p>Výzkumný tým společnosti Check Point odhalil zranitelnosti ve 4 populárních přehrávačích médií: VLC, Kodi, Popcorn Time a Stremio. Check Point v návaznosti na tato zjištění o zranitelnostech dále informoval. Hackeři byli schopni zneužitím zranitelností v postižených platformách převzít kontrolu nad zařízením pomocí škodlivých souborů.</p><p>Titulky pro filmy nebo televizní pořady vytváří velké množství nejrůznějších autorů a titulky jsou nahrávány do sdílených online archivů, jako je třeba OpenSubtitles.org, kde jsou titulky seřazeny a hodnoceny. Výzkumníci společnosti Check Point rovněž upozorňují, že lze manipulovat s algoritmem pro hodnocení titulků, aby přehrávače médií automaticky stáhly právě škodlivé titulky. Hackeři tak získávají plnou kontrolu nad celým dodavatelským řetězcem titulků, aniž by uživatel cokoli udělal.</p><p>Jakmile byly zveřejněny informace o zranitelnostech, všechny 4 společnosti opravily hlášené problémy. <a href="https://megahexandword.com/rnw_H8hGnAaWDkyg" target="_blank">Stremio</a> a <a href="http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe%29" target="_blank">VLC</a> vydaly také nové softwarové verze, které opravy obsahují. „Pro ochranu a minimalizování rizika spojeného s případným útokem by měli všichni uživatelé zkontrolovat, jestli používají nejnovější verze streamovacích přehrávačů,“ dodává Herscovici.</p><p>VLC má <a href="https://www.videolan.org/vlc/stats/downloads.html" target="_blank">více než 186 milionů stažení</a> nejnovější verze, která byla vydaná 5. června 2016. Kodi (XBMC) <a href="https://www.tvaddons.ag/kodi-stats-march2017/" target="_blank">překročil</a> 10 milionů unikátních uživatelů za den a téměř 40 milionů unikátních uživatelů za měsíc. Zatím nejsou k dispozici oficiální statistiky o využití Popcorn Time, ale podle odhadů se jedná o desítky milionů. Check Point má důvod se domnívat, že podobné zranitelnosti existují i v jiných streamovacích přehrávačích médií.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/05/23/hacked-in-translation/" target="_blank">http://blog.checkpoint.com/2017/05/23/hacked-in-translation/</a> </p><p>Videoukázku útoku najdete zde:</p> <iframe width="560" height="315" src="https://www.youtube.com/embed/vYT_EGty_6A" frameborder="0"></iframe>0
ESET uvolnil nástroje na kontrolu zranitelnosti EternalBlue a pro dešifrování dat napadených ransomwarem Crysishttp://www.antivirus.cz/Blog/Stranky/eset-uvolnil-nastroje-na-kontrolu-zranitelnosti-eternalblue-a-pro-desifrovani-dat-napadenych-ransomwarem-crysis.aspxESET uvolnil nástroje na kontrolu zranitelnosti EternalBlue a pro dešifrování dat napadených ransomwarem Crysis<p>​Oba nástroje jsou k dispozici zdarma na webových stránkách společnosti ESET. </p><p>Společnost ESET uvolnila dva užitečné nástroje, které pomáhají uživatelům zasaženým ransomware. Jednoduše mohou zjistit, zda je jejich systém odolný vůči WannaCry (WannaCryptor). Pokud byli v minulosti terčem kampaně využívající ransomware Crysis, mohou opět zpřístupnit zašifrovaná data.<br> <br>První nástroj kontrolující systém Windows na přítomnost zranitelnosti EternalBlue, umožňuje uživateli ověřit, zda je jeho systém již opraven a neumožňuje zneužití systému touto chybou. Zmiňovaná zranitelnost byla využita při nedávné škodlivé kampani s využitím ransomwaru WannaCry a nadále je využívána k šíření různých druhů malwaru. Síťová detekce zranitelnosti EternalBlue (CVE-2017-0144) byla do produktů ESET přidána již 25. dubna, tedy ještě před vypuknutím kampaně WannaCry.