Malware zaměřený na těžbu kryptoměn ovlivňuje 55 procent organizací po celém světě. Útočí i v ČR.
5. 2. 2018
Malware zaměřený na těžbu kryptoměn ovlivňuje 55 procent organizací po celém světě. Útočí i v ČR.

​Nejnovější zpráva společnosti Check Point upozorňuje, že na organizace stále více útočí škodlivé kódy zaměřené na těžbu kryptoměn.

Check Point zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo v prosinci 2017 k prudkému nárůstu malwaru těžícího kryptoměny. Výzkumníci společnosti Check Point zjistili, že škodlivé kódy těžící kryptoměny ovlivnily v prosinci 55 % organizací po celém světě a 10 různých variant těchto malwarů se dostalo do Top 100 všech škodlivých kódů a 2 varianty se dokonce dostaly až do Top 3. Pomocí malwarů zaměřených na těžbu kryptoměn zneužívají kyberzločinci výkon procesoru nebo grafické paměti obětí.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. I když v žebříčku došlo k řadě velkých přesunů, Česká republika i v prosinci patřila mezi nejbezpečnější země a v Indexu hrozeb se umístila na 116. příčce. Slovensko také nezaznamenalo nějaký větší posun a umístilo se na 92. pozici. Na prvním místě se v Indexu hrozeb umístila už popáté za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Litva (posun ze 122. pozice na 8. příčku),  mezi nebezpečnější země se výrazně posunulo například také Chorvatsko, o 99 míst na 22. pozici. Naopak Malajsie poskočila o 84 míst z 28. pozice na bezpečnější 112. příčku.

Check Point navíc zjistil, že kódy pro těžbu kryptoměn byly záměrně vkládány i do některých velmi navštěvovaných a známých webových stránek, zejména zaměřených na streamování médií a sdílení souborů, aniž by o tom uživatelé byli informováni. A zatímco některé z těchto aktivit jsou legální a legitimní, nástroje mohou být hacknuté ve snaze získat větší výkon a generovat vyšší příjmy, takže pak může být využíváno až 65 % výkonu procesoru uživatelského počítače.

Novou jedničkou mezi škodlivými kódy nejčastěji použitými k útokům na organizace se stal v prosinci Coinhive, malware těžící kryptoměny, který z první pozice sesadil malvertisingovou kampaň RoughTed. Na druhém místě se udržel exploit kit Rig ek. Nově se do Top 10 dostal Cryptoloot, další malware zaměřený na těžbu kryptoměn, který se posunul dokonce až na 3. příčku.

„Uživatelé stále častěji nedůvěřují vyskakujícím oknům a bannerové reklamě a využívají software pro blokování reklam, takže webové stránky více a více využívají jako alternativní zdroj příjmů těžbu kryptoměn. Ale často bez svolení a upozornění uživatelů, jejichž stroje jsou pro těžbu využívané,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Navíc kyberpodvodníci se ve snaze maximalizovat zisk snaží využít nástroje pro těžbu kryptoměn a získat ještě více z výpočetního výkonu uživatelů ve svůj prospěch. Je pravděpodobné, že v příštích měsících bude tento trend ještě výraznější.“

Top 3 - malware:

1. ↑ Coinhive – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
2. ↔ Rig ek - Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
3. ↑ Cryptoloot – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.

Mezi škodlivým kódem nejčastěji použitým k útokům na podniková mobilní zařízení vedl v prosinci modulární backdoor Triada, následovaly škodlivé kódy Lokibot a Lotoor.

Top 3 - mobilní malware:

1. Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
2. Lokibot -   Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware, který v případě odstranění administrátorských oprávnění zamkne telefon.
3. Lotoor - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na síle znovu nabírá ransomware. Globeimposter se vrátil mezi nejaktivnější malwarové rodiny a posunul se rovnou na první místo. Podobně jako ve světě i v ČR rostla hrozba malwarů zaměřených na těžbu kryptoměn. Coinhive skončil na 2. místě a konkurenční Cryptoloot na 4. pozici. Naopak významný pokles zaznamenala malvertisingová kampaň Roughted, listopadové číslo 1.

 

Top 10 malwarových rodin v České republice – prosinec 2017

Malwarová rodina Popis
GlobeimposterRansomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
CoinhiveCoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
Rig ekRig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.
Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
CryptolootMalware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro Coinhive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.
FireballFireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.
Cryptominer-BitcoinMalware zaměřený na těžbu kryptoměny Bitcoin.
LockyLocky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
TriadaModulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
TaskdespyTaskdespy je trojan, který cílí na platformu Windows. Malware shromažďuje systémové informace a odesílá je na vzdálený server. Navíc nahrává citlivé soubory z infikovaného sytému na server.


Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.

Více informací o aktuálních kyberhrozbách a útocích najdete zde: http://www.checkpoint.com/threat-prevention-resources/index.html

 

 

