Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Přímé důsledky zranitelnosti v Microsoft Exchange Server jsou závažné. Jen aktualizace nestačíhttps://www.antivirus.cz/Blog/Stranky/prime-dusledky-zranitelnosti-v-microsoft-exchange-server-jsou-zavazne-jen-aktualizace-nestaci.aspxPřímé důsledky zranitelnosti v Microsoft Exchange Server jsou závažné. Jen aktualizace nestačí<h3>Neoprávněný přístup do elektronické pošty. Nebezpečí instalace škodlivého kódu, krádež dat a jejich zneužití metodami sociálního inženýrství. Tuzemským firmám a institucím hrozí v souvislosti s <a href="https://www.aec.cz/cz/cdc-info/Stranky/kriticka-zranitelnost-microsoft-exchange-server.aspx">masivním útokem na systémy využívající Microsoft Exchange Server</a> vážné nebezpečí. Rozsáhlý incident poukázal na fakt, že pouhá aktualizace systému firmy neochrání.</h3><p> <br>Útok na jeden z nejrozšířenějších softwarových produktů společnosti Microsoft sloužící k výměně e-mailových zpráv a sdílení zdrojů byl s největší pravděpodobností iniciován už koncem roku 2020. Během následujících měsíců, než byl v březnu odhalen, se hackerům v tichosti podařilo napadnout desetitisíce serverů po celém světě. Útoky se nevyhnuly ani České republice a Slovensku, v obou zemích se nacházely tisíce zranitelných serverů.</p><p>Kompromitace e-mailového serveru může útočníkům posloužit jako odrazový můstek pro napadení dalších systémů organizací, ale i jejích obchodních partnerů, dodavatelů či klientů. Přestože nyní probíhají aktualizace, které mají za úkol opravit zranitelnosti, nelze vyloučit, že hackeři si v napadených systémech vytvořili zadní vrátka a v budoucnosti je využijí k dalším útokům.</p><p>Zkušenosti odborníků ze společnosti AEC, která poskytuje firmám a institucím kybernetickou ochranu, ukazují, že útočníci, kteří získali přístup k citlivým informacím, se budou snažit ukradená data efektivně zpeněžit nebo využít k dalším útokům pomocí metod sociálního inženýrství.</p><p>Firmy si nemohou být ani přes včasnou instalaci záplat jisté, že z jejich systémů neunikla prostřednictvím odcizených e-mailů řada důvěrných informací – kontakty, adresy, jména zaměstnanců, faktury nebo smlouvy. A to je také jeden z důvodů, proč experti na kybernetickou bezpečnost doporučují i nadále nejvyšší míru obezřetnosti.</p><p>„Když si nejsme jistí, zda byl systém kompromitován, musíme předpokládat, že kompromitován byl,“ konstatuje Maroš Barabas, Head of Product Management společnosti AEC, a dodává: „Připravte se na to, že na vás, ale i na vaše partnery, dodavatele nebo klienty, se kterými komunikujete, mohou být zacíleny útoky a že přitom mohou být zneužity vaše důvěrné informace a data.“</p><p>Hlavní problém takové kompromitace tkví v tom, že útočník má díky odcizeným informacím dokonalý přehled o tom, jak napadená firma komunikuje se svým okolím. Díky tomu může na tuto komunikaci vhodným způsobem ve správnou chvíli navázat. Například podvrženým e-mailem, jehož forma je naprosto identická s korespondencí, kterou si firma běžně vyměňuje se svým obchodním partnerem, včetně dochované historie.<br>Rozdíl je pak pouze v tom, že vedle standardních atributů zprávy a obvyklých informací týkajících se obchodu může být v e-mailu i noticka: zasíláme požadovanou fakturu, upozorňujeme pouze na změnu čísla účtu. Z takového e-mailu nelze poznat, že jde o podvrh. Jediná jistota firmy, jak nepřijít o peníze, je, že si její poučený zaměstnanec zprávu řádně ověří.</p><p>„V takovém případě doporučujeme telefonické ověření informací přímo u dodavatele. Rozhodně ale nevolejte na číslo uvedené na podezřelé faktuře, protože na druhé straně linky vám to klidně může vzít sám útočník, volejte jen na známá čísla. Peníze zasílejte vždy jen na účty ověřené procesem, který nespoléhá na emailovou komunikaci,“ říká Maroš Barabas. Podle jeho slov mohou firmy podobným praktikám čelit tím, že využijí služby security awareness, jejichž součástí je komplexní školení zaměstnanců prováděné za pomoci nejmodernějších technologií a postupů, včetně testování. Právě odborně proškolený pracovník totiž může být rozhodující pojistkou kybernetické bezpečnosti.</p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/aec-security-awareness-graphics-2-cz.jpg" alt="" style="margin:5px;width:658px;" /> </p><p style="text-align:left;">Pro podrobnější informace navštivte web <a href="https://socialing.cz/cs">https://socialing.cz/cs</a>.<br></p>1
Stav hrozeb pro macOS: Adware se skrývá v neoficiálních kopiích známých aplikacíhttps://www.antivirus.cz/Blog/Stranky/stav-hrozeb-pro-macos-adware-se-skryva-v-neoficialnich-kopiich-znamych-aplikaci.aspxStav hrozeb pro macOS: Adware se skrývá v neoficiálních kopiích známých aplikací<h3> <span style="color:#6773b6;">​Pro české uživatele zařízení s operačním systémem macOS zůstává nejčastější hrozbou reklamní malware. Rizikem je stahování neplacených verzí drahých nástrojů a služeb.</span><br></h3><p> <br><strong>V září zaznamenali bezpečnostní analytici zvýšený počet detekcí u adwaru, který zobrazuje nejrůznější formy nevyžádané online reklamy a negativně ovlivňuje práci na zařízení. V českém prostředí se reklamní malware pro systém macOS objevuje pravidelně a jeho aktivita se zvýšila již v srpnu. Adware může dále odkazovat na jiné nebezpečné stránky a reálně ohrozit citlivá data uživatelů. Vyplývá to z pravidelné analýzy společnosti ESET.</strong> </p><p>Adware je pro uživatele v Česku hrozbou dlouhodobě. Ačkoli se nejedná o přímé riziko jako u jiného typu malwaru, uživatele jeho přítomnost v zařízení obtěžuje a může výrazně ovlivnit výkon počítače. Reálným nebezpečím se stává ve chvíli, kdy může odkazovat na různé podvodné stránky, jejichž cílem je připravit uživatele o osobní údaje nebo i o peníze. </p><p>„Adware snižuje výpočetní výkon počítače, což může především na služebním mobilním zařízení hodně komplikovat práci. Obvykle se v rámci adwaru inzerují nekvalitní produkty a služby, často jde o podvody a nelegální nabídky,“ říká Jiří Kropáč, vedoucí brněnského viruslabu společnosti ESET. </p><p>Stejně jako na konci letních měsíců, i v září zaznamenali bezpečnostní analytici nárůst detekovaných hrozeb. „Vliv na počet detekcí za sledované období má jak chování samotných uživatelů, tak stále nové způsoby a strategie ze strany útočníků, jimiž se snaží kompromitovat uživatele a jejich zařízení. Vždy se jedná o kombinaci několika faktorů,“ doplňuje Kropáč. </p><p>Reklamní malware ukrývají falešné aplikace a nástroje </p><p>Nejčastějším reklamním malwarem byl v září adware Pirrit. V bezpečnostních statistikách dominoval s více než 50 % zachycených detekcí. Malware obsahuje funkce pro zobrazení vyskakujících oken s reklamou a uživateli výrazně omezuje práci na infikovaném zařízení. </p><p>„Adware Pirrit se nejčastěji ukrývá pod aplikacemi typu Adobe Flash Player nebo File Finder, které jsou ovšem falešné. Před stažením neoficiální aplikace Adobe Flash Player by měla uživatele varovat skutečnost, že jediná legitimní verze této aplikace byla vývojáři vloni ukončena,” říká Kropáč. „Pokud uživatel vidí k bezplatnému stažení jinak drahý profesionální program nebo trendy hru, je velmi pravděpodobné, že spolu s ní stáhne i malware. Doporučujeme proto veškeré programy stahovat výhradně z oficiálních zdrojů.“ </p><p>Druhým nejčastěji zachyceným typem byl adware Bundlore. Jedná se o programový instalátor, který stahuje a instaluje do zařízení další adware. Obvykle ho útočníci vydávají za jinou aplikaci, případně je k jiné aplikaci přibalený a v praxi se projeví jako rozšíření pro webový prohlížeč. </p><p>„S vyšším počtem detekcí se v září objevil také downloader Adload. Tento trojský kůň se snaží uživatele přimět ke stažení programů, které se tváří jako video kodeky. Obvykle je to pod záminkou shlédnutí nějakého virálního videa, které se rychle šíří po internetu. Výsledkem není instalace video kodeku, ale stažení dalšího škodlivého kódu, který zobrazuje nevyžádanou reklamu nebo sbírá citlivé informace o uživateli a jeho chovaní na internetu,” vysvětluje Kropáč. </p><h2>Útočníci lákají uživatele na služby zdarma </h2><p>Stejně jako v případě jiných operačních systémů si uživatel často pustí do zařízení malware sám a dobrovolně. Nejčastěji jej stáhne jako součást jiného softwaru. Útočníci připojují škodlivý kód k jinak legitimním programům a nabízí je na fórech ke stažení zdarma. Uživatel je tak většinou nalákán na službu, která je v případě oficiálního stažení zpoplatněna. Nejlépe se přitom malwaru vyhne tím, že bude aplikace a doplňky stahovat z oficiálních míst, v tomto případě tedy z AppStore. </p><p>K zabezpečení zařízení pomáhá celková obezřetnost uživatele při prohlížení internetu a používání e mailu. Kromě těchto doporučení odborníci radí aktualizovat pravidelně všechny programy i operační systém a využívat bezpečnostní program. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu macOS za září 2021: </h2><p>1. OSX/Adware.Pirrit (56,12 %)<br> 2. OSX/Adware.Bundlore (11,22 %)<br> 3. OSX/TrojanDownloader.Adload (4,08 %)<br> 4. OSX/Adware.Spigot (2,04 %)<br> 5. OSX/Adware.Genieo (1,02 %)<br> </p>​<br>0