</p><p>Druhým nástrojem uvolněným společností ESET je dešifrovací nástroj na soubory napadené ransomwarem Crysis. Nově pomáhá jeho obětem obnovit napadené soubory variant, které přidávají k zašifrovaným souborům přípony .wallet a .onion. K vytvoření tohoto nástroje přispělo zveřejnění dešifrovacích klíčů v internetovém fóru BleepingComputer.com.  </p><p><strong>Oba nástroje jsou volně ke stažení na internetových stránkách společnosti ESET:</strong></p><ul><li>Kontrola zranitelnosti EternalBlue <a href="https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe" target="_blank">https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe</a></li> <li>Dekryptor ransomware Crysis <a href="https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe" target="_blank">https://download.eset.com/com/eset/tools/decryptors/crysis/latest/esetcrysisdecryptor.exe</a></li></ul>0
Živá mapa ransomwarové infekce WannaCryhttp://www.antivirus.cz/Blog/Stranky/ziva-mapa-ransomwarove-infekce-wannacry.aspxŽivá mapa ransomwarové infekce WannaCry<p>Ransomware WannaCry i nadále útočí na organizace po celém světě, především v Indii, USA a Rusku. </p><p>Check Point Software Technologies představil <a href="https://attacks.mgmt.cloud/" target="_blank">novou živou mapu</a><a href="https://attacks.mgmt.cloud/" target="_blank"> ransomwarové infekce WannaCry</a>, která která ukazuje rozsah mezinárodní <a href="http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/" target="_blank">ransomwarové epidemie</a>. Check Point od počátku detailně zkoumal tuto novou ransomwarovou kampaň. Výzkumníci byli schopni sledovat 34 300 pokusů o útok v 97 zemích. Dnes dochází k pokusu o útok v průměru každé 3 sekundy, což je mírný pokles od původního tempa před 2 dny, kdy docházelo k nějakému pokusu o útok každou sekundu. Nejčastěji byly zaznamenány pokusy o útok v Indii, USA a Rusku.</p><p><img src="/Blog/PublishingImages/Clanky/2017/blocked-wannacry-infections.png" alt="" style="margin:5px;width:650px;" /> </p><p>„Ačkoli vidíme mírné zpomalení, WannaCry se i nadále šíří velmi rychle a útočí na organizace po celém světě. WannaCry je budíček, který ukazuje, jak nebezpečný může ransomware být a jak rychle může narušit i kritické a zásadní služby,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.</p><p>Výzkumný tým Check Point Threat Intelligence and Research nedávno oznámil registraci <a href="http://blog.checkpoint.com/2017/05/15/wannacry-new-kill-switch-new-sinkhole/" target="_blank">nové kill-switch</a> domény pro novou variantu WannaCry. Check Point představil <a href="https://attacks.mgmt.cloud/" target="_blank">živou mapu ransomwarové infekce WannaCry</a>, která ukazuje klíčové statistiky a údaje o jednotlivých zemích v reálném čase. Registrace domény aktivovala kill-switch a chrání desítky tisíc potenciálních obětí před napadením ransomwarem.</p><p>Check Point zjistil, že organizace postižené ransomwarem WannaCry pravděpodobně nedostanou zpět své soubory, dokonce i když zaplatí výkupné. Problémový platební a dešifrovací systém a falešná ukázka dešifrovacího procesu vyvolávají otázku, jestli jsou vývojáři ransomwaru WannaCry schopni splnit slib a po zaplacení výkupného soubory dešifrovat. Zatím 3 bitcoinové účty spojené s kampaní WannaCry obdržely od obětí zhruba 77 000 dolarů. Navzdory tomu, a na rozdíl od mnoha jiných ransomwarových variant, nebyl doposud zaznamenán žádný případ, že by někdo obdržel soubory zpět.