Lži a sex – odvrácená tvář online seznamek.http://www.antivirus.cz/Blog/Stranky/lzi-a-sex-odvracena-tvar-online-seznamek.aspxLži a sex – odvrácená tvář online seznamek.<p>​Internetové seznamky se těší velké oblibě. Někdy je využilo 59 % Čechů. Zdaleka ne všichni s nimi ale mají pozitivní zkušenosti. Nejnovější <a href="https://www.kaspersky.com/blog/online-dating-report" target="_blank">průzkum</a>* Kaspersky Lab totiž naznačuje, že ti, kteří hledají toho pravého na internetu, velmi často místo lásky najdou zklamání. Řada se jich setkali s falešnými informacemi a fotografiemi, škodlivými odkazy nebo podvodníky, kteří se od nich snažili získat citlivé informace nebo lhali o tom, co od vztahu očekávají.</p><p>Lidé, kteří opravdu hledají spřízněnou duši na internetových seznamovacích platformách, jako jsou Tinder, Bumble, OK Cupid, Badoo a další, jsou ve skutečnosti v menšině. Průzkum totiž odhalil, že je takovýchto uživatelů mezi Čechy pouze 20 %. Oproti tomu 52 % dotázaných Čechů navštěvuje online seznamky jen pro zábavu a jeden z deseti (8 %) se zajímá pouze o sex.</p><p>Svět virtuálního randění je také prosáklý lžemi, což situaci těm, kteří to s hledáním opravdové lásky po internetu myslí vážně, situaci jen zhoršuje. Více než polovina (57 %) lidí přiznala, že při online seznamování lhala. Buď chtěli vypadat lépe, než jací ve skutečnosti jsou, nebo uváděli nepravdivé informace kvůli tomu, aby nachytali své partnery při nevěře.</p><p>Množství falešných dat odrazuje velkou část lidí od seznamování po síti. Každého pátého (19 %) odrazují falešné fotografie, každý desátý (12 %) pak nemá rád, když protějšek uvádí nepravdivá očekávání od vztahu. 11 % respondentů se setkalo i s tím, že osoba na druhé straně lhala o svém současném vztahu. Paradoxně, a možná i ironicky, jsou odhalením nepravdivých informací daleko více zaskočeni ti, kteří sami lžou. </p><p>Od využívání internetových seznamek lidi odrazují nejen falešné informace, ale i kybernetické hrozby. Jeden z deseti uživatelů má zkušenost s podvodníkem, který se od něj prostřednictvím seznamek snažil získat osobní nebo finanční údaje. Jiní se setkali se zprávami obsahujícími nebezpečné odkazy nebo malware, který mohl infikovat jejich zařízení. Navíc platí, že ti, kteří o sobě v online seznamkách šíří lživé informace, se spíše stanou obětí těchto kybernetických hrozeb. Průzkum totiž ukázal, že 16 % uživatelů, kteří ve svém profilu lhali, bylo skrz online seznamovací platformu napadeno malwarem, spywarem nebo ransomwarem. Stejným způsobem bylo napadeno jen 5 % uživatelů, kteří se na seznamkách chovají čestně. </p><p>„Online seznamky jsou v dnešním propojeném a hektickém světě skvělým nástrojem pro poznávání nových lidí. Není proto divu, že s nimi má zkušenost každý třetí. Nic však není černobílé, a tak ti, kteří hledají osudovou lásku, musejí čelit velkému množství falešných informací, podvodníků nebo neprůhledných intrik. Vysoký počet lhářů, kteří se za pomoci zavádějících informací snaží vypadat lépe a atraktivněji než ve skutečnosti jsou, poukazuje na to, jak uživatelé zneužívají možnosti digitálních služeb. Velká část by si přitom podobné chování ve skutečném světě nedovolila,“ říká Andrei Mochola, ředitel divize spotřebitelských produktů společnosti Kaspersky Lab.</p><p>„Populární online trendy lákají pozornost kyberzločinců a v případě internetových seznamek tomu není jinak. V žádném případě nechceme, aby je lidé přestali používat. Pouze jim doporučujeme, aby byli obezřetní v jakékoliv situaci. Zvýšená pozornost a adaptabilní bezpečnostní řešení, které dokáže reagovat na jakoukoliv situaci na všech typech zařízení, jim pomohou překonat rizika spojená s online randěním,“ dodává Andrei Mochola. </p><p>Více informací o průzkumu a celý report „Nebezpečné vztahy: dělá to každý online?“ se dočtete na tomto <a href="https://www.kaspersky.com/blog/online-dating-report" target="_blank">odkazu</a>. <br> <br><span style="color:#7f7f7f;"><em>*Online průzkumu, který uskutečnila Kaspersky Lab spolu s B2B International v srpnu 2017, se zúčastnilo 6 458 uživatelů ze 30 států včetně České republiky. </em></span></p><p> <span style="color:#7f7f7f;"> <em></em></span> </p><h1>Online seznamky – nejzajímavější zjištění</h1><h2>Obecné, data pro Českou republiku</h2><ul><li>55 % uživatelů online seznamek je ve věku 16 – 24 let .</li><li>27 % uživatelů online seznamek je ve věku 25 – 34 let .</li><li>9 % uživatelů online seznamek je ve věku 35 – 44 let .</li><li>7 % uživatelů online seznamek je ve věku 45 – 54 let .</li><li>3 % uživatelů online seznamek je ve věku 55+ .</li><li>51 % uživatelů online seznamek jsou ženy .</li><li>49 % uživatelů online seznamek jsou muži .</li><li>34 % uživatelů je ženatých/vdaných/zadaných .</li><li>66 % uživatelů je svobodných/nezadaných .</li><li>Průměrný věk uživatelů online seznamek je 33,8 let .</li><li>58 % uživatelů pracuje na plný úvazek; 26% uživatelů je nezaměstnaných.</li></ul><h2>Důvody k seznamování po síti</h2><ul><li>Pouze 20 % uživatelů z ČR hledá na seznamkách opravdovou lásku .</li><li>52 % českých uživatelů hledá na seznamkách pouze zábavu .</li><li>8 % Čechů se na seznamkách zajímá jen o sex .</li><li>3 % dotázaných Čechů jsou na seznamkách proto, aby zjistili, jestli je podvádí partner.</li></ul><h2>Chování na seznamkách</h2><ul><li>57 % uživatelů seznamek na nich někdy lhalo .</li><li>19 % uživatelů odrazují falešné fotografie .</li><li>11 % uživatelů zažilo, že druhá osoba lhala o svém současném vztahu .</li><li>74 % uživatelů z ČR zažilo, že druhá osoba lhala o svém věku .</li><li>70 % uživatelů z ČR zažilo, že druhá osoba měla u svého profilu falešnou fotografii .</li><li>28 % uživatelů z ČR zažilo, že druhá osoba lhala o svém zaměstnání .</li><li>17 % Čechů se chce s protějškem ze seznamky sejít po pár dnech .</li><li>20 % Čechů se chce s protějškem ze seznamky sejít po pár týdnech.</li></ul><h2>Sdílení informací na seznamkách:</h2><ul><li>25 % lidí veřejně sdílí své jméno a příjmení .</li><li>10 % lidí veřejně sdílí své bydliště a detaily o zaměstnání .</li><li>15 % lidí sdílí s cizími lidmi sebeztrapňující historky .</li><li>14 % lidí posílá své soukromé nebo nahé fotografie.</li></ul><h2>Rizika na seznamkách</h2><ul><li>41 % lidí, kteří využívají online seznamky, zažilo kybernetický útok .</li><li>Pouze 20 % lidí, kteří nepoužívají online seznamky, zažilo kybernetický útok .</li><li>63 % uživatelů online seznamek se obává, že se jejich zařízení nakazí virem .</li><li>55 % uživatelů zažilo během online randění určitou podobu ohrožení .</li><li>Jen 21 % uživatelů zakazuje aplikacím přístup ke svým datům .</li><li>Jen 27 % používá antivirové zabezpečení.</li></ul>
