S phishingovou sadou nové generace se i z amatérů stávají zkušení kyberzločinci.
25. 4. 2018
S phishingovou sadou nové generace se i z amatérů stávají zkušení kyberzločinci.

Musí být kyberzločinci experti v hackování? Výzkumníci společnosti Check Point objevili sofistikovanou phishingovou sadu, která umožňuje i amatérům jednoduše vytvořit vlastní phishingový útok a napodobit stránky známých obchodníků a krást finanční a osobní data uživatelů.

Check Point ve spolupráci s kyberbezpečnostní společností CyberInt objevil novou generaci phishingových útočných nástrojů, které jsou v současnosti inzerované na Dark Netu. Na rozdíl od dřívějších útočných sad, které se skládají pouze z jedné nebo dvou stránek pro sběr osobních nebo finančních dat, tato nová pokročilá phishingová sada umožňuje vytvoření mnohem přesvědčivějších falešných stránek.

Nástroj vytvořil hacker s přezdívkou '[A]pache' a umožňuje i nezkušeným kyberzločincům bez technických znalostí spravovat vlastní phishingové kampaně a sbírat osobní a finanční informace nic netušících uživatelů.

Check Point popisuje, jak celý nástroj funguje a jak je používán ke kyberútokům. Stačí stáhnout multifunkční phishingovou sadu, následovat instalační instrukce a za chvíli je možné vytvořit vlastní phishingový útok. Cena za sadu se pohybuje od 100 do 300 dolarů, což je více, než je běžné u phishingových sad, které jsou obvykle nabízeny za 20 až 50 dolarů a některé jsou dokonce zdarma, protože nabízí pouze přihlašovací stránku a výzvu pro zadání osobních a finančních informací. Ovšem tato nová sada poskytuje útočníkům celou řadu nástrojů pro komplexnější a efektivnější phishingovou kampaň.

Více informací najdete v analýze společnosti Check Point:
https://research.checkpoint.com/a-phishing-kit-investigative-report/

 

 

Dvě třetiny uživatelů nechrání data na svých flash discích, GDPR navzdory.http://www.antivirus.cz/Blog/Stranky/dve-tretiny-uzivatelu-nechrani-data-na-svych-flash-discich-gdpr-navzdory.aspxDvě třetiny uživatelů nechrání data na svých flash discích, GDPR navzdory.<p><strong>Proč lidé nevyužívají šifrování? Zpravidla jej nepovažují za důležité, nebo nevědí, jak s takovým nástrojem pracovat. </strong></p><p>Celkem 95 procent Čechů alespoň jednou za čas používá nějaké paměťové zařízení. Nejčastěji, celkem v 81 procentech případů, se jedná o USB flash disky. Z těch, co používají flash disky pro přenos citlivých pracovních dat, je šifruje pouze 28 procent. Vyplývá to z průzkumu společností ESET a Seznam.cz.</p><p>„I s ohledem na blížící se začátek platnosti obecného nařízení o ochraně osobních dat, GDPR, bychom měli svá data důsledněji chránit. Zejména pokud používáme oblíbéné flash disky pro pracovní data, měli bychom nějakou formu ochrany zvolit,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. „Pokud by například zaměstnanec flash disk s citlivými pracovními daty ztratil nebo mu byl odcizen, a ta data by byla zneužita, vystavuje nejen sebe, ale i svého zaměstnavatele riziku postihu dozorčích orgánů,“ dodává Dvořák.</p><p>A proč Češi flash disky nešifrují? Průzkum odhalil dva hlavní důvody: uživatelé buď neví, jak se to dělá, nebo jsou přesvědčeni, že to nepotřebují. Tyto dva důvody uvedlo 77 procent z těch, co šifrování nepoužívají. Přímou nebo zprostředkovanou zkušenost se ztrátou flash disku přitom uvedlo 8, respektive 21 procent dotázaných. Přímou nebo zprostředkovanou zkušenost s krádeží má 1, respektive 7 procent dotázaných.</p><p>Mezi další oblíbené úložiště patří externí disky s vyšší kapacitou (58 %), cloudová úložiště (39 %), optická záznamová média (27 %), jiné zařízení (21 %) a serverová úložiště (21 %). Dotazování mohli zvolit více možností, proto součet netvoří 100 procent.</p><p>„Jedná se podobné výsledky jako v loňském roce. Například u optických médií jako prostředku pro uložení dat jsme čekali podstatně větší pokles než výsledná 3 procenta, například ve prospěch cloudových služeb. Svědčí to především o značné konzervativnosti českých uživatelů,“ uzavírá Dvořák.</p><p>Průzkum probíhal formou online dotazování, které realizoval Seznam.cz od 13. do 23. dubna 2018 a zúčastnilo se jej 946 respondentů. Vzorek je reprezentativní na uživatele služeb společnosti Seznam.cz starší 15 let, byl vyvážen při kvótách na pohlaví, věk a vzdělání.<br></p><p>​</p>