Podvodné e-maily stále častěji napodobují zprávy od WhatsAppu, Facebooku a LinkedInuhttps://www.antivirus.cz/Blog/Stranky/podvodne-e-maily-stale-casteji-napodobuji-zpravy-od-whatsappu-facebooku-a-linkedinu.aspxPodvodné e-maily stále častěji napodobují zprávy od WhatsAppu, Facebooku a LinkedInu<ul><li> <strong style="color:#6773b6;">Microsoft je i nadále nejčastěji napodobovanou značkou při phishingových podvodech.</strong></li><li> <strong style="color:#6773b6;">Amazon na druhém místě vystřídal DHL, kyberzločinci se snaží svézt na předvánoční nákupní vlně.</strong></li></ul> <br> <p>Check Point Research zveřejnil zprávu „Brand Phishing Report“ zaměřenou na phishingové útoky ve 3. čtvrtletí 2021. Z reportu vyplývá, jaké značky kyberzločinci nejčastěji napodobovali při pokusech o krádeže osobních dat nebo platebních údajů. </p><p>Microsoft byl i ve 3. čtvrtletí 2021 nejčastěji napodobovanou značkou při phishingových podvodech. 29 % všech phishingových útoků napodobujících známé značky se týkalo právě tohoto technologického giganta (jedná se ale o výrazný pokles oproti 45 % ve 2. čtvrtletí 2021). Podvody často souvisí s koronavirovou pandemií a hackeři se zaměřují na zaměstnance pracující na dálku. Amazon z druhého místa odsunul DHL, je zřejmé, že se zločinci snaží zneužívat nárůst online nákupů v předvánoční sezóně. </p><p>Podle reportu letos také poprvé patří mezi tři nejčastěji napodobovaná odvětví sociální média. V Top 10 jsou WhatsApp, LinkedIn a Facebook. </p><p>„Kyberzločinci se snaží neustále vylepšovat své techniky a zefektivnit krádeže osobních údajů. K tomu často využívají zprávy napodobující známé značky. Letos poprvé se sociální média stala jednou ze tří nejčastěji zneužívaných kategorií, což souvisí i s nárůstem online komunikace v důsledku koronavirové pandemie,“ říká Peter Kovalčík, Regional Director, Security Engineer EE v kyberbezpečnostní společnosti Check Point Software Technologies. „Jednotlivé značky mohou v boji s napodobováním bohužel udělat jen velmi málo. Uživatelé by měli věnovat pozornost překlepům, názvu domén, špatným datům nebo jiným podezřelým detailům. Vždy také doporučujeme nakládat se svými osobními údaji velmi obezřetně a vždy si dvakrát rozmyslet, než otevřete přílohu e-mailu nebo kliknete na nějaký odkaz. Zejména pokud se jedná o e-maily od společností Amazon, Microsoft nebo DHL, kde hrozí největší riziko falešných zpráv. Aktuálně je potřeba dávat také pozor na podvodné zprávy napodobující sociální média, jako jsou Facebook nebo WhatsApp.“ </p><p>Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a designu stránek. Odkaz na podvodný web šíří e-mailem nebo textovou zprávou, popřípadě na stránky přesměrují uživatele z jiných webových stránek či podvodných mobilních aplikací. Podvodný web také často obsahuje formulář určený k odcizení přihlašovacích údajů, platebních dat nebo jiných osobních informací. </p><h2>Nejčastěji napodobované značky ve phishingových podvodech ve 3. čtvrtletí 2021</h2><p> 1. Microsoft (29 % všech phishingových podvodů napodobujících známé značky)<br> 2. Amazon (13 %)<br> 3. DHL (9 %)<br> 4. Bestbuy (8 %)<br> 5. Google (6 %)<br> 6. WhatsApp (3 %)<br> 7. Netflix (2,6 %)<br> 8. LinkedIn (2,5 %)<br> 9. PayPal (2,3 %)<br> 10. Facebook (2,2 %) </p><p></p><h2>Ukázka phishingu zaměřeného na krádeže přihlašovacích údajů Google </h2><p>Ve 3. čtvrtletí jsme byli svědky phishingových kampaní, které se snažily ukrást přístupové údaje k účtům Google. E-maily odeslané z adresy Google (no-reply@accounts[.]google[.]com) obsahovaly předmět „Pomozte zlepšit zabezpečení svého účtu Google“. Útočníci se snažili oběti přimět ke kliknutí na škodlivý odkaz (http://router-ac1182f5-3c35-4648-99ab-275a82a80541[.]eastus[.]cloudapp[.]azure[.]com), který uživatele přesměroval na podvodnou přihlašovací stránku, která vypadala jako skutečná přihlašovací stránka Google a vyžadovala zadání přihlašovacích údajů. </p><p style="text-align:center;"> <em>​<img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/brand-phishing-01.png" data-themekey="#" alt="" style="margin:5px;width:292px;" /><br>Podvodný e-mail </em></p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/brand-phishing-02.jpg" data-themekey="#" alt="" style="margin:5px;width:652px;" /> <br>Podvodný web</em> </p><h2>Ukázka phishingu zaměřeného na krádeže LinkedIn účtů </h2><p>Hackeři se snažili krást také informace o LinkedInových účtech pomocí phishingových e-mailů rozesílaných z adresy linkedin@connect[.]com. E-maily s předmětem „Máte novou obchodní pozvánku na Linkedln od *****“ se snažily nalákat oběti ke kliknutí na škodlivý odkaz, který uživatele přesměroval na podvodnou přihlašovací stránku napodobující LinkedIn. Na škodlivém odkazu (https://www[.]coversforlife[.]com/wp-admin/oc/nb/LinkedinAUT/login[.]php) museli uživatelé zadat své uživatelské jméno a heslo. Na stránce vidíme mimo jiné starý rok („2020 LinkedIn“). </p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/brand-phishing-03.png" data-themekey="#" alt="" style="margin:5px;width:388px;" /> <br>Podvodný e-mail </em></p><p style="text-align:center;"> <em> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/brand-phishing-04.png" data-themekey="#" alt="" style="margin:5px;width:614px;" /> <br>Podvodná přihlašovací stránka</em> </p><h2>Jak se před phishingem chránit? Podívejte se na několik základních bezpečnostních tipů: </h2><p>1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám. <br> <br>2. Pozor na e-maily s žádostí o resetování hesla. Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům. <br> <br>3. Nenechte se zmanipulovat. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu. <br> <br>4. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám. <br> <br>5. Obecně platí, že nesdílejte více, než je nezbytně nutné, a to bez ohledu na web. Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám. <br> <br>6. Smažte podezřelé zprávy. Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy. <br> <br>7. Neklikejte na přílohy. Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF. <br> <br>8. Ověřte odesílatele. U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele. <br> <br>9. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím. <br> <br>10. Nikdy nevěřte příliš dobrým nabídkám jako například „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zprávách a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce. <br> <br>11. Chraňte se před phishingovými útoky. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i <a href="https://www.aec.cz/cz/av">bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení</a>. </p> <br>0
Přehled hrozeb pro Android: V bezmála polovině případů byl v září hrozbou bankovní malwarehttps://www.antivirus.cz/Blog/Stranky/prehled-hrozeb-pro-android-v-bezmala-polovine-pripadu-byl-v-zari-hrozbou-bankovni-malware.aspxPřehled hrozeb pro Android: V bezmála polovině případů byl v září hrozbou bankovní malware<h3> <span style="color:#6773b6;">V Čechách se nadále objevuje bankovní malware Cerberus, jeho aktivita byla v září oproti srpnu více než dvojnásobná. Znovu se také objevil malware Hiddad, který spouští skrytou reklamu.</span> </h3><p> <strong> <br>České uživatele nadále ohrožuje bankovní malware Cerberus. Aktivita tohoto škodlivého kódu se ve srovnání se srpnovými čísly v září zdvojnásobila. Nadále tak platí varování před stahováním aplikací a služeb mimo oficiální obchod Google Play. V září se uživatelé mohli setkat také s agresivním typem adwaru, který na jejich zařízeních spouštěl skrytou reklamu. Detekován je pod názvem Hiddad. AEE. Vyplývá to z pravidelné statistiky hrozeb společnosti ESET.</strong></p><p>Nejčastější hrozbou v Česku za minulý měsíc byl trojský kůň Cerberus, který se ve statistikách sledovaných hrozeb objevuje pravidelně již od začátku tohoto roku. Šíří se nejčastěji prostřednictvím tzv. dropperů, škodlivého kódu, který napodobuje známé nástroje a služby. Pokud je uživatel stáhne do svého zařízení, vystavuje se nebezpečí v podobě daleko závažnější hrozby. </p><p>„Nejlépe si droppery můžete představit jako obálky, které do zařízení uživatele doručí další, daleko škodlivější malware,” vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Jednotlivé droppery mají velké množství verzí a rychle se mění. Tento krok navíc využívají útočníci proto, aby zmátli uživatele a skryli malware před méně kvalitními bezpečnostními programy.