Olympijské hry – sportovní svátek i ráj hackerůhttp://www.antivirus.cz/Blog/Stranky/olympijske-hry-sportovni-svatek-i-raj-hackeru.aspxOlympijské hry – sportovní svátek i ráj hackerů<p>​Olympiáda vždy jednou za dva roky přiláká velkou pozornost celosvětové veřejnosti. Proto organizátorům záleží na tom, aby zajistili dokonalý komfort a ničím nerušený průběh nejen sportovcům a jejich týmům, ale i samotným návštěvníkům. Hostitelská země, Jižní Korea, se letos bude chtít představit jako moderní stát s pokrokovými technologiemi a infrastrukturou na nejvyšší úrovni. Tento vrcholný sportovní svátek tak bude velkým lákadlem nejen pro sportovní fanoušky a technologické firmy z celého světa, ale i pro kyberzločince. Jak je na tom olympiáda z pohledu kybernetické bezpečnosti a jaká jsou její nejslabší místa?</p><p>„Olympijské hry vždy vedle úžasných sportovních výkonů nabízejí i jedinečnou přehlídku nejnovějších technologií, které často předznamenávají další vývoj. Vzhledem k obrovské důležitosti technologií pro bezproblémový chod této události je nezbytné zajistit jejich bezpečnost. Lákají totiž velké množství hackerů, jejichž cílem je narušit hlavní komunikační a informační systémy a způsobit chaos. Stojí tak před námi další výzva, která je ale zároveň příležitostí ukázat světu, že dokážeme úspěšně vzdorovat kybernetickým hrozbám, které nás obklopují,“ komentuje Mohamad Amin Hasbini, senior bezpečnostní analytik ve společnosti Kaspersky Lab, který se podílí na vydání bezpečnostního průvodce Securing Smart Cities pro olympijské hry.  </p><p><a href="https://securingsmartcities.org/wp-content/uploads/2017/09/SSC-15-things-v1.3.pdf" target="_blank">Průzkum</a> realizovaný v souvislosti s iniciativou <a href="https://securingsmartcities.org/wp-content/uploads/2017/09/SSC-SCCCM.pdf" target="_blank">Securing Smart Cities</a> poukázal na oblasti chytrých měst, které vyžadují zvýšenou pozornost ze strany kybernetického zabezpečení. Spadá mezi ně zabezpečení kritické infrastruktury, systémy zdravotní péče nebo ochrana životního prostředí. Ty všechny vyžadují důkladné řízení, aby nedošlo k jejich neočekávanému odstavení a všeobecnému ohrožení. Oprávněnost obav je na místě i vzhledem k narůstající tendenci útoků. V průběhu pekingských her v roce 2008 bylo totiž detekováno okolo 190 milionů kybernetických útoků (12 milionů denně). V Londýně 2012 jich analytici zaznamenali 200 milionů a v roce 2014 při hrách v Soči 322 milionů. Během poslední olympiády v Riu před dvěma lety odborníci odhalili celých 570 milionů útoků.</p><p>Kde jsou nejslabší místa olympiády z pohledu kybernetické bezpečnosti? Na co by si v Pchjongčchangu měli organizátoři dávat pozor? Odborníci, kteří se podíleli na studii Securing Smart Cities, identifikovali těchto deset oblastí, které jsou pro hackery největším lákadlem:</p><ul><li><strong>Online služby zajišťující rezervaci a prodej lístků</strong>, ubytování, jízdenek nebo občerstvení. </li><li><strong>Autentifikační a autorizační systémy, turnikety.</strong> </li><li><strong>Robotická a automatická zařízení</strong>, u kterých hrozí jejich vyřazení z provozu nebo ovládnutí hackery na dálku. </li><li><strong>Technická zařízení zabezpečující běžný provoz </strong>– jako například klimatizace, ventilace, topení, osvětlení, výtahy, dopravní signalizace apod. </li><li><strong>Organizátoři a návštěvníci her. </strong></li><li><strong>Infrastruktura hostitelské země </strong>– dodávky vody, elektřiny, doprava, bankovní služby, e-government apod. </li><li><strong>Výsledkové tabule a informační systémy</strong>, u nichž hrozí manipulace sportovními výsledky. </li><li><strong>Systémy na monitoring aktivity sportovců </strong>– systémy sledující výkonnost sportovců, ale i vyhodnocující dopingové testy. </li><li>Manipulace s <strong>datovými analytickými systémy a algoritmy</strong>, používanými pro predikci pohybu osob a hustoty dopravy nebo pro předpověď počasí. </li><li><strong>Sociální média </strong>a další veřejné online komunikační kanály, které by mohly být zneužité například k šíření falešných nebo poplašných zpráv.</li></ul><p><img src="/Blog/PublishingImages/Clanky/2018/KL_olympiada_hackeri.png" alt="" style="margin:5px;width:650px;" /> </p>
Konference Security 2018http://www.antivirus.cz/Blog/Stranky/Konference-Security-2018.aspxKonference Security 2018<p> <strong>​V Praze proběhne 26. ročník konference zaměřené na kybernetickou bezpečnost. </strong></p><p>Už po 26. se ve čtvrtek 1. března v Clarion Congress hotelu v Praze sejdou odborníci na kybernetickou bezpečnost z celého světa. Nezávislou konferenci pořádá společnost AEC a i letos bude rozdělena na dva paralelní programy: manažerský a technický, skládající se z přednášek expertů a případových studií, prezentovaných přímo zákazníky. Program začne zahájením konference v 9 hodin a s přestávkami bude trvat až do 18 hodin.</p><p> <img src="/Blog/PublishingImages/Clanky/2018/2017-02-23-tom0048.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Hlavními tématy letošního ročníku budou v manažerské části programu blížící se účinnost nové evropské směrnice GDPR, a její dopady na bezpečnost nebo budoucnost v oblasti kybersecurity. Organizátorům se i letos podařilo získat unikátní případové studie představené přímo zákazníky. Hlavním bodem této části programu tak bude prezentace provozovatele jedné z nejrozsáhlejších sítí čerpacích stanic MOL a jeho proces budování SOCu nad průmyslovými systémy celé skupiny. </p><p>V technické části programu půjde hlavně o vývoj v oblasti bezpečnostích hrozeb a vývoj v oblasti ransomware a malware. Proběhne i zvláštní hodinový blok, v rámci kterého bude společnost AEC detailně demonstrovat scénáře kyberútoků na firemní infrastrukturu s následným rozborem jejich detekce.