</p><p>Check Point představil v únoru nové anti-ransomwarové řešení, které doplňuje bezpečnostní sadu SandBlast Zero-Day Protection pro pokročilou prevenci hrozeb. Na vrcholku bezpečnostní architektury Check Point Infinity jsou právě vylepšené možnosti prevence hrozeb, které chrání před útoky, jako je například WannaCry. Extrakce hrozeb odstraňuje malware, který je vložen do infikovaných dokumentů. Emulace hrozeb zaručuje, že na koncových bodech je povolen jen bezpečný obsah, a anti-ransomwarové řešení identifikuje a blokuje ransomware ještě před možností poškodit zařízení nebo šifrovat soubory. <br></p>0
WannaCry se České republice vyhnul, aktuálním statistikám napadených zemí vévodí Rusko.http://www.antivirus.cz/Blog/Stranky/wannacry-se-ceské-republice-vyhnul-aktualnim-statistikam-napadenych-zemi-vevodi-rusko.aspxWannaCry se České republice vyhnul, aktuálním statistikám napadených zemí vévodí Rusko.<p><strong>Bezmála polovina všech detekcí byla zaznamenána v Ruské federaci, čeští uživatelé nebyli ve větší míře touto hrozbou postiženi. ESET rovněž zaznamenal šíření nových i falešných verzí WannaCry, větší riziko však nepředstavují.</strong></p><p>Společnost ESET zveřejnila statistiku detekcí ransomware Win32/ Filecoder.WannaCryptor.D neboli WannaCry. Vyplývá z ní, že v největší míře byli tímto druhem malware zasaženi uživatelé v Rusku, které zaznamenalo bezmála polovinu všech detekcí a dále na Ukrajině a Tchaj-Wanu. Česká republika je až na 52. pozici v seznamu zasažených zemí. Samotná detekce této hrozby neznamená, že došlo k infikování počítače. </p><p>1. Rusko (45,07 %)<br>2. Ukrajina (11,88 %)<br>3. Tchaj-Wan (11,55 %)<br>4. Filipíny (2,95 %)<br>5. Egypt (2,38 %)<br>6. Irán (2,16 %)<br>7. Indie (1,69 %)<br>8. Thajsko (1,55 %)<br>9. Itálie (1,19 %)<br>10. Turecko (1,06 %)<br>...<br>37. Slovensko (0,26 %)<br>52. Česká republika (0,15 %)</p><p>„České republice se tato aktuální kampaň prakticky vyhnula. Zaznamenali jsme velice nízký počet detekcí. Rovněž jsme do této chvíle nezaznamenali zasažení ani žádné významné instituce, které by byly alespoň částečně tímto druhem malware ochromeny,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti ESET. „Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ dodává Šuman.</p><h2>Nové i falešné verze WannaCry</h2><p>Společnost ESET zaznamenala i druhou verzi tohoto ransomware, která se začala šířit v pondělí. Oproti té původní je jediným rozdílem absence deaktivačního mechanismu. S ohledem na to, že žádná další úprava ve škodlivém kódu nebyla, je bezpečně zachytitelný bezpečnostním softwarem a tudíž nepředstavuje větší riziko. Absolutně žádnou hrozbu nepředstavuje javová aplikace WannaCry, která aktuální situace pouze zneužívá a záměrem jejího autora je strašení uživatelů.</p><p> <img src="/Blog/PublishingImages/Clanky/2017/ESET_fake_wannacry.png" alt="" style="margin:5px;width:650px;" /></p><h2>Prevence? Antivirus a aktualizace</h2><p>„Před aktuální verzí této hrozby Vás bezpečně ochrání pravidelně aktualizovaný bezpečnostní software i operační systém včetně všech bezpečnostních aktualizací. Obecně rovněž platí, že by uživatel měl vždy věnovat pozornost e-mailům, které otevírá. Zejména pokud je odeslána neznámým uživatelem nebo obsahuje potenciálně nebezpečnou přílohu. Stejně tak je vhodné pravidelně zálohovat data, o která uživatel nechce přijít, a to mimo svůj počítač,“ uzavírá Šuman.