“ </p><h2>Bankovní malware si uživatel stáhne spolu se známou aplikací </h2><p>Trojský kůň Cerberus je rizikem zejména pro bankovní služby. V současnosti se šíří prostřednictvím dropperu Agent.GOF. Jedná se o velmi populární malware a většina detekcí pro platformu Android je spojena právě s ním. Obsahuje funkce pro odcizení přihlašovacích údajů z legitimních stránek bank anebo ke čtení SMS kódů. Rizikový je především při placení přes internetové bankovnictví, nikoli v bankovní aplikaci. </p><p>„Dropper Agent.GOF v září posílil a jeho současná verze útočila na uživatele opravdu silně. Nárůst detekcí u tohoto typu škodlivého kódu byl v září vyšší o 142 %. Nadále se vydává například za Pinterest a uživatel na něj může narazit také v různých nástrojích, jako jsou aplikace pro sledování fotbalových statistik nebo čtení ekonomických médií. Ve všech případech se jednalo o aplikace z neoficiálních aplikačních obchodů nebo různých fór,” říká Jirkal. </p><h2>Zdrojem rizik je i nevyžádaná reklama </h2><p>Druhou nejčastější hrozbou byl trojský kůň Andreed, který se mezi nejčastějšími hrozbami objevil také v srpnu. Počet detekcí tohoto typu malwaru narostl v září o 37 %. Andreed je ve srovnání s malwarem Cerberus méně rizikovým malwarem, který uživatelům zobrazuje nevyžádanou agresivní reklamu. </p><p>Na třetím místě pomyslného žebříčku nejčastějších hrozeb se v září objevil trojský kůň Hiddad.AEE. Jedná se o adware, který patří do větší rodiny malwaru Hiddad. Stejně jako v případě malwaru Cerberus může být i tento škodlivý kód distribuován dropperem, který se vydává za bezpečnostní nástroj pro vyčištění zařízení. </p><p>„Malware Hiddad zobrazuje reklamu tzv. skrytým způsobem. Uživatel tak prakticky nemá možnost zjistit, ze které aplikace se daná reklama zobrazuje. Malware spustí reklamu jako externí službu a uživatel nevidí žádnou ikonu v telefonu nebo aktivitu na pozadí systému. Adware pak může prostřednictvím reklamy přimět uživatele, aby kliknul na zobrazovaný odkaz a odvést ho na daleko nebezpečnější stránky,” vysvětluje Jirkal. </p><h2>Malware se ukrývá ve službách a nástrojích z neoficiálních míst </h2><p>Doporučenou ochranou před malwarem je především nestahovat aplikace mimo oficiální obchod Google Play. Zabezpečení svého zařízení má tak v rukou především sám uživatel. Důvodem stahování aplikací z neoficiálních zdrojů bývá skutečnost, že aplikace se v oficiálním obchodu nenachází, či je zpoplatněná. Útočníci tak lákají uživatele na jinak placené služby zdarma. </p><p>„Cerberus je rizikem pro internetové bankovnictví, nikoli oficiální aplikace bank. Používání bankovních aplikací a ověřování plateb přímo v nich pomocí otisků prstů nebo jiným adekvátním způsobem tak považuji za řešení, které pomůže snížit riziko potenciálního útoku. Pro úplné zabezpečení zařízení bych potom doporučil renomovaný bezpečnostní software a pravidelně aktualizovat operační systém i všechny aplikace v telefonu,” dodává Jirkal z ESETu. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za září 2021:</h2><p>1. Android/TrojanDropper.Agent.GOF trojan (47,13 %)<br> 2. Android/Andreed trojan (6,31 %)<br> 3. Android/Hiddad.AEE trojan (3,27 %)<br> 4. Android/TrojanDropper.Agent.GUB trojan (2,94 %)<br> 5. Android/TrojanDropper.Agent.IGY trojan (2,22 %)<br> 6. Android/TrojanDownloader.Agent.KE trojan (1,96 %)<br> 7. Android/TrojanDropper.Agent.IEG trojan (1,77 %)<br> 8. Android/TrojanDropper.Agent.HQQ trojan (1,63 %)<br> 9. Android/TrojanDownloader.Agent.WI trojan (1,62 %)<br> 10. Android/Monitor.Cerberus application (1,14 %) </p>​<br>0
Trickbot znovu vládne malwaruhttps://www.antivirus.cz/Blog/Stranky/trickbot-znovu-vladne-malwaru.aspxTrickbot znovu vládne malwaru<h3> <span style="color:#6773b6;">​Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že nejrozšířenějším malwarem je znovu Trickbot a na vzestupu je i trojan pro vzdálený přístup njRAT.</span></h3><p> <br> Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v září na čelo nejrozšířenějších malwarů vrátil Trickbot. </p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží mezi bezpečnějšími zeměmi, v září jí patřila 87. pozice. Slovensko stejně jako v srpnu i v září obsadilo 63. příčku. Na prvním, tedy nejnebezpečnějším, místě byla znovu Etiopie. Mezi méně bezpečné země se výrazně posunula Uruguay, které v srpnu patřila 91. pozice a v září 23. Naopak Rumunsko kleslo z 18. příčky na 44. </p><p>Trickbot je bankovní trojan, který dokáže krást finanční informace, přihlašovací údaje a osobní data a také se může šířit uvnitř sítě a spouštět ransomwarové útoky. Na popularitě získal zejména po lednovém odstavení Emotetu. Jeho schopnosti, funkce a možnosti šíření jsou neustále vylepšovány, takže je flexibilní a dobře využitelný v rámci víceúčelových kampaní. Mezi nejrozšířenější škodlivé kódy se poprvé dostal také trojan pro vzdálený přístup njRAT, který nahradil již neaktivní Phorpiex. </p><p>„Trickbot se sice stal opět nejrozšířenějším malwarem, ale v rámci amerického vyšetřování byl jeden ze členů Trickbot gangu zatčen,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Vznesena byla i další obvinění, takže věříme, že dominance kybergangu bude oslabena. Ale jako vždy je před námi ještě dlouhá cesta. Navíc varujeme před meziročním nárůstem kyberútoků o více než 40 %. Většině útoků, ne-li všem, je možné zabránit, ale organizace nesmí otálet s implementací preventivních bezpečnostních řešení a technologií.“ </p><h2>Top 3 - malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v září Trickbot, který měl dopad na 4 % organizací po celém světě. Na druhou příčku klesl FormBook s dopadem na 3 % společností. XMRig na třetím místě ovlivnil také 3 % podniků. <br> <b>1. ​↑ Trickbot </b>– Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní. <br> <b>2. ↓ FormBook </b>– FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. <br> <b>3. ↑ XMRig </b>– XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. </p><h2>Top 3 - mobilní malware: </h2><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot. <br> <b>1. ↔ xHelper </b>– Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje. <br> <b>2. ↔ AlienBot </b>– AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení. <br> <b>3. ↔ FluBot</b> – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu. </p><h2>Top 3 - zranitelnosti: </h2><p>Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 44 % organizací. Druhé místo obsadila zranitelnost „Command Injection Over HTTP“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „HTTP Headers Remote Code Execution“ také s dopaden na 43 % organizací. <br> <b>1. ↔ Web Server Exposed Git Repository Information Disclosure</b> – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu. <br> <b>2. ↑ Command Injection Over HTTP </b>– Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužité by umožnilo útočníkům spustit libovolný kód na cílovém počítači. <br> <b>3. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) </b>– Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti. </p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook lehce oslabil, naopak posílil, stejně jako v celosvětovém měřítku, Trickbot. Mezi nejrozšířenějšími škodlivými kódy se drží i kryptominer XMRig a v září byl velmi aktivní také bankovní trojan Dridex. Zajímavostí v českém žebříčku je také trojan Badur, který je jinak ve světě velmi nevýrazný. </p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top malwarové rodiny v České republice - září 2021</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad ve světě</strong></td><td class="ms-rteTable-default" width="50"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">FormBook</td><td class="ms-rteTable-default">FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.</td><td class="ms-rteTable-default">3,14 %</td><td class="ms-rteTable-default">4,58 %</td></tr><tr><td class="ms-rteTable-default">Trickbot</td><td class="ms-rteTable-default">Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost.</td><td class="ms-rteTable-default">4,09 %</td><td class="ms-rteTable-default">4,58 %</td></tr><tr><td class="ms-rteTable-default">XMRig<br></td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">2,87 %</td><td class="ms-rteTable-default">3,15%</td></tr><tr><td class="ms-rteTable-default">Dridex</td><td class="ms-rteTable-default">Bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.</td><td class="ms-rteTable-default">0,75 %</td><td class="ms-rteTable-default">3,15 %</td></tr><tr><td class="ms-rteTable-default">Badur</td><td class="ms-rteTable-default">Badur je trojan, který využívá bota herní platformy Steam, přidává lidi do přátel a odesílá jim zkrácený odkaz, který obsahuje malware maskovaný jako spořiče obrazovky. Po spuštění vytvoří backdoor, který umožní škodlivému programu proniknout do systému. Malware se snaží krást přihlašovací údaje do služby Steam a následně převzít kontrolu nad účtem.