Nová varianta ransomwaru SynAck je schopná obejít zabezpečení.http://www.antivirus.cz/Blog/Stranky/nova-varianta-ransomwaru-synack-je-schopna-obejit-zabezpeceni.aspxNová varianta ransomwaru SynAck je schopná obejít zabezpečení.<p>​Odborníci Kaspersky Lab odhalili novou variantu ransomwarového trojana SynAck. Využívá Doppelgänging techniku, díky níž je ransomware schopen obejít antivirové zabezpečení zařízení. Prostřednictvím této techniky, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy. Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí.</p><p>Ransomware SynAck se objevil na podzim minulého roku a v průběhu prosince útočil na převážně anglofonní uživatele. K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru. Nová varianta objevená odborníky Kaspersky Lab však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci.</p><p>Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované Windowsové funkce a neoprávněnou implementaci systémové komponenty označované jako Windows process loader. Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé aktivity. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé škodlivé kódy. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování. Využití této techniky bylo u ransomwaru pozorováno vůbec poprvé.</p><p>Mezi další zajímavé charakteristiky nové varianty ransomwaru SynAck patří:</p><ul><li>Trojský kůň dokáže skrýt svůj spustitelný kód před kompilací (na rozdíl od většiny ransomwarů), což znemožňuje bezpečnostním odborníků provést reverzní inženýrství a analyzovat škodlivý kód. </li><li>SynAck také zakrývá odkazy na API funkce. </li><li>Po instalaci trojan přezkoumá adresář, ze kterého je spuštěn jeho spustitelný soubor, a pokud zaznamená pokus o jeho spuštění z „nesprávného“ adresáře – například potenciálního automatizovaného sandboxu – sám se vymaže. </li><li>Malware se také vymaže, pokud je klávesnice oběti nastavená na azbuku. </li><li>Před zašifrováním souborů na napadeném počítači SynAck porovná hashe všech běžících procesů a služeb se svým hard-coded listem. Pokud nalezne nějakou shodu, pokusí se daný proces zastavit. Mezi takto zablokované procesy patří virtuální stroje, kancelářské aplikace, script interpreters, databázové aplikace, zálohovací systémy, hry a další. Kyberzločinci si tím usnadňují získání cenných souborů, které by jinak byly vázány na běžící procesy.</li></ul><p>Kyberbezpečnostní odborníci jsou přesvědčeni, že útoky využívající novou variantu SynAck jsou velmi dobře zacílené. Doposud zaznamenali několik útoků na území Spojených států, Kuvajtu, Německa a Íránu. Kyberzločinci po obětech vyžadovali výkupné ve výši 3 000 dolarů (zhruba 64 000 Kč).</p><p>Společnost Kaspersky Lab detekuje tuto variantu ransomwaru SynAck jako:<br>Trojan-Ransom.Win32.Agent.abwa<br>Trojan-Ransom.Win32.Agent.abwb<br>PDM:Trojan.Win32.Generic</p><p>Aby uživatelé chránili svá zařízení před ransomwarem, doporučují odborníci následující opatření:</p><ul><li>Pravidelně zálohujte svá data. </li><li>Používejte <a href="https://www.aec.cz/cz/av">účinné bezpečnostní řešení</a>, které nabízí behaviorální detekci hrozeb. </li><li>Vždy aktualizujte software na všech zařízeních. </li><li>Firmy by měly <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/skoleni-bezpecnosti.aspx">proškolit své zaměstnance a IT týmy</a>. Zároveň je nutné mít citlivá data uložena separátně a omezit k nim přístup. </li><li>Pokud se stanete obětí šifrátoru, není důvod k panice. V mnoha případech vám pomohou programy „system clean“, které můžete najít například na stránce iniciativy <a href="/Blog/Stranky/no-more-ransom-pomaha-i-cechum-napadenym-ransomwarem.aspx">No More Ransom</a>.</li></ul><p>Více informací o nové variantě SynAck se dozvíte na blogu <a href="https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/" target="_blank">Securelist.com</a>. <br></p>
Zranitelnosti umožňovaly vzdálené spuštění kódů na chytrých telefonech LG.http://www.antivirus.cz/Blog/Stranky/zranitelnosti-umoznovaly-vzdalene-spusteni-kodu-na-chytrych-telefonech-lg.aspxZranitelnosti umožňovaly vzdálené spuštění kódů na chytrých telefonech LG.<p>Před několika měsíci odhalil výzkumný tým společnosti Check Point dvě zranitelnosti, které byly spojené s výchozí klávesnicí u běžných modelů smartphonů LG. Zranitelnosti i jejich možné zneužití se potvrdilo i u některých vlajkových lodích LG, včetně LG G4, LG G5 a LG G6.</p><p>Check Point o zranitelnostech informoval společnost LG, která záplatu vydala v rámci svého květnového bezpečnostního updatu.</p><p>Obě zranitelnosti mohly kyberzločinci využít ke vzdálenému spuštění kódu na mobilních zařízeních LG, stačilo zneužít proces aktualizace klávesnice a například sledovat stisknuté klávesy, a ohrozit tak soukromí, data a informace uživatelů. První zranitelnost souvisela s použitím nezabezpečeného připojení pro citlivý proces a druhá zranitelnost byla chyba ověření v souborovém systému LG.</p><p>Více informací najdete v analýze společnosti Check Point:<br><a href="https://research.checkpoint.com/lg-keyboard-vulnerabilities/" target="_blank">https://research.checkpoint.com/lg-keyboard-vulnerabilities/</a></p>