</p><p>Na konferenci vystoupí se svými příspěvky např. poslanec za Českou Pirátskou stranu v PS PČR Ivan Bartoš, experti Tobias Schrödl, Jornt van der Wiel, Fred Streefland, Domenico Raguseo nebo Jonas Pfoh. Své zástupce mezi řečníky vyšlou i společností jako ČEZ, IBM Security, Raiffeisenbank, Symantec nebo Tatrabanka.</p><p style="text-align:center;"> <img src="/Blog/PublishingImages/Clanky/2018/2016-02-17_TOM1384.jpg" alt="" style="margin:5px;width:200px;" /> <img src="/Blog/PublishingImages/Clanky/2018/2017-02-23-tom0150.jpg" alt="" style="margin:5px;width:200px;" /></p><p>Program celé konference má na starosti speciální programová komise, která tradičně dohlíží na podobu příspěvků, aby si konference udržela vysoký odborný standard a nezávislost na marketingově, nebo produktově orientovaných příspěvcích.  </p><p>V průběhu akce se bude konat i hackerská soutěž “Capture the Flag”, v rámci které si přihlášení jednotlivci budou moci vyzkoušet techniky používané hackery k získání přístupu k moderním webových aplikacím a firemním systémům.</p><h2>Konference Security 2018</h2><p> <strong>Kdy: </strong>čtvrtek 1. března 2018, od 9.00<br><strong>Kde: </strong>Clarion Congress Hotel, Freyova 33, Praha 9<br>více informací na: <a href="http://www.konferencesecurity.cz/">www.konferencesecurity.cz</a></p><p> <img src="/Blog/PublishingImages/Clanky/2018/2017-02-23-tom0163.jpg" alt="" style="margin:5px;width:650px;" /></p>
Zneužívání počítačů v Česku k těžbě kryptoměn pokračuje. V lednu bylo ještě rozšířenější.http://www.antivirus.cz/Blog/Stranky/zneuzivani-pocitacu-v-cesku-k-tezbe-kryptomen-pokracuje-v-lednu-bylo-jeste-rozsirenejsi.aspxZneužívání počítačů v Česku k těžbě kryptoměn pokračuje. V lednu bylo ještě rozšířenější.<p>​Třetinu škodlivých kódů a potenciálně nechtěných aplikací, které zachytila společnost ESET, tvořil JS/CoinMiner. </p><p>Praha 6. února 2018 – Čeští uživatelé internetu i nadále těží kryptoměny, aniž by o tom tušili. Čelí značné kampani škodlivých kódů, které zneužívají výpočetního výkonu počítačů k těžbě kryptoměn. Společnost ESET na tuto situaci upozornila již začátkem nového roku, během ledna však tato hrozba ještě posílila. Každá třetí detekce škodlivého kódu a potenciálně nechtěných aplikací (PUA) během prvního měsíce letošního roku připadla na JS/CoinMiner. To je javový skript, který běží na pozadí internetových stránek a je vyvinut právě pro skrytou těžbu kryptoměn.</p><p>„Podíl JS/CoinMiner na zachycených internetových hrozbách oproti prosinci ještě mírně posílil na 33,49 procenta. Na začátku ledna se ale nezřídka dostal i nad 50 procent, takže jde opravdu o výjimečně silnou kampaň,“ konstatuje Miroslav Dvořák, technický ředitel společnosti ESET. Během ledna se do první desítky nejčastěji detekovaných škodlivých kódů dostaly ještě dvě varianty CoinMineru, které se chovají jako trojany a zneužívají exploitů EternalBlue SMB (Simple Message Block) či EsteemAudit RDP (Remote Desktop Protocol), oba vyvinuté americkou Národní bezpečnostní agenturou (NSA). Konkrétně jde o Win32/CoinMiner na šesté pozici (podíl 2,79 procenta) a Win64/CoinMiner na osmé pozici s podílem 2,59 procenta.</p><p>Tyto dva trojany využívají bezpečnostních chyb neaktualizovaných operačních systémů. Jakmile infikují zařízení, stáhnou do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. CoinMiner ale jeho prostřednictvím vytvoří trvalá zadní vrátka a zabezpečí si automatické spouštění vždy, když dojde ke spuštění operačního systému.</p><p>Druhým nejčastějším škodlivým kódem zachyceným v lednu společností ESET v České republice byl trojan JS/Redirector, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Jeho podíl činil 4,41 procenta. Třetí pozici obsadil HTML/ScrInject, což je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který automaticky přesměruje uživatele ke stahování škodlivého kódu. </p><h2>Deset nejčastějších internetových hrozeb v České republice za leden 2018:</h2><p>1. JS/CoinMiner (33,49%)<br>2. JS/Redirector (4,41%)<br>3. HTML/ScrInject (3,98%)<br>4. Java/Adwind (3,42%)<br>5. DOC/Fraud (2,93%)<br>6. Win32/CoinMiner (2,79%)<br>7. SMB/Exploit.DoublePulsar (2,72%)<br>8. Win64/CoinMiner (2,59%)<br>9. JS/Adware.Revizer (1,90%)<br>10. JS/ProxyChanger (1,65%)</p><p><img src="/Blog/PublishingImages/Clanky/2018/eset-hrozby-2018-01.png" alt="" style="margin:5px;width:650px;" /><br> </p>
Malware zaměřený na těžbu kryptoměn ovlivňuje 55 procent organizací po celém světě. Útočí i v ČR.http://www.antivirus.cz/Blog/Stranky/malware-zamereny-na-tezbu-kryptomen-ovlivnuje-55-procent-organizaci-po-celem-svete-utoci-i-v-cesku.aspxMalware zaměřený na těžbu kryptoměn ovlivňuje 55 procent organizací po celém světě. Útočí i v ČR.<p>​Nejnovější zpráva společnosti Check Point upozorňuje, že na organizace stále více útočí škodlivé kódy zaměřené na těžbu kryptoměn. </p><p>Check Point zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo v prosinci 2017 k prudkému nárůstu malwaru těžícího kryptoměny. Výzkumníci společnosti Check Point zjistili, že škodlivé kódy těžící kryptoměny ovlivnily v prosinci 55 % organizací po celém světě a 10 různých variant těchto malwarů se dostalo do Top 100 všech škodlivých kódů a 2 varianty se dokonce dostaly až do Top 3. Pomocí malwarů zaměřených na těžbu kryptoměn zneužívají kyberzločinci výkon procesoru nebo grafické paměti obětí.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. I když v žebříčku došlo k řadě velkých přesunů, Česká republika i v prosinci patřila mezi nejbezpečnější země a v Indexu hrozeb se umístila na 116. příčce. Slovensko také nezaznamenalo nějaký větší posun a umístilo se na 92. pozici. Na prvním místě se v Indexu hrozeb umístila už popáté za sebou Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Litva (posun ze 122. pozice na 8. příčku),  mezi nebezpečnější země se výrazně posunulo například také Chorvatsko, o 99 míst na 22. pozici. Naopak Malajsie poskočila o 84 míst z 28. pozice na bezpečnější 112. příčku.