</td><td class="ms-rteTable-default">0,06 %</td><td class="ms-rteTable-default">2,29 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">2,59 %</td><td class="ms-rteTable-default">2,01 %</td></tr><tr><td class="ms-rteTable-default">Nanocore</td><td class="ms-rteTable-default">NanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.</td><td class="ms-rteTable-default">0,88 %</td><td class="ms-rteTable-default">1,66 %</td></tr><tr><td class="ms-rteTable-default">AZOrult</td><td class="ms-rteTable-default">AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako je například RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.</td><td class="ms-rteTable-default">0,66 %</td><td class="ms-rteTable-default">0,86 %</td></tr><tr><td class="ms-rteTable-default">Maze</td><td class="ms-rteTable-default">Maze je ransomware objevený v polovině roku 2019 a byl prvním ransomwarem, který používal strategii dvojitého vydírání. Hackeři vytvořili speciální webovou stránku, kde začali zveřejňovat ukradená data obětí, které odmítly zaplatit výkupné. Tuto strategii následně začaly využívat i další kyberzločinecké skupiny.</td><td class="ms-rteTable-default">0,72 %</td><td class="ms-rteTable-default">0,86 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy.</td><td class="ms-rteTable-default">2,20 %</td><td class="ms-rteTable-default">0,86 %</td></tr><tr><td class="ms-rteTable-default">AsyncRat</td><td class="ms-rteTable-default">Asyncrat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů.</td><td class="ms-rteTable-default">0,60 %</td><td class="ms-rteTable-default">0,86 %</td></tr><tr><td class="ms-rteTable-default">njRAT</td><td class="ms-rteTable-default">njRAT je RAT zaměřený především na vládní agentury a organizace na Středním východě. Trojan, který byl poprvé objeven v roce 2012, má řadu schopností: Sledování stisknutých kláves, přístup k fotoaparátu oběti, krádež přihlašovacích údajů uložených v prohlížečích, nahrávání a stahování souborů atd.</td><td class="ms-rteTable-default">1,00 %</td><td class="ms-rteTable-default">0,86 %</td></tr><tr><td class="ms-rteTable-default">Kryptik</td><td class="ms-rteTable-default">Kryptik je trojan zaměřený na platformu Windows. Krade systémové informace a odesílá je na vzdálený server. V infikovaném systému může stahovat a spouštět další škodlivé soubory.<br></td><td class="ms-rteTable-default">0,44 %</td><td class="ms-rteTable-default">0,86 %</td></tr></tbody></table><p> </p> <p> Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map​</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.</p>0
Bankovní trojan Trickbot se překotně vyvíjí. Používá už 61 sofistikovaných technikhttps://www.antivirus.cz/Blog/Stranky/bankovni-trojan-trickbot-se-prekotne-vyviji-pouziva-uz-61-sofistikovanych-technik.aspxBankovní trojan Trickbot se překotně vyvíjí. Používá už 61 sofistikovaných technik<p>Desítky různých technik kráděží osobních dat a dalších citlivých informací využívá bankovní trojan Trickbot, který byl objeven v roce 2016 a jehož hlavní funkcí byla krádež dat z internetového bankovnictví. Během pěti let svého působení se změnil, protože ho útočníci vybavili pokročilejší sadou nástrojů. Výzkumníci společnosti Kaspersky tyto změny sledovali a analyzovali 61 dosavadních modulů tohoto trojanu, aby zjistili, jak jej tvůrci postupně vylepšovali. <br></p><p>Trickbot je považován za následníka bankovního trojského koně Dyre, který kradl bankovní informace a přihlašovací údaje k účtům. Postupně se aktualizoval a stal se multimodulárním malwarem, jehož aktivity sahají od krádeží dat až po šíření dalšího malwaru (například ransomwaru Ryuk). <br></p><p>Výzkumníci společnosti Kaspersky analýzou celkem 61 modulů Trickbotu odhalili, že získal spoustu doplňkových funkcí, které kradou přihlašovací údaje a citlivé informace. Malware se šíří v místních sítích pomocí ukradených přihlašovacích údajů a zranitelností, umožňuje vzdálený přístup, vytváří proxy server pro zachycování a pozměňování síťového provozu, provádí útoky hrubou silou a stahuje další malware. </p><h2>Nejobávanější bankovní trojan na světě? </h2><p>Trickbot cílí na firmy i běžné uživatele po celém světě. Podle společnosti Kaspersky se jeho aktivita geograficky neomezuje. Nejvíc postižených subjektů pochází z USA (13,21 %), Austrálie (10,25 %), Číny (9,77 %), Mexika (6,61 %) a Francie (6,30 %). </p><p>„Kyberzločinci neustále aktualizují a inovují svoje sady nástrojů. Podařilo se jim vylepšit Trickbot tak, že se stal aktuálně jedním z nejsilnějších a nejnebezpečnějších škodlivých programů tohoto typu. Na vývoj kybernetických hrozeb musí adekvátně reagovat také techniky ochrany. Většině útoků lze zabránit, a proto je důležité používat nejnovější bezpečnostní řešení,“ říká Oleg Kupreev, bezpečnostní expert společnosti Kaspersky. </p><p>Bezpečnostní řešení společnosti Kaspersky úspěšně detekují a blokují všechny známé verze bankovního trojského koně Trickbot. </p><p>Více informací o Trickbotu najdete na webu <a href="https://securelist.com/trickbot-module-descriptions/104603/" target="_blank">Securelist.com</a>. </p><h2>Pokud se chcete účinně chránit před finančními hrozbami jako je Trickbot, zvažte následující doporučení:<br></h2><ul><li>Neklikejte na odkazy ve spamových zprávách ani neotevírejte dokumenty, které jsou k nim připojeny. </li><li>Používejte internetové bankovnictví s vícefaktorovým ověřováním. </li><li>Ujistěte se, že je veškerý váš software aktualizován – včetně operačního systému a všech softwarových aplikací (útočníci využívají pro průnik do zařízení zranitelná místa v běžně používaných programech). </li><li>Používejte <a href="https://www.aec.cz/cz/av">důvěryhodné bezpečnostní řešení​</a>, které vám pomůže zkontrolovat bezpečnost navštívené URL adresy, a otevírejte všechny stránky v chráněném kontejneru, abyste zabránili krádeži citlivých údajů (například finančních informací). </li></ul><br>0
Pozor na vlnu podvodů maskovaných za zprávy od České poštyhttps://www.antivirus.cz/Blog/Stranky/pozor-na-vlnu-podvodu-maskovanych-za-zpravy-od-ceske-posty.aspxPozor na vlnu podvodů maskovaných za zprávy od České pošty<h3> <span style="color:#6773b6;">Check Point Research varuje před phishingovými podvody vydávajícími se za zprávy od České pošty.</span></h3><p> <br>Check Point upozorňuje na phishingové kampaně využívající domény cekposta[.]cz a ceskaposta[.]serveirc[.]com. 70 % kampaní bylo zaměřeno na Českou republiku. </p><p>Některé phishingové e-maily se snaží přimět uživatele k platbě, jinak nebude (fiktivní) balíček doručen. Jméno odesílatele napodobuje Českou poštu, ale e-mailová adresa s ní zjevně nesouvisí. Po kliknutí na odkaz v e-mailu je uživatel přesměrován na podvodnou stránku (https://ceskaposta[.]serveirc[.]com/Dashboard_global_account/o-ceske-poste/ochrana-osobnich-udaju-gdpr), která také napodobuje platební web České pošty, ale jako aktuální oficiální web úplně nevypadá. </p><p>Odesílatel: Česká pošta (ceskapo15@cuinmrname[.]com) <br>Předmět e-mailu: Váš balík čaká na potvrdenie !</p><p></p><h3>Ukázka podvodného e-mailu:<br></h3><p style="text-align:center;">​<img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/ceska-posta-phishing-1.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p></p><h3>Ukázka podvodné phsihingové stránky:<br></h3><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/ceska-posta-phishing-2.jpg" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p></p><p>„Podvody zaměřené na přepravní společnosti jsou oblíbeným trikem kyberzločinců. Z naší zprávy ‚Brand Phishing Report‘ například vyplývá, že DHL je celosvětově druhou nejčastěji zneužívanou značkou ve phishingových podvodech. V České republice často vidíme různé lokální mutace těchto triků, které se vydávají za zprávy od České pošty a snaží se zmást uživatele. Útočníci se často snaží vzbudit emoce a vystresovat uživatele, aby jednal rychle, bez přemýšlení a podcenil rizika a nevěnoval tolik pozornost detailům, včetně jazyka. Při žádostech o platbu se většinou jedná o malé částky, aby se zvýšila šance na zaplacení. S blížící se nákupní sezónou můžeme očekávat, že podobných podvodů bude přibývat. Když potřebujete sledovat zásilku, vždy jděte přímo na stránky přepravní společnosti a nikdy neklikejte na odkazy v podobných e-mailech,“ říká Pavel Krejčí, Security Engineer v kyberbezpečnostní společnosti Check Point Software Technologies.</p><p></p><h2>Jak se před phishingem chránit? Podívejte se na několik základních bezpečnostních tipů: </h2><p>1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám.<br> <br>2. Pozor na e-maily s žádostí o resetování hesla. Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům.<br> <br>3. Nenechte se zmanipulovat. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.<br> <br>4. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám.<br> <br>5. Obecně platí, že nesdílejte více, než je nezbytně nutné, a to bez ohledu na web. Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám.<br> <br>6. Smažte podezřelé zprávy. Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy.<br> <br>7. Neklikejte na přílohy. Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF.<br> <br>8. Ověřte odesílatele. U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele.<br> <br>9. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.<br> <br>10. Nikdy nevěřte příliš dobrým nabídkám jako například „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zprávách a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce.<br> <br>11. Chraňte se před phishingovými útoky. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. <a href="https://www.aec.cz/cz/av">Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení.​</a> </p><p> <br> </p>0