Otisk prstu jako zámek displeje na mobilu používáme častěji než klasický PIN.http://www.antivirus.cz/Blog/Stranky/otisk-prstu-jako-zamek-displeje-na-mobilu-pouzivame-casteji-nez-klasicky-pin.aspxOtisk prstu jako zámek displeje na mobilu používáme častěji než klasický PIN.<p>​<strong>Míra zabezpečení mobilních zařízení se v Česku zlepšuje, nadále však zaostává za ochranou počítačů. Pětina uživatelů však nepoužívá žádnou ochranu přístupu do chytrého telefonu. </strong></p><p>Nejčastějším způsobem zámku displeje a tedy přístupu mobilního telefonu v České republice už není klasický PIN, ale otisk prstu. Vyplývá to z průzkumu společností ESET a Seznam.cz. Zatímco před třemi lety patřil otisk prstu mezi prakticky nepoužívané typy zabezpečení smartphonů, když jej využívalo pouze pět procent Čechů, letos tento způsob zamykání telefonu dominuje s podílem 32 procent. PIN si jako způsob zamykání telefonu ponechalo 28 procent uživatelů chytrých telefonů. </p><p>Třetím nejčastějším typem zámku na smartphonech je gesto, jehož využívání ale v posledních třech letech mezi českými uživateli klesá. Zatímco přes třemi lety šlo o druhý nejčastější typ zámku na telefonu, který používalo 31 procent Čechů, loni jeho podíl klesl na 22 a letos na 18 procent. Smartphone bez ochrany přístupu používá 20 procent respondentů. I zde je patrný pokles, neboť v předchozích letech se takto rozhodlo 25, respektive 32 procent uživatelů.</p><p>„Tento trend si vysvětlujeme především rozšířením technologií pro alternativní zabezpečení zámku displeje. Například čtečka otisku prstů, která byla před třemi lety výsadou nejdražších smartphonů, je dnes běžná i v podstatně dostupnějších cenových kategoriích,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. „Díky tomu se jednak jedná o nejrozšířenější formu ochranu, ale zároveň klesá počet nějak nezabezpečených chytrých telefonů. Uživatelé zkrátka reflektují to, že jim ochrana zámku displeje neztěžuje užívání jejich chytrého telefonu,“ dodává Dvořák.</p><p>Zároveň se také zlepšuje povědomí Čechů o potřebě <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/mobilni-bezpecnost.aspx">bezpečnostních aplikací na mobilních zařízeních</a>. Podíl uživatelů, kteří používají na chytrém telefonu <a href="https://www.aec.cz/cz/av">antivir</a>, meziročně vzrostl o polovinu na 58 procent. Stejnou hodnotu přisuzuje průzkum i uživatelům tabletů. </p><p>„Nárůst zájmu o aktivní ochranu před internetovými hrozbami je jednoznačně pozitivní. Přestože v porovnání s podíly zabezpečených počítačů a notebooků jde stále o nízká čísla, vnímáme to tak, že uživatelé více vnímají rizika digitálního světa,“ konstatuje Miroslav Dvořák. „Průzkum nám mimo jiné potvrdil i trend přelévání uživatelů internetu od klasických počítačů k smartphonům, což zvyšuje riziko jejich napadení malwarem,“ dodal. Počítače a notebooky si antivirem chrání 95, resp. 93 procent Čechů.</p><p>Již loni společný průzkum společností ESET a Seznam.cz prokázal, že Češi přistupují k internetu nejčastěji z chytrého mobilního telefonu. Zatímco loni tak činilo 79 procent uživatelů, letos jich je již 81 procent. Druhým nejčastějším zařízením, jehož prostřednictvím bývají Češi online, je notebook, který k surfování po internetu používá 70 procent uživatelů (loni to byl o jeden procentní bod více). Teprve poté následuje počítač s podílem 57 procent (loni 59 procent) a tablet s 37 procenty (loni 39 procent).</p><p>Průzkum probíhal formou online dotazování, které realizoval Seznam.cz od 13. do 23. dubna 2018 a zúčastnilo se jej 946 respondentů. Vzorek je reprezentativní na uživatele služeb společnosti Seznam.cz starší 15 let, byl vyvážen při kvótách na pohlaví, věk a vzdělání.<br></p>
Rok poté: WannaCry, úsvit nové generace kyberútoků.http://www.antivirus.cz/Blog/Stranky/rok-pote-wannacry-usvit-nove-generace-kyberutoku.aspxRok poté: WannaCry, úsvit nové generace kyberútoků.<p>​Před rokem, 15. 5. 2017, po několika dnech digitálního boje, se svět kyberbezpečnosti navždy změnil. </p><p>Během jednoho víkendu ransomwarový útok WannaCry nakazil více než 200 000 strojů po celém světě a způsobil škody za miliardy dolarů. Ransomwarové útoky nejsou ničím novým, ale rychlost a rozsah tohoto konkrétního útoku jsme do té doby nikdy dříve neviděli. A není to tak dávno, co další podobný ransomwarový útok ochromil Atlantu.</p><p>„WannaCry změnil svět kyberbezpečnosti nejen svým celosvětovým dopadem, ale ovlivnil i celé prostředí kyberhrozeb. Byli jsme svědky globálního, multivektorového kyberútoku, který využíval nástroje sponzorované státy. WannaCry se stal milníkem a položil základ nové generaci (5. generaci) kybernetických útoků. Je proto nezbytné, aby se i organizace přizpůsobily tomuto novému standardu,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.