</p><p>Check Point navíc zjistil, že kódy pro těžbu kryptoměn byly záměrně vkládány i do některých velmi navštěvovaných a známých webových stránek, zejména zaměřených na streamování médií a sdílení souborů, aniž by o tom uživatelé byli informováni. A zatímco některé z těchto aktivit jsou legální a legitimní, nástroje mohou být hacknuté ve snaze získat větší výkon a generovat vyšší příjmy, takže pak může být využíváno až 65 % výkonu procesoru uživatelského počítače.</p><p>Novou jedničkou mezi škodlivými kódy nejčastěji použitými k útokům na organizace se stal v prosinci Coinhive, malware těžící kryptoměny, který z první pozice sesadil malvertisingovou kampaň RoughTed. Na druhém místě se udržel exploit kit Rig ek. Nově se do Top 10 dostal Cryptoloot, další malware zaměřený na těžbu kryptoměn, který se posunul dokonce až na 3. příčku.</p><p>„Uživatelé stále častěji nedůvěřují vyskakujícím oknům a bannerové reklamě a využívají software pro blokování reklam, takže webové stránky více a více využívají jako alternativní zdroj příjmů těžbu kryptoměn. Ale často bez svolení a upozornění uživatelů, jejichž stroje jsou pro těžbu využívané,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Navíc kyberpodvodníci se ve snaze maximalizovat zisk snaží využít nástroje pro těžbu kryptoměn a získat ještě více z výpočetního výkonu uživatelů ve svůj prospěch. Je pravděpodobné, že v příštích měsících bude tento trend ještě výraznější.“</p><h2>Top 3 - malware:</h2><p> <strong>1. ↑ Coinhive</strong> – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.<br><strong>2. ↔ Rig ek</strong> - Exploit kit poprvé použitý v roce 2014. Rig umožňuje zneužít zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.<br><strong>3. ↑ Cryptoloot</strong> – Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.</p><p>Mezi škodlivým kódem nejčastěji použitým k útokům na podniková mobilní zařízení vedl v prosinci modulární backdoor Triada, následovaly škodlivé kódy Lokibot a Lotoor.</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. Lokibot</strong> -   Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware, který v případě odstranění administrátorských oprávnění zamkne telefon.<br><strong>3. Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na síle znovu nabírá ransomware. Globeimposter se vrátil mezi nejaktivnější malwarové rodiny a posunul se rovnou na první místo. Podobně jako ve světě i v ČR rostla hrozba malwarů zaměřených na těžbu kryptoměn. Coinhive skončil na 2. místě a konkurenční Cryptoloot na 4. pozici. Naopak významný pokles zaznamenala malvertisingová kampaň Roughted, listopadové číslo 1.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – prosinec 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">Globeimposter</td><td class="ms-rteTable-default">Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</td></tr><tr><td class="ms-rteTable-default">Coinhive</td><td class="ms-rteTable-default">CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.</td></tr><tr><td class="ms-rteTable-default">Rig ek</td><td class="ms-rteTable-default">Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.<br>Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.</td></tr><tr><td class="ms-rteTable-default">Cryptoloot</td><td class="ms-rteTable-default">Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro Coinhive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Cryptominer-Bitcoin</td><td class="ms-rteTable-default">Malware zaměřený na těžbu kryptoměny Bitcoin.</td></tr><tr><td class="ms-rteTable-default">Locky</td><td class="ms-rteTable-default">Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.</td></tr><tr><td class="ms-rteTable-default">Triada</td><td class="ms-rteTable-default">Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.</td></tr><tr><td class="ms-rteTable-default">Taskdespy</td><td class="ms-rteTable-default">Taskdespy je trojan, který cílí na platformu Windows. Malware shromažďuje systémové informace a odesílá je na vzdálený server. Navíc nahrává citlivé soubory z infikovaného sytému na server.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>
Game over: slabá hesla usnadňují hacknutí hráčského účtu.http://www.antivirus.cz/Blog/Stranky/game-over-slaba-hesla-usnadnuji-hacknuti-hracskeho-uctu.aspxGame over: slabá hesla usnadňují hacknutí hráčského účtu.<p>​Online hry zažívají v současnosti zlaté časy. Svůj hráčský účet vlastní nejvíce lidí v historii. Podle <a href="https://cdn.press.kaspersky.com/files/2017/11/4114_B2C_Report_2017_WEB.pdf" target="_blank">průzkumu</a> společnosti Kaspersky Lab hraje hry po síti pravidelně více než polovina všech lidí (53 %). Podle očekávání jejich počet s nižším věkem stoupá. Mezi 25 - 34 lety hraje pravidelně 64 % lidí. Nejaktivnějšími hráči jsou ale mladí lidé mezi 16 a 24 lety. Hry po síti hraje 67 % z nich. I kvůli vzrůstající oblibě online her se ale na hráče začínají více zaměřovat kyberzločinci, kteří mohou jejich odcizené herní účty snadno prodat na černém trhu. Hráči se i přesto o bezpečnost svých účtů moc nestarají.  Riskují tak, že ztratí nejen své dosažené herní úspěchy a dokoupená vylepšení, ale mohou přijít i o osobní údaje a v některých případech i o zdroj příjmů. </p><p>Ve světě počítačových her, jemuž vévodí platformy jako je Steam, PlayStation Network a Xbox Live, se dnes v globálním měřítku <a href="https://ukie.org.uk/research" target="_blank">pohybuje</a> něco mezi 2,2 a 2,6 miliardami lidí, a toto číslo neustále roste. Není se tedy čemu divit, že takto vysoký počet potenciálních cílů láká pozornost kyberzločinců, kteří se skrz špatně chráněné účty mohou dostat k heslům nebo údajům o bankovních kartách. Tuto nepříjemnou zkušenost například nedávno zažili uživatelé platforem <a href="https://www.theverge.com/2017/5/22/15676966/microsoft-igsky-gameest-xbox-account-hacked-points" target="_blank">Xbox</a> a <a href="http://www.telegraph.co.uk/technology/2017/02/01/hackers-steal-25-million-playstation-xbox-players-details-major/" target="_blank">Playstation</a>. Při podobných útocích mohou hackeři hráčům ukrást jejich účty, na nichž mají uložené hry a různá herní vylepšení za spoustu peněz. Hráči si ale mnohdy daleko více než her, které si mohou koupit znovu, cení svých úspěchů, dosažených úrovní a vybavenosti herních postav či příběhů. Jejich vytváření věnovali desítky hodin u monitorů, které by po útoku mohly být rázem ztraceny.