Pozor na exploit MysterySnail - novou zero-day zranitelnost Windowshttps://www.antivirus.cz/Blog/Stranky/pozor-na-exploit-mysterysnail-novou-zero-day-zranitelnost-windows.aspxPozor na exploit MysterySnail - novou zero-day zranitelnost Windows<p> <strong style="color:#6773b6;">Koncem léta 2021 zabránily automatické detekční technologie společnosti Kaspersky na několika serverech s Microsoft Windows sérii útoků využívajících exploit pro zvýšení úrovně oprávnění. Po bližší analýze útoku objevili výzkumníci společnosti Kaspersky nový zero-day exploit.</strong> </p><p>Během první poloviny roku zaznamenali odborníci společnosti Kaspersky nárůst útoků využívajících tzv. zranitelnost nultého dne. Jako „zero-day“ zranitelnost se označována dosud nezveřejněná softwarová chyba, kterou útočníci objevili dřív, než se o ní dozvěděl výrobce. Jelikož o ní výrobci nevědí, neexistuje pro ni ani žádná záplata, takže takové útoky můžou být mimořádně úspěšné. </p><p>Technologie společnosti Kaspersky zjistily sérii útoků využívajících exploit k zvýšení úrovně oprávnění na několika serverech s Microsoft Windows. Tento exploit obsahoval ve svém kódu mnoho textových řetězců ze staršího, veřejně známého exploitu využívajícího zranitelnost <a href="https://github.com/siberas/CVE-2016-3309_Reloaded/" target="_blank">CVE-2016-3309​</a>, bližší analýza však ukázala, že se jedná o nový zero-day exploit. Výzkumníci společnosti Kaspersky jej nazvali MysterySnail. </p><h2>Nová hrozba od čínských hackerů? </h2><p>Zjištěná podobnost kódu a způsobu použití infrastruktury C&C serverů vedly výzkumníky k tomu, že si tyto útoky spojili s nechvalně známou skupinou IronHusky a čínsky komunikujícími aktéry zaměřenými na pokročilé perzistentní hrozby (APT) z roku 2012. </p><p>Analýzou dat přenášených malwarem použitým k šíření exploitu výzkumníci společnosti Kaspersky zjistili, že varianty tohoto malwaru se používaly v rozsáhlých špionážních kampaních proti IT společnostem, vojenským a obranným dodavatelům a diplomatickým subjektům. </p><p>Zranitelnost byla nahlášena společnosti Microsoft a ten ji opravil 12. října 2021 v rámci říjnového záplatovacího úterý. </p><p>Produkty společnosti Kaspersky nyní tento exploit detekují a chrání IT systémy před zneužitím výš uvedené zranitelnosti a souvisejícími moduly malwaru. „</p><p>V posledních několika letech pozorujeme soustavný zájem útočníků o hledání a zneužívání nových zero-day zranitelností. Zranitelnosti, které výrobci dosud neznají, můžou představovat vážnou hrozbu pro všechny organizace. Většina takových exploitů však sdílí podobné chování. Proto je důležité spoléhat se na nejnovější informace o hrozbách a instalovat bezpečnostní řešení, která proaktivně vyhledávají dosud neznámé hrozby,“ popisuje Boris Larin, bezpečnostní expert z globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky. </p><p>Více informací o tomto novém zero-day útoku najdete na webu <a href="https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/" target="_blank">Securelist.com​</a>. </p><h2> Chcete-li svoji organizaci ochránit před útoky zneužívajícími těchto zranitelností, odborníci společnosti Kaspersky doporučují někoik kroků.</h2><p></p><ul><li>Co nejdříve aktualizujte operační systém Microsoft Windows a další software třetích stran a dbejte na pravidelné provádění aktualizací. </li><li>Používejte <a href="https://www.aec.cz/cz/av">spolehlivé řešení zabezpečení koncových bodů</a>, které je vybaveno prevencí zneužití, detekcí chování a nápravným mechanismem, který dokáže zrušit změny způsobené záškodnickými akcemi. </li><li>Nainstalujte řešení k potlačení pokročilých perzistentních hrozeb (APT) a <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/Endpoint-Detection-and-Response.aspx">ochranu koncových bodů (EDR)​</a>, která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení. </li> </ul>​<br>0
Ve více než polovině detekcí v Česku cílil spyware na uživatelská heslahttps://www.antivirus.cz/Blog/Stranky/ve-vice-nez-polovine-detekci-v-cesku-cilil-spyware-na-uzivatelska-hesla.aspxVe více než polovině detekcí v Česku cílil spyware na uživatelská hesla<h3>Na začátku září ESET zaznamenal zvýšené aktivity malwarů zaměřených na odcizení hesel českých uživatelů. Útočníci se vrátili k česky psaným e-mailům.</h3><p>Spyware známý pod označením Agent Tesla, který se zaměřuje na uživatelská hesla uložená v internetových prohlížečích a dalších programech, nadále zůstává nejčastěji detekovanou hrozbou v Čechách. Zatímco na začátku léta zaznamenali bezpečnostní analytici jeho pokles, v září se jednalo o nejčastěji detekovaný škodlivý kód v České republice. Útočníci navíc znovu využívají česky psané e-maily s nebezpečnými přílohami. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro platformu Windows společnosti ESET. </p><p>Počet detekcí malwaru Spy.Agent.AES, který je známý také jako Agent Tesla, již třetí měsíc v řadě kontinuálně stoupá. Jedná se o agresivní typ spywaru, který se zaměřuje na odcizení uživatelských hesel. Největší útok za poslední měsíce proběhl na začátku září. </p><p>„Útočníci prostřednictvím škodlivého kódu Agent Tesla útočili na uživatele v České republice především na začátku měsíce. Největší aktivitu jsme zaznamenali 2. září. Šlo pravděpodobně o pokračování kampaně z konce srpna. Další, menší kampaně proběhly mezi daty 27. a 29. září,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Zatímco v srpnu se mohl uživatel setkat s nevyžádanými <a href="/Blog/Stranky/za-tretinou-utoku-u-nas-stal-jediny-malware-tercem-jsou-uzivatelska-hesla.aspx">e-maily s přílohami v portugalštině a španělštině</a>, v září se útočníci vrátili ke kampaním v češtině. Česká republika mezi cílovými státy cizojazyčných kampaní nebývá a v srpnu se tak pravděpodobně jednalo o případ, kdy útočníci nakoupili nevhodný seznam potenciálních obětí. </p><p>„To, že se útočníci v září vrátili k češtině, vnímám jako znepokojující,” říká Jirkal. „Uživatel po otevření e-mailu vidí přílohy jako Skenovat kopii_003931738187_24_09_2021.exe a Kopie dokladu o transakci_14_09_2021.exe. Pokud uživatel takovou přílohu otevře, může být Agent Tesla velmi nebezpečný. Samotná e-mailová zpráva byla ale tentokrát úplně bez textu, nebo obsahovala pouze výzvu k potvrzení. Díky tomu mohla být uživateli na první pohled podezřelá.” </p><p>Zvýšenou aktivitu spywaru Agent Tesla sledují bezpečnostní analytici již od začátku letošního roku. Zatímco na začátku prázdnin byl zaznamenán pokles jeho detekcí, poslední útočná kampaň z přelomu srpna a září byla velmi masivní. </p><h2>Uživatele může zmást povědomý soubor </h2><p>Druhou nejčastější hrozbou byl v září trojský kůň Formbook. I v případě tohoto typu spywaru zaznamenávají bezpečnostní analytici nárůst detekcí. Útoky byly opět vedeny na začátku a koncem měsíce. Jednalo se o česky psané e-maily s přílohou „Detaily účtu.exe”. „</p><p>Většina uživatelů soubor s příponou .exe zná a ví, že těmito soubory se spouští nějaká konkrétní aplikace. V případě jakýchkoliv spustitelných souborů platí, že je nedoporučujeme spouštět, pokud je obdržíte z neznámého zdroje nebo e-mailem,“ uvádí Jirkal. „Pokud si uživatel není jistý legitimností obsahu elektronické pošty, měl by se obrátit na bezpečnostní autoritu ve firmě, zpravidla IT specialistu, který musí být v tomto směru neustále k dispozici,“ dodává Jirkal ze společnosti ESET. </p><p>Na třetím místě zůstává password stealer Fareit. Počet jeho detekcí nicméně klesá a v září neměl v českém prostředí žádné výraznější kampaně. Nejčastěji se malware skrývá v příloze, kterou útočníci vydávají za zprávu od dopravce nebo platební příkaz z banky. I v tomto případě se útočníci v září vrátili k češtině a využívali přílohu s označením „DPD Informace o zásilkách 20210823 -20210928.pdf.exe”. </p><h2>Klíčem k ochraně jsou především silná hesla </h2><p>Spyware obsahuje funkce, které skenují internetové prohlížeče a další programy, například e-mailové klienty Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Škodlivý kód aktivně vyhledává uložené přihlašovací údaje, které následně odesílá útočníkům. A