</p><h2>Únik nástrojů sponzorovaných státy</h2><p>Zhruba měsíc před útokem WannaCry zveřejnila hackerská skupina Shadow Brothers informace o zranitelnosti EternalBlue vyvinuté americkou vládní agenturou NSA (National Security Agency). Uniklé informace o zranitelnosti byly později použity jako součást útoku WannaCry.</p><p>V minulosti používali kyberzločinci pro své hackerské aktivity relativně jednoduché domácí nástroje. WannaCry přinesl změnu a posun ke zbraním na armádní úrovni. Tyto hackerské nástroje jsou dostatečně silné na to, aby je mohly národní kyberagentury použít pro kyberválku. A pouhých 6 týdnů po útoku WannaCry použil stejný exploit i další masivní útok NotPetya, který odstavil většinu ukrajinských systémů kritické infrastruktury. A nedávný ransomwarový útok SamSam, který ochromil Atlantu, využíval DoublePulsar, další exploit vyvinutý NSA.</p><p>„Kyberzločinci zkrátka výrazně vylepšují své zbraně a techniky a jsou ve svých cílech mnohem ambicióznější než kdy dříve,“ dodává Kadrmas.</p><h2>Hrozby hromadného ničení</h2><p>Jak již bylo řečeno, úspěch útoku WannaCry vyvolal vzestup masivních globálních kyberútoků.</p><p>V roce 2015 způsobily ransomwarové útoky škody ve výši 325 milionů dolarů. Během 2 let došlo k 15násobnému nárůstu a v roce 2017 způsobil ransomware už škody za 5 miliard dolarů v souvislosti s výpadky provozu a poškozením pověsti. WannaCry odstartoval ještě masivnější vývoj vyděračských hrozeb. Společnost Recorded Future na konce ledna 2017, tedy ještě před útokem WannaCry, sledovala 635 ransomwarových variant. V únoru 2018 bylo analyzováno už 1 105 různých variant ransomwaru, což je 74procentní nárůst během pouhého roku.</p><h2>Multivektorové nástroje</h2><p>Řada lidí považuje kyberútoky za „počítačové hacky“, které infikují osobní počítač. Ale moderní hrozby se šíří nejrůznějšími kanály, prostřednictvím cloudových sítí, vzdálených kancelářských serverů nebo síťových koncových bodů, což ostatně ukázal právě WannaCry, který potřeboval jen jeden vstupní bod, aby napadl celý systém. Tento víceúrovňový přístup umožnil WannaCry snadno napadnout společnosti, které dodržovaly obvyklou bezpečnostní strategii a pro každý vstupní bod měly nasazené různé produkty od různých výrobců.</p><p>Tato strategie znamená, že společnosti často vybírají pro svá mobilní zařízení jeden konkrétní produkt, jiný pro cloudové sítě a další specifický produkt pro zabezpečení sítě. Samo o sobě to není nelogické, ale WannaCry (a další útoky 5. generace) přesně tohle chtějí: Nesourodé a nepropojené zabezpečení, které nepracuje jednotně, a nepokryje tak komplexně celou organizaci. Vidíme nový standard hrozeb, organizace proto musí přejít na nový standard i v oblasti ochrany.</p><p>Bohužel zabezpečení v organizacích zatím nedrží tempo s kyberzločinem. Nedávný průzkum společnosti Check Point ukázal, že pouze tři procenta společností má dnes takové zabezpečení, které dokáže ochránit před pátou generací kyberútoků, jako je právě například WannaCry.</p><p>Čelit útokům, jako je WannaCry, vyžaduje proaktivní preventivní kyberzabezpečení. V boji proti multivektorovým útokům 5. generace musí organizace také zajistit svůj cloudový a mobilní systém. Společný, jednotný systém prevence hrozeb, který zabezpečí všechny vektory a ochrání proti těmto moderním, inovativním útokům.</p><p>Přesto je dnes drtivá většina organizací stejně zranitelná jako před rokem. A ať už jsou připraveni nebo ne, nová generace kyberútoků je realitou.<br></p>
Česká republika a kybernetické hrozby v prvním čtvrtletí 2018http://www.antivirus.cz/Blog/Stranky/ceska-republika-a-kyberneticke-hrozby-v-prvnim-ctvrtleti-2018.aspxČeská republika a kybernetické hrozby v prvním čtvrtletí 2018<p>Spamové e-maily, phishing, trojské koně i ransomware každý den útočí na uživatele po celém světě, české nevyjímaje. Na první pohled by se mohlo zdát, že se naše země neobjevuje v hledáčcích kyberzločinců velmi často. Opak je ale pravdou. Velké ransomwarové kampaně, jako byl přesně před rokem WannaCry, si na našem území našly naštěstí jen několik stovek obětí. Menší permanentní kampaně jsou ale zacíleny na uživatele bez ohledu na jejich státní příslušnost a dokáží páchat stejně rozsáhlé škody. Společnost Kaspersky Lab veškeré hrozby online prostředí monitoruje a chrání před nimi jak jednotlivé uživatele, tak i firmy a velké korporace. </p><p>Právě díky tomuto monitoringu máme k dispozici nejnovější statistické údaje týkající se kybernetických hrozeb, které buď byly zacíleny na Českou republiku, nebo z naší republiky pocházely. Souhrn nejzajímavějších statistik za první tři měsíce tohoto roku jsou uvedeny níže. </p><p>Statistické údaje vycházejí z dat získaných ze služby Kaspersky Security Network (KSN) za první čtvrtletí tohoto roku. Zmíněná bezpečnostní síť je důležitou součástí všech produktů Kaspersky Lab pro domácí i firemní produkty. KSN pomáhá bezpečnostním odborníkům společnosti detekovat nové malwarové hrozby v reálném čase a to i přesto, že nejsou doposud známé podobné nákazy nebo heuristické detekce. Síť pomáhá identifikovat zdroje šíření malwaru na internetu, přičemž uživatelům blokuje vstup na infikované stránky.