</p><p>Pokus o hacknutí online herního účtu, úspěšný nebo neúspěšný, zažilo 16 % uživatelů. Hackeři přitom častěji cílili na mužské herní profily (ve 21 % případů). U všech napadených hráčů ale jejich pokusy způsobily dlouhodobou nedostupnost herního účtu a omezený přístup k hrám. Ten zažila po útoku více než polovina (55 %) napadených, kterým se taková nepříjemnost v mnoha případech dokonce odrazila i na psychice. Řada hráčů totiž po zablokování svého účtu nebo odcizení hry přichází o nejoblíbenější volnočasovou aktivitu a o prostředí, kde se střetávají se svými kamarády. Spousta z nich navíc do svých virtuálních postav a příběhů investuje spoustu času a mnohdy i peněz, a tak se u nich v případě ztráty těchto dlouhodobě budovaných identit může dostavit psychický stres. </p><p>Pro hraní her po síti už dávno není nezbytně nutný domácí počítač. Hry jsou dnes jednoduše dostupné na jakékoliv platformě připojené k internetu, a tak se staly běžnou součástí všedního života, což potvrzuje i fakt, že každý třetí (27 %) člověk pravidelně hraje internetové hry na svém smartphonu. Bezmála čtvrtina hráčů (23 %) k přihlášení ke svým herním účtům využívá veřejné Wi-Fi sítě, které bývají velmi špatně zabezpečené. Průzkum ale odhalil, že 56 % hráčů při jejich využívání nevěnuje bezpečnosti dostatečnou pozornost. Hackeři tak v mnoha případech mají velmi usnadněnou práci, když si spolu s touto statistikou uvědomíme, že mobilní zařízení nejsou sama o sobě nijak zvlášť chráněna proti jejich útokům. </p><p>„Profesionální i amatérští hráči online her mají obavy z toho, že se hackeři nabourají do jejich účtů, nebo že zapomenou svá hesla. Mnohdy tak stojí před dilematem, jestli si pro všechny své účty mají nastavit stejné heslo, nebo vytvořit různá, ale jednoduchá hesla. Ani jedna možnost není správná, protože v obou případech výrazně usnadňují hackerům práci. Vždy by si totiž měli vytvářet silná a unikátní hesla pro každý svůj účet. Tím zajistí, že jejich osobní data i herní úspěchy zůstanou před hackery v bezpečí,“ nabádá Andrei Mochola, Head of Consumer Business ve společnosti Kaspersky Lab. </p><p>Většina počítačových uživatelů má základní představu o tom, jak by měla vypadat silná hesla a jak s nimi zacházet. Kombinace malých a velkých písmen, číslic, speciálních znaků a především mít pro každý účet unikátní heslo. Při současném množství všemožných online účtů je ale téměř nemožné si všechna hesla zapamatovat. Proto existuje <a href="https://www.aec.cz/cz/av">celá řada produktů</a>, která uchovává v chráněném prostředí veškerá hesla k herním účtům, sociálním sítím, internetovému bankovnictví a dalším uživatelským profilům a účtům. Pro jejich využití je nutné si zapamatovat pouze jedno hlavní přístupové heslo. Řešení také obsahují automatický generátor hesel, který za uživatele vytváří silná hesla, která výrazně snižují šance hackerů na jejich prolomení. </p><p>Více informací o kybernetických rizicích, kterým musejí čelit běžní uživatelé, se dočtete v reportu na tomto <a href="https://cdn.press.kaspersky.com/files/2017/11/4114_B2C_Report_2017_WEB.pdf" target="_blank">odkazu</a>.  <br></p>
Skygofree – pokročilý spyware zacílený na Android špehuje uživatele od roku 2014.http://www.antivirus.cz/Blog/Stranky/skygofree-pokrocily-spyware-zacileny-na-android-spehuje-uzivatele-od-roku-2014.aspxSkygofree – pokročilý spyware zacílený na Android špehuje uživatele od roku 2014.<p>​Odborníci z Kaspersky Lab objevili pokročilý škodlivý program zacílený na mobilní zařízení. Tento program je aktivní už od roku 2014 a byl navržen pro cílené kybernetické sledování. Jmenuje se Skygofree a zahrnuje funkce, které doposud nebyly u podobných podvodných programů zaznamenány. Řadí se mezi ně například nahrávání zvuků, jenž se v infikovaných zařízeních aktivuje pouze v určitých místech. Tento spyware se šíří prostřednictvím internetových stránek, které vypadají jako stránky velkých mobilních operátorů. </p><p>Skygofree je sofistikovaný několikaúrovňový spyware, který útočníkům umožňuje získat úplnou vzdálenou kontrolu nad napadeným zařízením. Od svého vytvoření na konci roku 2014 prošel výrazným vývojem. Nyní je schopen zapnout tajné nahrávání konverzací či zvuků v dosahu zařízení. Tento odposlech se aktivuje pouze tehdy, kdy se infikované zařízení nachází v určitých místech. Podobné funkcionality nebyly doposud u takto škodlivých programů detekovány. Mezi další pokročilé schopnosti spywaru, se kterými se odborníci dosud nesetkali, patří využití Accessibility Services. Díky nim mohou útočníci odcizit zprávy ze služby WhatsApp a připojit zařízení k WiFi síti, kterou ovládají.</p><p>Útočníci mohou prostřednictvím spywaru a řady jeho exploitů získat přístup k rootovacím procesům, pořizovat snímky a videa, zaznamenávat telefonáty, získat SMS či polohu zařízení. Skrz kalendář se mohou dostat i k informacím o obchodních jednáních a plánovaných událostech. Speciální funkce navíc zločincům umožňuje obejít tovární nastavení úspory energie – spyware se sám přidá mezi „chráněné aplikace“, které se automaticky nevypnou po zhasnutí obrazovky.