právě hesla jsou v České republice dlouhodobě hlavním terčem kybernetických útoků. </p><p>„Uživatelům opakovaně doporučujeme, aby si neukládali hesla do prohlížečů. Ke správě hesel existují speciální programy zvané password managery. Ty ukládají hesla v šifrované podobě, takže je potenciální útočník nedokáže zneužít,“ radí Jirkal. „Spolehlivou ochranou nadále zůstávají silná hesla. Uživatelé mohou k jejich tvorbě využívat nějakou mnemotechnickou pomůcku, aby je nemuseli ukládat. To ale není úplně optimální, protože tímto způsobem si zpravidla tvoří hesla slabší.” </p><p>Doporučeným postupem při tvorbě hesel je využívat delší kombinace různých znaků nebo několikaslovné fráze a mít pro každou službu unikátní přístupy. Dalším krokem k vyššímu zabezpečení přihlašování je zapnutí dvoufaktorové autentizace, kdy uživatel každé přihlášení potvrzuje v aplikaci nebo kódem z SMS. Na místě je také opatrnost při používání elektronické pošty, protože malware se šíří nejčastěji e-maily. Podezřelé zprávy by uživatelé neměli vůbec otevírat, ale rovnou mazat nebo přesouvat do spamu. Před odcizením osobních údajů ochrání také používání <a href="https://www.aec.cz/cz/av">spolehlivého anti-malware programu​</a>. </p><h2>Nejčastější kybernetické hrozby v České republice za září 2021:</h2><p></p>1. MSIL/Spy.Agent.AES trojan (45,57 %)<br> 2. Win32/Formbook trojan (14,42 %)<br> 3. Win32/PSW.Fareit trojan (2,30 %)<br> 4. WinGo/RanumBot trojan (1,18 %)<br> 5. Win32/Agent.TJS trojan (0,94 %)<br> 6. Win32/Delf.NBX virus (0,86 %)<br> 7. MSIL/NanoCore trojan (0,78 %)<br> 8. BAT/CoinMiner.ARV trojan (0,76 %)<br> 9. MSIL/Spy.Agent.DFY trojan (0,65 %)<br> 10. Java/Adwind trojan (0,65 %)<br> <p></p>​<br>0
Počet kyberútoků na české organizace vzrostl meziročně na dvojnásobekhttps://www.antivirus.cz/Blog/Stranky/pocet-kyberutoku-na-ceske-organizace-vzrostl-mezirocne-na-dvojnasobek.aspxPočet kyberútoků na české organizace vzrostl meziročně na dvojnásobek<ul><li> <span style="color:#6773b6;">Každý týden se stane terčem ransomwarového útoku každá 61. organizace. </span></li><li> <span style="color:#6773b6;">Nejčastějším terčem kyberútoků jsou vzdělávací a výzkumné organizace.</span> </li></ul><p> <br>Check Point Research varuje před dalším nárůstem kybernetických hrozeb a útoků po celém světě. Počet kyberútoků na organizace vzrostl v letošním roce v porovnání s rokem předchozím o hrozivých 40 %, v České republice dokonce ještě více. V září 2020 bylo maximem v průměru 523 útoků na jednu českou organizaci za týden, v září 2021 bylo týdenní maximum už 1057 útoků, což je více než dvojnásobný nárůst během jediného roku. Počet útoků na české organizace se dlouhodobě drží nad celosvětovým průměrem. </p><p style="text-align:center;">​<img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/kyberutoky-cp-01.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><h3> Kyberútoky na průmyslová odvětví:</h3><ul><li>Vzdělávací a výzkumné organizace jsou celosvětově nejvíce zasaženým sektorem. V průměru čelí každá vzdělávací nebo výzkumná organizace 1 468 útokům za týden, což je 60% nárůst oproti roku 2020. </li><li>Jedna vládní nebo vojenská organizace čelí průměrně 1 082 útokům za týden, což je 40% nárůst oproti roku 2020. V ČR se jedná dokonce o 1225 kyberútoků. </li><li>Jedna zdravotnická organizace čelí průměrně 752 kybernetickým útokům za týden, což je 55% nárůst oproti roku 2020. </li></ul><h3> <br>Ransomwarové útoky:<br></h3><ul><li>Každý týden je terčem ransomwarového útoku každá 61. organizace na světě. </li><li>aždá 44. zdravotnická organizace na světě čelí týdně nějakému ransomwarovému útoku, což je nárůst o 39 % procent oproti roku 2020 </li><li>Největšímu počtu ransomwarových útoků čelí společnosti v regionu APAC, každý týden je tam napadena každá 34. organizace.<br><br></li></ul><h3 style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/kyberutoky-cp-02.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </h3><h3>Nejčastěji napadené regiony: <ul><li>Nejvíce útoků směřuje na organizace v Africe, kde na jednu společnost míří v průměru 1 615 útoků za týden, což je 15% nárůst oproti roku 2020. V regionu APAC je to průměrně 1 299 útoků týdně na jednu organizaci (20% nárůst oproti roku 2020). A nejvyšší nárůst útoků, o 65 %, zaznamenala Evropa. </li></ul><p></p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/kyberutoky-cp-03.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>„Říjen je měsícem kybernetické bezpečnosti. Jak je vidět, kyberbezpečnost by měla být zásadní téma nejenom v říjnu. Zločinci se snaží využívat každou příležitost, včetně koronavirové pandemie. Počet útoků neustále roste a je tak důležité, aby organizace kladly důraz na prevenci a nehasily jen problémy, až když hrozby způsobí nějaké škody,“ říká Pavel Krejčí, Security Engineer v kyberbezpečnostní společnosti Check Point Software Technologies.</p><p>Bezpečnostní tipy pro všechny organizace:<br> 1) <span style="font-weight:normal;">Vzdělávání. Vzdělávání. Vzdělávání.</span> Vzdělávání uživatelů je jednou z nejdůležitějších prvků ochrany a každá organizace by na něj měla klást velký důraz.<br> 2) N<span style="font-weight:normal;">ic nepodceňte.</span> Mějte plně pod kontrolu všechna zařízení, aplikace, síťový provoz i data.<br> 3) <span style="font-weight:normal;">Prevence na prvním místě.</span> Starší bezpečnostní řešení spoléhají jen na detekci incidentů a reakci na ně. Nové útoky nezachycují včas, je tak obtížné minimalizovat škody.<br> 4) <span style="font-weight:normal;">Pozor na phishing. </span>Nikdy neklikejte na podezřelé odkazy a stahujte obsah pouze ze spolehlivých zdrojů.<br> 5) <span style="font-weight:normal;">Ihned instalujte aktualizace a nové záplaty.</span> Vaše zařízení by měla být vždy aktuální a s nejnovějšími bezpečnostními záplatami, aby nebylo možné zneužít k sofistikovaným kyberútokům známé zranitelnosti. </p> <br> </h3>0
Masivní únik dat ze streamingové platformy Twitchhttps://www.antivirus.cz/Blog/Stranky/masivni-unik-dat-ze-streamingove-platformy-twitch.aspxMasivní únik dat ze streamingové platformy Twitch<p>Streamingová platforma Twitch byla napadena anonymním hackerem, který zveřejnil zdrojové kódy a citlivé informace o platformě, streamerech i uživatelích. <br></p><p> Více informací najdete například v následujícím článku: <a href="https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/" target="_blank">https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/.</a> </p><h2> Vyjádření experta kyberbezpečnostní společnosti Check Point: </h2><p> "Každý únik zdrojového kódu je problém a může mít katastrofální následky. Kyberzločinci mohou data využít k odhalení slabin v systému, k zefektivnění útoků nebo třeba ke krádežím citlivých informací. Důrazně doporučujeme všem uživatelům služby Twitch, aby byli velmi opatrní, protože situace mohou využít další hackeři a kyberzločinecké skupiny a mohou se snažit na tento únik navázat sérií podvodů nebo útoků. Prozatím doporučujeme všem uživatelům služby Twitch změnit si hesla a zapnout na účtech dvoufaktorové ověřování. Z našich analýz navíc vyplývá, že meziročně došlo k nárůstu kyberútoků o 40 procent, takže opatrnost je na místě," říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.</p><br>0
Riskantní spolupráce s dodavateli: kybernetické útoky na ně letos stojí za největšími úniky firemních dathttps://www.antivirus.cz/Blog/Stranky/riskantni-spoluprace-s-dodavateli-kyberneticke-utoky-na-ne-letos-stoji-za-nejvetsimi-uniky-firemnich-dat.aspxRiskantní spolupráce s dodavateli: kybernetické útoky na ně letos stojí za největšími úniky firemních dat<p> <strong style="color:#6773b6;">Rostoucí závažnost kybernetických bezpečnostních incidentů, které postihují firmy prostřednictvím dodavatelů, s nimiž sdílejí data, odhaluje nejnovější zpráva společnosti Kaspersky <a href="https://calculator.kaspersky.com/app/report?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_qf843gbn2cxrduy" target="_blank">IT Security Economics​</a>. Průměrný finanční dopad takové události na firmu dosáhl v roce 2021 celosvětově výše 1,4 milionu dolarů (v zemích EU dokonce 2 miliony dolarů), což z ní činí nejnákladnější typ incidentu, přestože se loni nedostal ani do první pětky. Od roku 2020 se také výrazně změnilo celkové pořadí ztrát způsobených různými typy útoků.