</p><p>Statistiky uvedené v této zprávě jsou založené na zcela anonymních datech získaných z produktů Kaspersky Lab nainstalovaných na počítačích uživatelů v České republice, a byly získány s plným souhlasem uživatelů. </p><p> <strong>1 717 003 internetových malwarových incidentů</strong> detekovaly bezpečnostní produkty na počítačích českých uživatelů. Celkově tak bylo v prvním čtvrtletí tohoto roku napadeno webovými hrozbami 16,1 % uživatelů. Česká republika se tímto podílem řadí na 127. místo v celosvětovém žebříčku rizik spojených s prohlížením webu.</p><ul><li>Na prvním místě se umístilo Alžírsko (46,2 %), následované Běloruskem (45,8 %), Ukrajinou (44,4 %), Moldavou (43 %) a Arménií (41,8 %).</li></ul><p>Tyto útoky nejčastěji využívají techniku sociálního inženýrství, která vyžaduje aktivní zapojení uživatele. Kyberzločinci ho za použití různých technik přimějí ke stažení zákeřného souboru, o kterém si myslí, že je legálním programem. Ochrana před touto hrozbou vyžaduje speciální antivirové řešení, které je schopné detekovat hrozbu již v průběhu jejího stahování z internetu.</p><p> <strong>3 375 445 malwarových incidentů způsobených offline metodami. </strong>Celkově tak bylo napadeno 26,5 % českých uživatelů.</p><ul><li>Nejvyšší procento napadených uživatelů offline malwarovými metodami zaznamenal Afghánistán (73,7 %), Nepál (73,7 %), Mongolsko (73,6 %), Alžírsko (73,2 %) a Rwanda (71,7 %). Česká republika obsadila až 142. místo.</li></ul><p>Největší měrou se na této statistice bezpečnostních incidentů podílejí viry a červy, které se do uživatelských počítačů dostávají prostřednictvím přenosných zařízení – USB disků, CD, DVD a dalších „offline“ metod. Aby uživatelé ochránili svá zařízení a data před těmito hrozbami, měli by využívat firewall, anti-rootkit funkcionality a správu přenosných zařízení. </p><p> <strong>1 296 044 zaznamenaných škodlivých malwarových incidentů způsobených zdroji z České republiky.</strong> Toto číslo představuje ve světovém žebříčku 0,16 % podíl a řadí Česko na 25. příčku.</p><ul><li>Těmto statistikám vévodí Spojené státy (39,14 %), Nizozemí (19,23 %), Německo (13,17 %), Francie (4,86 %) a Velká Británie (3,05%).</li></ul><p>V případě, že je uživatel používající produkty Kaspersky Lab napaden internetovou hrozbou, řešení zaznamená její zdroj. Takto jsou pro následující analýzu zaevidovány zdroje hrozeb.</p><p> <strong>0,3 % celosvětového spamu pocházelo z České republiky.</strong> Naše země se tak umístila na 45. místě mezi státy, které šířily spam.</p><ul><li>Mezi státy, na které nejvíce cílil spam pocházející z ČR patřily USA (2,11 %), Polsko (1,65 %), Brazílie (1,12 %), Rusko (0,69 %) a Uzbekistán (0,5 %). </li><li>Česká republika podle dat z KSN obsadila 48. příčku mezi zeměmi, na které byl od ledna do března 2018 zacílen spam – na počítače českých uživatelů cílilo 0,34 % celosvětového spamu.</li></ul>
Nová zero-day zranitelnost v Internet Exploreruhttp://www.antivirus.cz/Blog/Stranky/nova-zero-day-zranitelnost-v-internet-exploreru.aspxNová zero-day zranitelnost v Internet Exploreru<p>​Produkty Kaspersky Lab detekovaly na konci dubna doposud neznámý exploit. Na základě následné analýzy bezpečnostních odborníků se ukázalo, že exploit využívá zero-day zranitelnost CVE-2018-8174 v prohlížeči Internet Explorer. Podle odborníků byl využíván k cíleným útokům.</p><p>Na případu je velmi zajímavé, že se exploit Internet Exploreru stáhnul do dokumentu Microsoft Word. Podobná technika přitom doposud nebyla odborníky zaznamenána. Kyberzločinci dokonce dokázali úspěšně zneužít kompletně zazáplatovanou verzi Microsoft Wordu.</p><p>Společnost Kaspersky Lab ihned o objevené zranitelnosti informovala Microsoft. Ten včera (8. května) vydal bezpečnostní záplatu, která je dostupná <a href="https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174" target="_blank">zde</a>. </p><p>Exploit je typ softwaru, který se snaží zneužít chyby nebo zranitelnosti jiných softwarů a infikovat tak cizí zařízení škodlivým kódem. Exploity využívají jak hackeři, kteří se jeho prostřednictvím snaží obohatit, tak i organizovanější státní aktéři.