</p><p>I když jsou prvotním cílem kyberzločinců uživatelé Androidu, zajímají se také o uživatele Windows. Napovídají tomu před nedávnem objevené verze zaměřené na tuto platformu. Většina falešných stránek, které slouží k šíření spywaru, byla zaregistrována v roce 2015. V té době podle telemetrie Kaspersky Lab došlo k největšímu šíření této kyberzločinné kampaně, která však stále pokračuje. Nejnovější doména byla zaregistrována v říjnu loňského roku. Z dat společnosti vyplývá, že se obětí spywaru stalo několik uživatelů z Itálie. </p><p>„Pokročilý mobilní malware je velmi obtížné detekovat a blokovat, a kyberzločinci stojící za Skygofree jsou si toho velmi dobře vědomi. Vyvinuli tak spyware, který je schopný bez povšimnutí špehovat vlastníky napadených zařízení. Na základě objevených částí malwarového kódu a naší analýzy infrastruktury jsme nabyli přesvědčení, že za spywarem Skygofree stojí italská IT firma nabízející sledovací řešení, jako je například HackingTeam,“ komentuje Alexey Firsh, malwarový analytik z týmu zaměřeného na cílené útoky společnosti Kaspersky Lab. </p><p>Odborníci našli 48 různých příkazů, které mohou být útočníky implementovány, a které jim umožňují maximální flexibilitu. Produkty Kaspersky Lab detekují verzi Skygofree pro Android jako HEUR:Trojan.AndroidOS.Skygofree.a a HEUR:Trojan.AndroidOS.Skygofree.b. Verze zacílená na Windows nese označení UDS:DangerousObject.Multi.Generic.</p><p>Další informace včetně seznamu příkazů Skygofree, indikátorů napadení, doménových adres a přehledu modelů zařízení napadených exploity jsou dostupné na blogu <a href="https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/" target="_blank">Securelist.com</a>. <br></p>
Kaspersky Lab objevila řadu zranitelností v USB tokenech.http://www.antivirus.cz/Blog/Stranky/kaspersky-lab-objevila-radu-zranitelnosti-v-usb-tokenech.aspxKaspersky Lab objevila řadu zranitelností v USB tokenech.<p>Odborníci z oddělení ICS CERT společnosti Kaspersky Lab našli řadu vážných zranitelností v systému správy licencí hardwarových zařízení HASP (Hardware Against Software Piracy). Ty se běžně používají ke spuštění licencovaného softwaru ve firemních a ICS sítích. Nově objevená zranitelná technologie doposud negativně ovlivnila chod jen několika společností, potenciálně jsou ale ohroženy stovky tisíc firem po celém světě.</p><p>Tyto USB-tokeny běžně používá řada organizací, kterým slouží pro spuštění softwarových licencí. Firemní administrátoři je využívají k aktivaci licencovaného softwaru na firemních počítačích. USB token po vložení do počítače potvrdí, že se jedná o licencovaný software. Po takovém ověření může uživatel daný software na počítači nebo serveru začít používat.</p><p>Po prvním vložení tokenu do počítače nebo serveru stáhne operační systém Windows softwarové ovladače ze serverů dodavatele. Tím zajistí, že hardwary tokenu a počítače budou spolupracovat. Jindy se ovladač nainstaluje spolu se softwarem třetí strany, který používá výše zmíněny systém ochrany licencí. Odborníci Kaspersky Lab zjistili, že po své instalaci tento software zařadí počítačový port 1947 do seznamu výjimek windowsového firewallu. Tím počítač vystavuje zvýšenému riziku vzdáleného útoku. Uživatele přitom na tuto akci nijak neupozorní.</p><p>Útočníkům v takovém případě stačí pouze provést sken dané sítě a najít otevřený port 1947. Ten jim umožní získat vzdálenou kontrolu nad infikovaným počítačem.</p><p>Port navíc zůstává dostupný i po odpojení tokenu. Proto i v zabezpečeném a pravidelně aktualizovaném firemním prostředí útočníkům stačí pouze jednou nainstalovat software za pomoci HASP řešení nebo připojení tokenu, aby mohli následně provést vzdálený útok. </p><p>Celkově odborníci identifikovali 14 zranitelností v  softwarové části řešení, včetně řady DoS zranitelností a RCEs (remote execution of arbitrary code). Tento fakt umožňuje útočníkům podniknout jakékoliv kroky. Všechny objevené zranitelnosti mohou být potencionálně velmi nebezpečné.</p><p>Veškeré informace o těchto zranitelnostech byly poskytnuty dodavateli a získaly následující CVE čísla:</p><ul><li><a href="https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-003-sentinel-ldk-rte-malformed-asn1-streams-in-v2c-files-lead-to-remote-code-execution/" target="_blank">CVE-2017-11496 – Remote Code Execution</a></li><li><a href="https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-002-sentinel-ldk-rte-language-packs-containing-malformed-filenames-lead-to-remote-code-execution/" target="_blank">CVE-2017-11497 – Remote Code Execution</a> </li><li><a href="https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-001-sentinel-ldk-rte-language-pack-with-invalid-html-files-leads-to-denial-of-service/" target="_blank">CVE-2017-11498 – Denial of Service</a></li><li><a href="https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-004-sentinel-ldk-rte-stack-overflow-in-custom-xml-parser-leads-to-remote-denial-of-service/" target="_blank">CVE-2017-12818 – Denial of Service</a> </li><li><a href="https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-005-sentinel-ldk-rte-remote-manipulations-with-language-pack-updater-lead-to-ntlm-relay-attack-for-system-user/" target="_blank">CVE-2017-12819 – NTLM hash capturing</a> </li><li><a href="https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-006-sentinel-ldk-rte-arbitrary-memory-read-from-controlled-memory-pointer-leads-to-remote-denial-of-service/" target="_blank">CVE-2017-12820 – Denial of Service</a> </li><li><a href="https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-007-sentinel-ldk-rte-memory-corruption-might-cause-remote-code-execution/" target="_blank">CVE-2017-12821 – Remote Code Execution</a> </li><li><a href="https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-008-sentinel-ldk-rte-remote-enabling-and-disabling-admin-interface/" target="_blank">CVE-2017- 12822 – Remote manipulations with configuration files</a></li></ul><p>“Systémy správy licencí jsou velmi rozšířené, a proto nově objevené zranitelnosti mohou postihnout velké množství firem. Tokeny navíc nepoužívají jen běžné komerční společnosti, ale také organizace začleněné do kritické infrastruktury s přísnými pravidly pro vzdálený přístup. Jejich sítě by tak kvůli těmto zranitelnostem mohly být snadno vystaveny zvýšenému riziku vzdáleného útoku,“ říká Vladimir Dashchenko, Head of vulnerability research v ICS CERT společnosti Kaspersky Lab.</p><p>Po odhalení těchto zranitelností nahlásila Kaspersky Lab veškeré informace dodavatelům softwaru, kterých se problém týká. Ti následně vydali bezpečnostní záplaty.</p><p>Odborníci ICS CERT z Kaspersky Lab uživatelům těchto produktů doporučují následující opatření:</p><ul><li><a href="https://sentinelcustomer.gemalto.com/sentineldownloads/" target="_blank">Nainstalujte si nejnovější verzi ovladače</a>, nebo kontaktujte svého dodavatele ohledně dostupných aktualizací. </li><li>Zablokujte port 1947 alespoň na externím firewallu – avšak pouze v případě, že to umožňují firemní procesy.</li></ul><p>Více informací se o těchto zranitelnostech dozvíte v <a href="https://ics-cert.kaspersky.com/reports/2018/01/22/a-silver-bullet-for-the-attacker-a-study-into-the-security-of-hardware-license-tokens/" target="_blank">blogu</a> oddělení Kaspersky Lab ICS CERT. <br></p>