</p><p>V pátek 12. května se začal šířit nový ransomware WannaCry. Přestože jeho podíl na globálních hrozbách je poměrně malý, pozornost veřejnosti si získal velice rychlým šířením. Na rozdíl od většiny ransomware se šíří jako červ využívající neaktualizované zranitelnosti v systému. V zahraničí byly zasaženy nemocnice či výrobní závody. Nejvíce zasaženi byli uživatelé v Rusku, Ukrajině a Tchaj-wanu. Během dnešního dne se objevila nová verze, která neobsahuje deaktivační mechanismus, ale jinak se jedná o stejný a tedy detekovatelný ransomware.<br></p>0
Komentář společnosti ESET ke kampani ransomware WannaCryhttp://www.antivirus.cz/Blog/Stranky/komentar-spolecnosti-eset-ke-kampani-ransomware-wannacry.aspxKomentář společnosti ESET ke kampani ransomware WannaCry<h2>Shrnutí základních informací</h2><p>„Během pátečního dne se začal šířit nový ransomware WannaCry, který ESET detekuje jako Win32/Filecoder.WannaCryptor.D. Přestože jeho podíl na globálních hrozbách je poměrně malý, pozornost veřejnosti si získal velice rychlým šířením. Na rozdíl od většiny ransomware se šíří jako virus využívající neaktualizované zranitelnosti v systému. V zahraničí zasáhl nemocnice či výrobní závody. Nejsilněji byli zasaženi uživatelé v Rusku, Ukrajině a Tchaj-wanu. Během dnešního dne se objevila nová verze, která neobsahuje deaktivační mechanismus, ale jinak se jedná o stejný a tedy detekovatelný ransomware,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti ESET.</p><h2>Proč se WannaCry začal tak rychle šířit?</h2><p>„WannaCry se v první fázi šíří tradiční cestou a to jako infikovaná příloha poměrně běžného spamového emailu. Pokud tuto přílohu uživatel otevře a nemá spolehlivou antivirovou ochranu, nakazí se tímto ransomwarem. Ten se ale začne posléze sám šířit v lokální síti a to i bez aktivní účasti uživatele. WannaCry zneužívá chyby v operačním systému Microsoft Windows a šíří se jako síťový červ. Až do doby, kdy se spustí a zašifruje data, jej tak běžný uživatel nemusí vůbec zaznamenat,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti ESET.</p><h2>Jaká je situace v České republice</h2><p>„České republiky se tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend evidujeme méně než dvě stovky zasažených zařízení. Nezaznamenali jsme zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil. Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti ESET.</p><h2>Jak se mohou uživatelé této hrozbě bránit?</h2><p>„Před aktuální verzí této hrozby Vás bezpečně ochrání pravidelně aktualizovaný bezpečnostní software ESET. Doporučujeme mít rovněž aktivovaný systém včasné ochrany ESET LiveGrid. Pro zvýšení míry ochrany je třeba mít vždy aktuální verzi operačního systému Windows včetně všech bezpečnostních aktualizací. V reakci na tento případ vydala společnost Microsoft celou řadu aktualizací a to i pro systémy, které jinak už nejsou podporovány – například Windows XP či Windows Server 2003. Obecně rovněž platí, že by uživatel měl vždy věnovat pozornost e-mailům, které otevírá. Zejména pokud působí neobvykle a obsahují libovolnou přílohu. Stejně tak je vhodné pravidelně zálohovat data, o která uživatel nechce přijít, a to mimo svůj počítač,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti ESET.<br></p>0