</p><p>V tomto konkrétním případě se exploit zakládá na škodlivém kódu, který zneužívá zero-day zranitelnost – častou use-after-free (UAF) programovou chybu, jejíž legitimní spustitelný kód (podobně jako v Internet Exploreru) obsahuje nesprávnou logiku zpracování paměti. To vede ke spojení kódu s uvolněnou pamětí. Ve většině případů tato chyba vyústí v běžné selhání prohlížeče. Při využití exploitu ale dokáží hackeři tuto programovou chybu použít k tomu, aby nad zařízením převzali kontrolu. </p><p>Detailnější analýza exploitu ukázala, že řetězec infekce se skládá z následujících kroků:</p><ul><li>Oběť obdrží škodlivý RTF Microsoft Office dokument </li><li>Po otevření škodlivého dokumentu se stáhne druhá část exploitu – HTML stránka se škodlivým kódem </li><li>Kód způsobí poškození paměti UAF </li><li>Poté se spustí shell kód, který stáhne škodlivý obsah</li></ul><p>„Tato technika, dokud nebyla vydána bezpečnostní záplata, umožnila kyberzločincům načíst aplikaci Internet Explorer i bez ohledu na to, jaký prohlížeč uživatel běžně používá. Naštěstí proaktivní objevení této hrozby vedlo k včasnému vydání bezpečnostní záplaty ze strany Microsoftu. Všem firemním i soukromým uživatelům proto doporučujeme, aby si co nejdříve nainstalovali nejnovější aktualizace. Domníváme se totiž, že by se exploity této zranitelnosti mohly brzy dostat do oblíbených exploit kitů kyberzločinců. Doposud je využívali pouze pokročilí hackeři, ale to by se mohlo změnit,“ nabádá Anton Ivanov, bezpečnostní odborník ze společnosti Kaspersky Lab.</p><p>Produkty společnosti Kaspersky Lab detekují a úspěšně blokují všechny formy tohoto exploitu jako:</p><ul><li>HEUR:Exploit.MSOffice.Generic – RTF dokument </li><li>PDM:Exploit.Win32.Generic - IE exploit – detekce pomocí <a href="https://www.kaspersky.com/enterprise-security/wiki-section/products/automatic-exploit-prevention-aep" target="_blank">Automatic Exploit Prevention technology</a> </li><li> HEUR:Exploit.Script.Generic – IE exploit </li><li> HEUR:Trojan.Win32.Generic - Payload</li></ul><p>Více informací se o této hrozbě dozvíte na blogu <a href="https://securelist.com/root-cause-analysis-of-cve-2018-8174/85486/" target="_blank">Securelist.com</a>.</p>
Vzestup malwaru těžícího kryptoměny, který funguje i mimo webový prohlížeč.http://www.antivirus.cz/Blog/Stranky/vzestup-malwaru-teziciho-kryptomeny-ktery-funguje-i-mimo-webovy-prohlizec.aspxVzestup malwaru těžícího kryptoměny, který funguje i mimo webový prohlížeč.<p>Nejnovější zpráva společnosti Check Point upozorňuje, že hackeři stále častěji využívají malware těžící kryptoměny, který k těžbě nepotřebuje aktivní relaci ve webovém prohlížeči. </p><p>Check Point zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého v březnu dále rostl počet útoků malwarů těžících kryptoměny a výrazný vzestup zaznamenala zejména varianta XMRig.</p><p>XMRig byl poprvé objeven v květnu 2017 a do Top 10 škodlivých kódů nejčastěji použitých k útokům na podnikové sítě se dostal právě v březnu 2018, když zaznamenal 70% nárůstu celosvětového dopadu. XMRig dokáže těžit kryptoměnu Monero, aniž by potřeboval nějakou aktivní úlohu ve webovém prohlížeči v počítači oběti. Funguje totiž spíše než ve webovém prohlížeči přímo na koncovém zařízení.</p><p><img src="/Blog/PublishingImages/Clanky/2018/marchmalware.jpg" alt="" style="margin:5px;width:650px;" /></p><p>„Malware těžící kryptoměny je příkladem úspěšné hrozby a vzestup XMRigu naznačuje, že kyberzločinci aktivně investují do úprav a vylepšení svých metod,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Kromě zpomalování počítačů a serverů se může malware těžící kryptoměny dále šířit, jakmile je uvnitř sítě, což představuje pro oběti vážné bezpečnostní riziko. Je proto zásadní, aby podniky používaly vícevrstvou strategii kybernetického zabezpečení, která chrání proti stávajícím malwarovým rodinám i zcela novým hrozbám.“</p><p>I v březnu obsadil první pozici mezi malwarem nejčastěji použitým k útokům na organizace CoinHive, který měl dopad na 18 % společností, a jedničkou je už čtvrtý měsíc v řadě. Následovaly exploit kit Rig EK (17 %) a na třetí pozici skončil Cryptoloot, který ovlivnil 15 % organizací. XMRig byl 8. nejčastější variantou malwaru, která měla dopad na 5 % organizací.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ CoinHive </strong>– Je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.<br><strong>2. ↑ Rig ek </strong>– Exploit kit poprvé použitý v roce 2014. Rig zneužívá zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.<br><strong>3. ↓ Cryptoloot </strong>- Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty pro těžbu kryptoměn.</p><p>Nejčastěji použitým škodlivým kódem k útokům na podniková mobilní zařízení byl v březnu bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Hiddad.</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Lokibot </strong>- Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.<br><strong>2. Triada </strong>- Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>3. Hiddad </strong>- Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.