Malware zobrazující pornoreklamy objeven v herních aplikacích na Google Play.http://www.antivirus.cz/Blog/Stranky/malware-zobrazujici-pornoreklamy-objeven-v-hernich-aplikacich-na-google-play.aspxMalware zobrazující pornoreklamy objeven v herních aplikacích na Google Play.<p>​V minulosti se kyberzločinci zaměřovali hlavně na organizace, nemocnice nebo vlády. Dnes vidíme, jak se začínají zaměřovat i na hry a aplikace pro děti. Výzkumníci společnosti Check Point odhalili v obchodu Google Play nový škodlivý kód, který se ukrývá v přibližně 60 herních aplikacích, z nichž je řada určena pro děti. Podle dat Google Play mohly mít tyto aplikace až 7 milionů stažení.</p><p><strong>Škodlivý kód s názvem "AdultSwine" je nebezpečný hlavně ze tří důvodů:</strong><br>1. Zobrazuje nelegitimní reklamy, některé obsahují vysoce nevhodný a pornografický obsah.<br>2. Děsí uživatele, aby nainstalovali falešné "bezpečnostní" aplikace.<br>3. Snaží se pod vidinou výhry přimět uživatele k registraci prémiových služeb.</p><p>Ale malware si v telefonu může otevřít dvířka i pro další útoky, jako jsou například krádeže přihlašovacích údajů. Jakmile je infikovaná aplikace na zařízení nainstalována a spuštěna, může si útočník vzdáleně vybrat, kterou škodlivou aktivitu spustí.</p><h2>Nelegitimní a nevhodná reklama</h2><p>Nejvíce šokujícím prvkem tohoto malwaru je jeho schopnost zobrazit pornografické reklamy (z knihovny útočníka), které se zobrazí na obrazovce bez varování, i když je jinak spuštěna legitimní hra.</p><h2>Scareware</h2><p>Malware zároveň straší uživatele a snaží se je přimět k instalaci nepotřebných a škodlivých "bezpečnostních" aplikací. Malware nejdříve zobrazí klamavou reklamu, podle které je zařízení infikované virem. Jakmile uživatel klikne na "Odstranit viry", je přesměrován na jinou aplikaci v obchodě Google Play, která se tváří jako řešení pro odstranění virů. Ovšem "Řešení pro odstranění virů" je ve skutečnosti něco jiného. Je to jen další malware.</p><h2>Registrace prémiových služeb</h2><p>Další technikou používanou škodlivým kódem je registrace prémiových služeb a inkasování poplatků za podvodné služby. Jedná se o podobnou taktiku jako u výše popsaného scarewaru. Malware nejprve zobrazí reklamu, která se snaží přesvědčit uživatele, aby si zaregistroval nějakou službu. Tentokrát však reklama tvrdí, že uživatel má nárok na výhru iPhonu, když jednoduše odpoví na čtyři krátké otázky. Pokud uživatel odpoví, stránka informuje, že uživatel byl úspěšný a vyhrává a požádá ho o zadání telefonního čísla. Po zadání reklama použije číslo pro registraci placených prémiových služeb.</p><p>Check Point o svých zjištěních informoval Google a dále spolupracoval na odstranění hrozeb. Postižené aplikace byly z Google Play odstraněny, vývojářský účty byly zakázány a uživatelům, kteří mají aplikace ještě nainstalované, se zobrazuje varování.</p><p>Aplikace infikované malwarem AdultSwine tak mohou způsobit emocionální i finanční škody. A jelikož jsou mobilní aplikace velmi oblíbené, je pravděpodobné, že hackeři budou napodobovat AdultSwine a další hrozby. Uživatelé by proto měli být velmi opatrní, když nějaké aplikace instalují, speciálně pokud to jsou aplikace určené pro děti.</p><p>Efektivní ochrana před těmito útoky vyžaduje, aby uživatelé na všech mobilních zařízeních instalovali pokročilé mobilní bezpečnostní řešení.</p><p>Více informacích najdete na stránkách společnosti Check Point:<br><a href="https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/" target="_blank">https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/</a><br></p>
Komentář k objevené slabině ve WhatsApp.http://www.antivirus.cz/Blog/Stranky/komentar-k-objevene-slabine-ve-whatsapp.aspxKomentář k objevené slabině ve WhatsApp.<p>​<strong>Zranitelnost v infrastruktuře WhatsApp, Signal a Threema. </strong></p><p>Victor Chebyshev, bezpečnostní odborník ze společnosti Kaspersky Lab:<br>“V infrastruktuře chatovacích služeb jako jsou WhatsApp, Signal a Threema byly nalezeny slabiny, které útočníkům umožňují přidávat nové členy do společných konverzačních skupin. Jejich členové toto neoprávněné přidání nemusí hned zaregistrovat. Kyberzločinci prostřednictvím této slabiny získávají přístup ke zprávám a osobním údajům (jméno a telefonní číslo) členů skupiny. Zneužití těchto bezpečnostních slabin může představovat vážné bezpečnostní riziko především pro ty uživatele, kteří prostřednictvím těchto služeb sdílejí citlivé informace.</p><p>Podle dosavadních zjištění musí hackeři nejprve získat přístup k serverům chatovacích aplikací, aby mohli následně vstoupit do konverzačních skupin. Uveřejněný průzkum nicméně takovýto postup nepodložil konkrétním příkladem. Z technického hlediska je útok na takovéto servery velmi složitý a vyžaduje velké úsilí a spoustu času. Získat kontrolu nad servery není navíc nezbytně nutné. Pro útočníky je daleko snazší dostat se do zařízení člena těchto chatovacích skupin. V nedávné době jsme podobné útoky popsali na našem blogu: <a href="https://securelist.ru/android-commercial-spyware/88170/" target="_blank">https://securelist.ru/android-commercial-spyware/88170/</a>.</p><p>Aby uživatelé zůstali před podobnými útoky v bezpečí, doporučují odborníci Kaspersky Lab následující opatření:</p><ul><li>Zkontrolujte své skupinové chaty a ověřte, že nevědomě nepřibyli neznámí členové. </li><li>Neposílejte citlivé osobní údaje prostřednictvím skupinových chatů, ale raději využijte osobní zprávy. </li><li>Nainstalujte si účinné bezpečnostní řešení, které vás ochrání před možnými hrozbami.</li></ul>