Masivní ransomwarový útok na organizace po celém světěhttp://www.antivirus.cz/Blog/Stranky/masivni-ransomwarovy-utok-na-organizace-po-celem-svete.aspxMasivní ransomwarový útok na organizace po celém světě<p>V uplynulých hodinách došlo po celém světě k masivnímu kyberútoku na organizace. Pro útoky byla použita verze 2.0 ransomwaru WCry (někdy také označovaný jako ransomware WannaCry nebo WanaCrypt0r). Verze 1.0 se poprvé objevila 10. února 2017 a v omezené míře byla použita v březnu. Verze 2.0 byla poprvé detekována dnes ráno a bohužel se šíří velmi rychle a globálně.</p><p>Mezi oběti patří například britská zdravotnická zařízení NHS a mnoho dalších důležitých organizací po celém světě, například v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu. Útokem byla zasažena i Telefonica ve Španělsku nebo společnost Santander. Jedná se tedy podle všeho o masivní celosvětovou kampaň.</p><p>"Ransomware použitý při tomto útoku je relativně nový. Poprvé se objevil v únoru 2017 a nejnovější varianta se objevila dnes ráno, v pátek 12. května 2017. Přesto se šíří velmi rychle a útočí na organizace napříč Evropou a Asií. Potvruje se, jak nebezpečný dokáže ransomware být. A jak rychle může narušit naprosto zásadní služby. Organizace proto musí používat a nasadit pokročilé preventivní technologie, aby hrozbu zastavily ještě před branami podnikové sítě. Zároveň je důležité vzdělávat zaměstnance a informovat je o potenciálních rizicích v e-mailech od neznámých odesílatelů nebo v podezřelých e-mailech, které přichází od známých kontaktů,” říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.</p><p>Už ve čtvrtek došlo k jinému ransomwarovému útoku, viz příspěvek na blogu společnosti Check Point:<br><a href="http://blog.checkpoint.com/2017/05/11/jaff-new-ransomware-town-widely-spread-infamous-necurs-botnet/" target="_blank">http://blog.checkpoint.com/2017/05/11/jaff-new-ransomware-town-widely-spread-infamous-necurs-botnet/</a><br></p>0
Kyberzločincem může být kdykoli, malware jako službahttp://www.antivirus.cz/Blog/Stranky/kyberzlocincem-muze-byt-kdykoli-malware-jako-sluzba.aspxKyberzločincem může být kdykoli, malware jako služba<p>Výzkumníci společnosti Check Point ve spolupráci s TerbiumLabs, společností zaměřenou na informace a analýzy dark webu, rozkryli fungování DiamondFox, malwaru jako služby. <a href="/Blog/Documents/DiamondFox_Report.pdf">Zpráva</a> obsahuje technickou analýzu i detailní informace o prodejních mechanismech.</p><p>V posledních letech roste na trhu s malwarem a kyberútoky nová úspěšná obchodní metoda, která dala vzniknout celému novému odvětví: Malware jako služba. Nyní se mohou i nováčci a začátečníci bez jakýchkoli technických znalostí snadno stát kyberzločinci. Ransomware, bankovní trójské koně a řadu dalších útočných nástrojů lze jednoduše koupit na fórech v temné části internetu. Navíc pro zaplacení lze využít nejrůznější platební metody, včetně anonymních plateb.</p><p>"DiamondFox je modulární botnet, který lze zakoupit na různých fórech dark netu, a je to jeden z aktuálně nejpopulárnějších malwarů jako služba. Názorně ukazuje výhody tohoto obchodního modelu. Zakoupením jediného produktu získají uživatelé přístup k plug-inům a mohou plánovat a spouštět nejrůznější kampaně. Od špionážních kampaní přes krádeže přihlašovacích údajů, které mohou být základem pro další finanční krádeže, a dokonce až po jednoduché a vysoce efektivní DDoS útoky," říká Petr Kadrmas, Secuity Engineer Eastern Europe, Check Point Software Technologies.</p><p>Navíc se zdá, že Edbitss, oficiální prodejce malwaru, investuje do dalších vylepšení, do aktualizací a oprav, které jsou následně pečlivě sdíleny s potenciálními kupci.</p>0