</p><p>Vůbec poprvé výzkumníci společnosti Check Point analyzovali také nejčastěji zneužívané kyberzranitelnosti. Zranitelnost CVE-2017-10271 ovlivnila 26 % společností po celém světě, na druhém místě byla zranitelnost SQL injection, která měla dopad na 19 % organizací, a na třetí pozici se umístila zranitelnost CVE-2015-1635 s dopadem na 12 % společností.</p><h2>Top 3 - zranitelnosti:</h2><p> <strong>1. Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271)</strong> – Zranitelnost umožňující vzdáleně spustit kód v rámci služby Oracle WebLogic WLS. Důvodem je, jak Oracle WebLogic zpracovává xml dekódování. Úspěšný útok by mohl vést k vzdálenému spuštění kódu.<br><strong>2. SQL Injection </strong>- Vložení kódu do vstupu od klienta do aplikace a zároveň zneužití bezpečnostní zranitelnosti v softwaru aplikace.<br><strong>3. Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635)</strong> - V operačním systému Windows byla hlášena zranitelnost umožňující vzdálené spuštění kódu. Zranitelnost je způsobena chybou, jak HTTP.sys zpracovává škodlivou hlavičku protokolu HTTP. Úspěšné zneužití by mělo za následek vzdálené spuštění kódu.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na prvním místě je stejně jako ve světě i nadále CoinHive, malware těžící kryptoměnu Monero, a sílu malwarů těžících kryptoměny potvrzuje na druhém místě Cryptoloot. V Top 10 jsou dokonce 4 škodlivé kódy těžící kryptoměny, kromě CoinHive a Cryptoloot to jsou ještě Jsecoin (5. místo) a nově je v žebříčku také XMRig (8. příčka), který zaznamenal raketový vzestup po celém světě.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – březen 2018</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">Coinhive</td><td class="ms-rteTable-default">CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.</td></tr><tr><td class="ms-rteTable-default">Cryptoloot</td><td class="ms-rteTable-default">Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro Coinhive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.</td></tr><tr><td class="ms-rteTable-default">Rig ek</td><td class="ms-rteTable-default">Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu.<br>Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.</td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Jsecoin</td><td class="ms-rteTable-default">JavaScript těžící kryptoměny, který lze vložit do webových stránek.</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Cridex</td><td class="ms-rteTable-default">Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích.</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td></tr><tr><td class="ms-rteTable-default">FakeRean</td><td class="ms-rteTable-default">Malware maskovaný za antivirus.</td></tr><tr><td class="ms-rteTable-default">Triada</td><td class="ms-rteTable-default">Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada také umí zfalšovat URL odkazy uložené v prohlížeči.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p><img src="/Blog/PublishingImages/Clanky/2018/ThreatCloud_Map_2018-05.png" alt="" style="margin:5px;width:650px;" /></p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>
V dubnu přibývalo detekcí exploitu DoublePulsar, šiřitele ransomwaru WannaCryhttp://www.antivirus.cz/Blog/Stranky/v-dubnu-pribyvalo-detekci-exploitu-doublepulsa-siritele-ransomwaru-wannacry.aspxV dubnu přibývalo detekcí exploitu DoublePulsar, šiřitele ransomwaru WannaCry<p>​Největší internetovou hrozbou v Česku zůstává javový skript JS/CoinMiner, který skrytě těží kryptoměny, zjistil ESET. </p><p>Nechvalně proslulý škodlivý kód SMB/Exploit.DoublePulsar, který se loni v květnu významnou měrou podílel na šíření ransomwaru WannaCry, je opět aktivní v českém internetovém prostředí. Během dubna se jeho podíl na hrozbách detekovaných společností ESET zdvojnásobil oproti běžným hodnotám, jichž dosahoval v uplynulých několika měsících. ESET jej zaznamenal v 6,07 procentech případů, což z něj učinilo druhou nejčastější internetovou hrozbu v České republice po javovém skryptu JS/CoinMiner s podílem 10,92 procenta.</p><p>„Exploitem obecně označujeme specifický programový kód, který kybernetický útočník využívá pro zneužití zranitelnosti, resp. chyby v legitimním softwaru. SMB/Exploit.DoublePulsar je backdoor vyvinutý americkou Národní bezpečnostní agenturou, NSA. Infikuje počítače s operačním systémem Windows a stahuje do nich další druhy malwaru. V případě DoublePulsaru jde o sofistikovanou zálěžitost, protože jeho kód zůstává pouze v paměti a infikuje přímo jádro operačního systému napadeného počítače. Má tak dokonalou kontrolu nad systémem,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. „V květnu 2017 tento backdoor pomáhal šířit ransomware WannaCry, což byl doposud největší útok ransomwaru v historii. Podobnou situaci nyní ale neočekáváme,“ uzavírá Dvořák.