</strong></p><p> Útoky, které zasáhnou globální firmy skrze jejich dodavatele, se staly jasným trendem. Firemní data se obvykle distribuují k několika třetím stranám, například poskytovatelům služeb, partnerům, dodavatelům a dceřiným společnostem. Organizace proto musejí brát v úvahu nejen rizika kybernetické bezpečnosti, která ovlivňují jejich IT infrastrukturu, ale i ta, která můžou pocházet zvenčí. </p><p> Podle průzkumu byla třetina (32 %) velkých organizací vystavena útokům zahrnujícím data sdílená s dodavateli. Toto číslo se od zprávy z roku 2020 (kdy činilo 33 %) výrazně nezměnilo. Finanční dopad tohoto formátu zůstává také stejný jako loni – 1,4 milionu dolarů –, tehdy však byl až na 13. místě v žebříčku průměrných ztrát ze všech forem útoků. </p><p> Většina ostatních typů útoků vykazuje nižší finanční dopad, včetně fyzické ztráty zařízení ve firemním vlastnictví (1,3 milionu dolarů), útoků pro těžbu kryptoměn (1,3 milionu dolarů) nebo nesprávného využívání IT zdrojů ze strany zaměstnanců (1,3 milionu dolarů). Ty také změnily svoje místo v žebříčku, což ukazuje, jak pandemie ovlivnila firemní prostředí kybernetické bezpečnosti. </p><p> V důsledku toho se také snížil průměrný finanční dopad všech typů útoků. Ve srovnání s loňskými výsledky nastal pozoruhodný 15 % pokles – 927 tisíc dolarů v roce 2021 oproti 1,09 milionu dolarů v roce 2020 – a klesl ještě níže než údaj z roku 2017 (992 tisíc dolarů). </p><p>Možným důvodem tohoto stavu je příznivý vliv předchozích investic firem do opatření pro prevenci a zmírnění potenciálních následků. Průměrná výše nákladů na incidenty může být ovlivněna také skutečností, že firmy v tomto roce méně často ohlašovaly narušení bezpečnosti dat – dokázalo se mu vyhnout 34 % firem, zatímco v roce 2020 to bylo jen 28 %. Finančně zranitelné firmy se mohou zdráhat věnovat čas a náklady na vyšetřování trestného činu nebo riskovat poškození pověsti, pokud by informace o narušení jejich bezpečnosti pronikla na veřejnost. </p><p style="text-align:center;">​<img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/dodavatele.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br><br></p><p> „Ze závažnosti kybernetických útoků vyplývá, že organizace musejí při posuzování kybernetické bezpečnosti svého podnikání zohlednit také riziko jejího narušení prostřednictvím sdílení údajů s dodavateli. Pandemie změnila podmínky působení hrozeb a organizace by měly být připraveny přizpůsobit se tomu. Firmy by měly své dodavatele posuzovat podle typu práce, kterou vykonávají, a úrovně přístupu, který dostávají (zda pracují s citlivými údaji a infrastrukturou, nebo ne), a podle toho uplatňovat bezpečnostní požadavky. Firmy by měly zajistit, aby sdílely data pouze se spolehlivými třetími stranami, a rozšířit svoje stávající bezpečnostní požadavky i na dodavatele. V případě předávání citlivých údajů nebo informací to znamená, že od dodavatelů by měla být vyžadována veškerá dokumentace a certifikace (např. SOC 2), aby bylo zajištěno, že dokážou fungovat na potřebné úrovni zabezpečení. Ve velmi citlivých případech navíc doporučujeme provést před uzavřením jakékoli smlouvy předběžný audit, zda dodavatel splňuje příslušné podmínky,“ říká Evgeniya Naumova, výkonná viceprezidentka pro korporátní obchod společnosti Kaspersky. </p><p> K zajištění minimalizace rizika jakýchkoli útoků a úniků dat musí firmy používat účinnou ochranu koncových bodů s funkcemi detekce hrozeb a reakce na ně (ETDR). Kromě toho pomůžou organizacím s vyšetřováním útoků a odbornou reakcí také služby řízené ochrany. <br></p><p> Chcete-li se dozvědět víc o nákladech a rozpočtech na zabezpečení IT ve firmách v roce 2021, podívejte se na Kaspersky <a href="https://calculator.kaspersky.com/?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_sqd6c84jt5z3nfs" target="_blank">IT Security Calculator</a>. Celou zprávu IT Security Economics 2021: Managing the trend of growing IT complexity lze stáhnout <a href="https://calculator.kaspersky.com/app/report?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_qf843gbn2cxrduy" target="_blank">zde​</a>. </p> <br>0
ESET odhalil skupinu FamousSparrow, která sleduje vlády, soukromé společnosti a hotelyhttps://www.antivirus.cz/Blog/Stranky/eset-odhalil-skupinu-famoussparrow-ktera-sleduje-vlady-soukrome-spolecnosti-a-hotely.aspxESET odhalil skupinu FamousSparrow, která sleduje vlády, soukromé společnosti a hotely<h3> <span style="color:#6773b6;">Skupina FamousSparrow využívá zranitelnost v Microsoft Exchange, která je známá již od března 2021.</span><br></h3><p> <br> <strong>Bezpečnostní analytici společnosti ESET odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce. Analytici společnosti ESET tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž. Česku se prozatím vyhýbá.</strong> </p><p>ESET na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. <a href="https://www.aec.cz/cz/novinky/Stranky/dusledky-zranitelnosti-v-microsoft-exchange-server-jsou-zavazne-jen-aktualizace-nestaci.aspx">Tato zranitelnost se týkala i množství serverů v České republice</a>. </p><p>Zranitelné Exchange servery se staly cílem více než 10 APT skupin po celém světě, konkrétně v Evropě (Francie, Lotyšsko a Velká Británie), na Blízkém východě (Izrael a Saudská Arábie), na americkém kontinentu (Brazílie, Kanada a Guatemala), v Asii (Taiwan) a v Africe (Burkina Faso). APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. V České republice se tyto aktivity podle zjištění společnosti ESET prozatím nepotvrdily. </p><p>Podle telemetrie společnosti ESET začala skupina FamousSparrow zneužívat zranitelnost 3. března 2021, tedy den po vydání oficiální záplaty. Jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu. </p><p>„Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. </p><p>„Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz,“ dodává Dvořák. </p><p>Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin. V dalším případě byl na zařízení kompromitovaném skupinou FamousSparrow nalezen běžící nástroj Metasploit využívající jako řídící a kontrolní centrum server cdn.kkxx888666[.]com. Tato doména je přitom spojována s další útočnou skupinou DRDControl. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/FamousSparrow.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br><em style="color:#808080;">Cíle skupiny FamousSparrow zobrazené na mapě</em> <br></p><p> Více informací o aktivitách skupiny FamousSparrow najdete na <a href="https://www.welivesecurity.com/2021/09/23/famoussparrow-suspicious-hotel-guest/">WeLiveSecurity.com​</a>.</p> <br>0
Pokračování útoku Sunburst? Stejná skupina patrně stojí i za novým backdoorem Tomirishttps://www.antivirus.cz/Blog/Stranky/pokracovani-utoku-sunburst.aspxPokračování útoku Sunburst? Stejná skupina patrně stojí i za novým backdoorem Tomiris<p> <span style="color:#6773b6;">Na nový malware, který obsahuje několik důležitých atributů poukazujících na spojitost se skupinou DarHalo, jež stála za útokem Sunburst, narazili při zkoumání dosud neznámé pokročilé perzistentní hrozby (APT) analytici společnosti Kaspersky. Sunburst je považován za jeden z nejvážnějších bezpečnostních incidentů v dodavatelském řetězci za několik posledních let.</span> </p><p> Útok Sunburst se dostal na titulní stránky novin v prosinci 2020. Aktér hrozeb DarkHalo infiltroval dodavatele široce používaného firemního softwaru a dlouhou dobu využíval jeho infrastrukturu k distribuci spywaru pod rouškou legitimních aktualizací softwaru. Po mediálním humbuku a rozsáhlém pátrání bezpečnostní komunity se zdálo, že se aktér stáhl do ústraní. Po Sunburstu nedošlo k žádnému významnějšímu odhalení incidentů, které by mu byly připisovány – vypadalo to, že DarkHalo zmizel nadobro v hlubinách internetu. Výsledky nedávného výzkumu provedeného globálním výzkumným a analytickým týmem společnosti Kaspersky však ukazují, že to tak být nemusí. </p><h2> Návrat na scénu ve velkém stylu? </h2><p> V červnu 2021, tedy více než šest měsíců poté, co DarkHalo odešel ze scény, našli výzkumníci společnosti Kaspersky stopy po úspěšném útoku typu DNS hijacking proti několika vládním organizacím ve stejné zemi. DNS hijacking je typ škodlivého útoku, při kterém je název domény (používaný ke spojení URL adresy webové stránky s adresou IP serveru, na kterém je webová stránka umístěna) upraven tak, aby přesměroval síťový provoz na server ovládaný útočníkem. V případě odhaleném společností Kaspersky se cíle útoku snažily získat přístup k webovému rozhraní firemní e-mailové služby, ale byly přesměrovány na falešnou kopii tohoto webového rozhraní a poté navedeny, aby si stáhly „aktualizaci“ skrývající škodlivý software. Podle odkazu zanechaného útočníkem si výzkumníci společnosti Kaspersky tuto „aktualizaci“ stáhli a zjistili, že obsahuje dosud neznámý backdoor Tomiris. </p><p> Další analýza ukázala, že hlavním účelem backdooru bylo vytvořit opěrný bod v napadeném systému a stáhnout další škodlivé komponenty. Ty se bohužel během vyšetřování nepodařilo identifikovat, nicméně bylo učiněno ještě jedno důležité zjištění – ukázalo se, že backdoor Tomiris se podezřele podobá malwaru Sunshuttle, nasazenému při zákeřném útoku Sunburst. </p><h3> Oba útoky se podobají mimo jiné v těchto bodech: </h3><ul><li>Tomiris byl stejně jako Sunshuttle vyvinut v programovacím jazyku Go, </li><li> oba backdoory používají