Na Facebooku a Twitteru se opět šíří podvodná kampaň zneužívající značku Ray-Ban, cílem je získat údaje o platebních kartách.http://www.antivirus.cz/Blog/Stranky/na-facebooku-a-twitteru-se-siri-podvodna-kampan-zneuzivajizi-znacku-ray-ban-cilem-je-ziskat-udaje-o-platebnich-kartach.aspxNa Facebooku a Twitteru se opět šíří podvodná kampaň zneužívající značku Ray-Ban, cílem je získat údaje o platebních kartách.<p>​Uživatelé sociálních sítí často netuší, že jejich profil byl zneužit pro falešnou kampaň a podvodné inzeráty šíří mezi své přátele, upozorňuje ESET. </p><p>Mezi českými uživateli sociálních sítí Facebook a Twitter se začala znovu po roce šířit podvodná kampaň snažící se odkázat na internetové stránky fiktivního elektronického obchodu, pomocí kterého útočníci sbírají údaje o platebních kartách uživatelů. Weby jsou propagované prostřednictvím obrázků, které upozorňují na výprodej slunečních brýlí značky Ray-Ban. Útočníci ale pouze zneužívají jméno známého výrobce. Společnost Ray-Ban ani její distributoři nemají s touto akcí nic společného. Na stejnou kampaň upozornil ESET již loni v dubnu, kdy se poprvé objevila.</p><p>„Útočníci používají k šíření odkazů na podvodné stránky kompromitované facebookové účty českých uživatelů. Domníváme se, že některé weby byly dokonce vytvořeny speciálně pro Čechy, i když většina obsahu je v angličtině. Naznačuje to doména „cz“ v samotných URL adresách,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. Uživatelé Facebooku, kteří na svých profilech tyto podvodné weby propagují, o tom vůbec netuší. Útočník do jejich alba vloží několik fotografií s reklamou na podvodné weby a zároveň v obrázku označí několik přátel z kontaktů daného uživatele. V závislosti na nastavení jejich soukromí se následně obrázky s reklamou zobrazí i kontaktům označených lidí.</p><p> </p><p><img src="/Blog/PublishingImages/Clanky/2017/ray-ban-campaign.png" alt="" style="margin:5px;width:650px;" />Někteří uživatelé Facebooku a Twitteru ale informaci o slevě šíří i dobrovolně. „Opakuje se tak situace z loňského dubna, kdy jsme tuto škodlivou reklamní kampaň zaznamenali poprvé. Tehdy se někteří uživatelé přiznali k tomu, že si brýle prostřednictvím falešných stránek objednali. Teprve poté se zamýšleli nad tím, zda nejde o podvod,“ konstatuje Miroslav Dvořák. K šíření škodlivé kampaně útočníci používají i další sociální sítě, například Instagram a Pinterest.</p><p>Samotné prohlížení falešných webů není škodlivé. Problém nastává při platbě za fiktivní zboží, kdy útočník získá všechny informace potřebné k tomu, aby mohl provést finanční převod z dané karty. Informace o platební kartě totiž odchází k provozovateli podvodných webových stránek, jejichž servery se většinou nachází mimo Evropskou unii, často například v Číně.</p><p>„Pokud jste se s takovými fotografiemi na Facebooku setkali, určitě kontaktujte člověka, který je šíří. Sám o tom nemusí vůbec vědět. Tento člověk by si měl zkontrolovat antivirovou ochranou svůj počítač či mobilní zařízení a až následně změnit heslo k účtům na sociálních sítích,“ doporučuje Dvořák. Pokud jste se již pokusili objednat sluneční brýle z těchto internetových stránek, kontaktujte okamžitě svoji banku, požádejte ji o stornování transakce a také nechte zablokovat svoji platební kartu. <br></p>0