</p><p>Škodlivým kódům v České republice nadále vévodí JS/CoinMiner, což je javový skrypt, který běží na pozadí internetových stránek a zneužívá výpočetního výkonu napadeného zařízení pro těžbu kryptoměn. První příčku internetových hrozeb drží od letošního ledna, kdy představoval každou druhou detekci na kybernetické hrozby a tzv. PUA, potenciálně nechtěné aplikace, bezpečnostním softwarem od společnosti ESET. Od té doby ale podíl JS/CoinMiner vytrvale klesá. Oproti březnu se jeho podíl na zachycených škodlivých kódech snížil o půl procentního bodu. Mezi deset nejčastějších hrozeb se ale v dubnu dostala jeho další varianta Win64/CoinMiner.</p><p><img src="/Blog/PublishingImages/Clanky/2018/eset-hrozby-2018-04.png" alt="" style="margin:5px;width:650px;" /></p><h2><br>Nejčastější internetové hrozby v České republice za duben 2018:</h2><p>1. JS/CoinMiner (10,92 %)<br>2. SMB/Exploit.DoublePulsar (6,07 %)<br>3. JS/Redirector (3,81 %)<br>4. JS/Adware.Agent.T (3,54 %)<br>5. PDF/Fraud (2,97 %)<br>6. JS/Adware.AztecMedia (2,46 %)<br>7. JS/ProxyChanger (2,32 %)<br>8. Win64/CoinMiner (2,13 %)<br>9. Win32/GenKryptik (2,04 %)<br>10. Java/Adwind (1,85 %)</p>
Kaspersky Lab odhalila infrastrukturu ruskojazyčných hackerů Crouching Yeti.http://www.antivirus.cz/Blog/Stranky/kaspersky-lab-odhalila-infrastrukturu-ruskojazycnych-hackeru-crouching-yeti.aspxKaspersky Lab odhalila infrastrukturu ruskojazyčných hackerů Crouching Yeti.<p>​Bezpečnostní odborníci z Kaspersky Lab odhalili infrastrukturu známé ruskojazyčné kyberzločinecké skupiny Crouching Yeti, známé také jako Energetic Bear. Analýza ukázala, že kyberzločinci jejím prostřednictvím napadli od roku 2016 řadu serverů po celém světě. Někdy chtěli prostřednictvím útoků získat přístup do systémů třetích stran, v jiných případech infrastrukturu využili k útokům watering hole.</p><p>Crouching Yeti je ruskojazyčná hackerská skupina využívající pokročilé trvalé hrozby (APT), jejíž aktivity společnost Kaspersky Lab sleduje už od roku 2010. Nechvalně se proslavila útoky na různá průmyslová odvětví po celém světě, přičemž se primárně zaměřuje na energetický sektor. Jejím hlavním cílem je ukrást cenná data z IT systémů napadených firem. Nejčastěji skupina používá techniku watering hole útoků: útočníci umístí na webové stránky infikovaný odkaz, který uživatele přesměruje na škodlivý server.</p><p>Bezpečnostní analytici Kaspersky Lab v nedávné době objevili několik firemních serverů společností z Ruska, USA, Turecka a Evropy, které napadli kyberzločinci z této skupiny. Společnosti s různým zaměřením čelily útokům v letech 2016 a 2017.</p><p>Při analyzování infikovaných serverů odborníci identifikovali několik internetových stránek a serverů používaných organizacemi v Rusku, USA, Evropě, Asii a Latinské Americe, které útočníci skenovali různými nástroji. Chtěli tak najít server, který by jim sloužil jako vstupní dveře do firemního systému, a kde by mohli implementovat své další nástroje potřebné pro kybernetický útok. Některé prozkoumané stránky mohli hackeři díky skenu označit za vhodné pro waterhole útok. Odborníci zjistili, že hackeři takto skenovali poměrně velké množství různých stránek, které patřily například online obchodům a službám, veřejným organizacím, nevládním organizacím nebo firmám ze zpracovatelského průmyslu.</p><p>Dalším zjištěním je, že skupina využívala veřejně dostupné nástroje pro serverovou analýzu a pro vyhledávání a shromažďování informací. Odborníci také našli modifikovaný sshd soubor s předinstalovaným backdoorem. Ten útočníci využili k nahrazení původního souboru a pro jeho autorizaci mohli použít „master password“.</p><p>„Aktivity této skupiny, mezi něž patří shromažďování dat, krádeže přístupových hesel nebo skenování firemních sítí, slouží hackerům k případnému iniciování dalších útoků. Na základě rozmanitosti infikovaných serverů a prohledaných sítí se dá předpokládat, že pracují pro třetí stranu,“ říká Vladimir Dashchenko, vedoucí výzkumu zranitelností v oddělení ICS CERT společnosti Kaspersky Lab.</p><p>Bezpečnostní odborníci organizacím doporučují, aby implementovaly komplexní bezpečnostní postupy zaměřující se na pokročilé hrozby. Jejich součástí by mělo být <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/sandbox.aspx">speciální řešení</a> proti cíleným útokům, umožňující okamžitou reakci na napadení a poskytující služby threat intelligence.</p><p>Více informací o aktivitě kyberzločinné skupiny Crouching Bear se dozvíte na stránkách <a href="https://ics-cert.kaspersky.com/reports/2018/04/23/energetic-bear-crouching-yeti-attacks-on-servers/">ICS CERT</a> společnosti Kaspersky Lab. <br></p>