specifické šifrovací/obfuskační schéma k zakódování konfigurací a síťového provozu, </li><li>oba spoléhají na naplánované úlohy pro zajištění perzistence a skrývají svoje aktivity s využitím náhodných akcí a spánkového režimu, </li><li>obecný postup fungování obou programů, zejména způsob rozdělení akcí do funkcí, vypadá natolik podobně, že si analytici společnosti Kaspersky myslí, že to může svědčit o společných metodách jejich vývoje, </li><li>v obou škodlivých programech byly nalezeny chyby v anglických textových řetězcích („isRunned“ v Tomiris, „EXECED“ místo „executed“ v Sunshuttle), což může znamenat, že je vytvořili lidé, jejichž mateřským jazykem není angličtina – všeobecně se má za to, že aktér DarkHalo je rusky mluvící osoba nebo skupina, </li><li>a konečně, backdoor Tomiris byl objeven v sítích, kde byly jiné počítače infikovány backdoorem Kazuar, který je známý tím, že se jeho <a href="https://securelist.com/sunburst-backdoor-kazuar/99981/" target="_blank">kód překrývá</a> s kódem backdooru Sunburst. </li></ul><p> <br>„Žádná z těchto podobností sama o sobě nestačí k tomu, aby bylo možné s dostatečnou jistotou spojovat Tomiris se Sunshuttle. Otevřeně připouštíme, že řada společných rysů může být náhodná, ale přesto se domníváme, že dohromady přinejmenším naznačují možnost stejného autora nebo stejných vývojových postupů,“ říká Pierre Delcher, bezpečnostní výzkumník společnosti Kaspersky. </p><p> „Pokud je naše domněnka o propojení Tomiris a Sunshuttle správná, vrhlo by to nové světlo na způsob, jakým aktéři hrozeb obnovují svoje kapacity poté, co byli odhaleni. Rádi bychom proto vyzvali komunitu bezpečnostních služeb, aby tento výzkum reprodukovala a přišla s dalšími názory na podobnosti, které jsme mezi Sunshuttle a Tomirisem objevili,“ dodává Ivan Kwiatkowski, bezpečnostní výzkumník společnosti Kaspersky. </p><p> Víc informací o spojitosti mezi Tomirisem a útokem Sunburst najdete v příspěvku na blogu <a href="https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/" target="_blank">Securelist.com​</a>. </p> <br>0
Špehovací software FinFisher je ještě zákeřnější, vylepšil svůj arzenál o nové funkcehttps://www.antivirus.cz/Blog/Stranky/spehovaci-software-finfisher-je-jeste-zakernejsi.aspxŠpehovací software FinFisher je ještě zákeřnější, vylepšil svůj arzenál o nové funkce<p> <strong style="color:#6773b6;">Výrazně nebezpečnější a zákeřnější než kdy dřív je sledovací software (spyware) FinFisher. Bezpečnostní experti společnosti Kaspersky během osmiměsíční komplexní analýzy všech nedávných aktualizací FinFisher pro Windows, Mac OS a Linux a jeho instalačních programů odhalili čtyřvrstvou obfuskaci (převádění zdrojového kódu konkrétního programu do stejného zdrojového kódu, při kterém se provede několik změn), pokročilá antianalytická opatření a také použití UEFI bootkitu k infikování obětí. Dokazuje to velkou snahu vývojářů spywaru o obcházení bezpečnostních řešení, což z FinFisheru dělá jeden z nejhůře odhalitelných spywarů.</strong> </p><p> FinFisher, známý také jako FinSpy nebo Wingbird, je sledovací nástroj, kterým se společnost Kaspersky zabývá od roku 2011. Je schopen shromažďovat různá oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty, živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu. Jeho implantáty do systému Windows se několikrát detekovaly a zkoumaly až do roku 2018, kdy FinFisher zdánlivě zmizel ze scény. </p><h2> Ústup ze scény byl jen fingovaný </h2><p> Řešení společnosti Kaspersky však později detekovala podezřelé instalátory legitimních aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR. Tyto instalátory obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem, tedy až do chvíle, kdy se objevila webová stránka v barmštině, která obsahovala infikované instalační programy a vzorky FinFisheru pro Android, což pomohlo identifikovat, že se jedná o trojské koně se stejným spywarem. Tento objev přiměl výzkumníky společnosti Kaspersky k dalšímu zkoumání FinFisheru. </p><p> Na rozdíl od předchozích verzí spywaru, které obsahovaly trojského koně hned v infikované aplikaci, nové vzorky chránily dvě komponenty: neperzistentní prevalidátor a postvalidátor. První komponenta provádí několik bezpečnostních kontrol, aby se ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve když jsou tyto kontroly úspěšné, je načte se ze serveru postvalidátor. Tato komponenta zkontroluje, že jde o zařízení oběti, kterou má infikovat. Teprve poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně. </p><p> FinFisher je silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů. Hlavním účelem obfuskace, neboli „znečitelnění kódu programu“, je ztížit a zpomalit analýzu spywaru. Kromě toho trojský kůň využívá také zvláštní způsoby shromažďování informací, například vývojářský režim v prohlížečích k zachycení provozu chráněného protokolem HTTPS. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2021/FinFisher.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br><em style="color:#808080;">Příklad vlastností naplán​ované úlohy</em> <br></p><p> Analytici také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows – komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým kódem. Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by bylo nutné obcházet bezpečnostní kontroly firmwaru. Infekce UEFI jsou velmi vzácné a obecně obtížně proveditelné; jejich předností je perzistence a nesnadná detekce. V tomto případě sice útočníci neinfikovali samotný firmware UEFI, ale jeho další zaváděcí fázi, útok byl však mimořádně dobře skrytý, protože škodlivý modul byl nainstalován do samostatného diskového oddílu a mohl ovládat proces bootování infikovaného počítače. </p><p> „Množství práce vynaložené, aby FinFisher unikal bezpečnostním výzkumníkům, je velmi znepokojivé a svým způsobem působivé. Zdá se, že vývojáři vložili do obfuskace a opatření proti analýze přinejmenším tolik úsilí jako do samotného trojského koně. Výsledkem je, že díky svým schopnostem vyhnout se jakékoli detekci a analýze je tento spyware mimořádně obtížné sledovat a odhalit. Skutečnost, že tento spyware útočí s vysokou přesností a prakticky se nedá analyzovat, také znamená, že jeho oběti jsou obzvláště zranitelné a výzkumníci čelí neobyčejné výzvě – do analýzy každého vzorku musejí investovat ohromné množství prostředků. Komplexní hrozby, jako je FinFisher, ukazují, jak je důležité, aby bezpečnostní výzkumníci spolupracovali, vyměňovali si poznatky a také investovali do nových typů bezpečnostních řešení, která dokážou proti takovým hrozbám bojovat,“ vysvětluje Igor Kuzněcov, hlavní bezpečnostní analytik v týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky. </p><p> Celou zprávu si můžete přečíst na webu <a href="https://securelist.com/finspy-unseen-findings/104322/" target="_blank">Securelist.com​</a>. </p><h3> Pokud se chcete spolehlivě chránit před hrozbami typu FinFisher, zvažte následující doporučení společnosti Kaspersky. </h3><ul><li>Aplikace a programy stahujte pouze z důvěryhodných webových stránek. </li><li>Nezapomínejte pravidelně aktualizovat operační systém a veškerý software. Mnoho bezpečnostních problémů lze vyřešit instalací aktualizovaných verzí softwaru. </li><li>Standardně nedůvěřujte přílohám e-mailů. Před kliknutím na přílohu nebo odkaz pečlivě zvažte, zda je e-mail od někoho, koho znáte a komu důvěřujete, zda ho očekáváte a zda není něčím podezřelý. Najeďte kurzorem nad přílohu nebo odkaz, abyste zjistili název souboru nebo kam odkaz skutečně směřuje. </li><li>Neinstalujte software z neznámých zdrojů. Může obsahovat a často opravdu obsahuje škodlivé soubory. </li><li>Používejte na všech počítačích a mobilních zařízeních <a href="https://www.aec.cz/cz/av">silné bezpečnostní řešení</a>. </li></ul><h3><br>Pro zajištění lepší ochrany firemních sítí a zařízení Kaspersky navrhuje následující opatření.</h3><ul><li>Nastavte zásady pro používání jiného než oficiálního firemního softwaru. Poučte zaměstnance o rizicích stahování neautorizovaných aplikací z nedůvěryhodných zdrojů. </li><li>Zajistěte svým zaměstnancům základní školení o hygieně kybernetické bezpečnosti, protože <a href="https://socialing.cz/">mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství</a>. </li><li>Nainstalujte řešení k potlačení pokročilých trvalých hrozeb (APT) a <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/Endpoint-Detection-and-Response.aspx">ochranu koncových bodů (EDR)</a>, která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace odbornými školeními. <br></li><li>Spolu s vhodnou ochranou koncových bodů můžou proti útokům na vysoce postavené cíle pomoct také specializované služby. <br></li></ul> <br>0


No More Ransom 

AEC Endpoint Detection and Response

Microsoft Exchange

Threat Cloud Map

AEC Penetrační testy

Coalition Against Stalkerware 

Ransomware Attack Map