Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Vývoj kybernetických hrozeb po invazi na Ukrajinuhttps://www.antivirus.cz/Blog/Stranky/vyvoj-kybernetickych-hrozeb-po-invazi-na-ukrajinu.aspxVývoj kybernetických hrozeb po invazi na Ukrajinu<p> <strong style="color:#6673b6;"><span style="color:#6673b6;">​​​​Ozbrojenému konfliktu na Ukrajině předcházely kybernetické útoky typu DDoS a útoky, které ochromily infrastrukturu pomocí malwaru. Shrnuli jsme pro vás aktuální situaci a nastínili možnosti jejího dalšího vývoje. </span></strong><br></p><p>Útoky DDoS probíhají tak, že útočník zahltí servery, které poskytují služby na internetu, obrovským množstvím požadavků, a znemožní tak jejich provoz. V poslední době proběhly podobné typy útoků jak na ukrajinskou, tak na ruskou infrastrukturu, a znemožnily provoz některých vládních stránek. </p><h2>Pozor na klonované verze webů </h2><p>V případě Ukrajiny se navíc objevil zcela nový malware, tzv. HermeticWiper, který maže vybrané části pevného disku, a tím znemožňuje start počítače. Tento malware byl na koncové počítače přenesen pomocí GPO, tedy centrálního nástroje pro konfiguraci doménové politiky. Lze předpokládat, že útočníci měli už předtím přístup na AD servery. </p><p>Nezávislé agentury Snorre Fagerland, Bellingcat a The Insider dále objevily webovou službu, která byla v minulosti využitá u kybernetických útoků podporujících ruské státní zájmy, a nalezli na ní klonované kopie řady ukrajinských vládních webových stránek. Klonovaná verze stránek ukrajinského prezidenta je upravena tak, aby obsahovala klikací kampaň ‚Podpoř prezidenta‘, která po kliknutí stáhne balíček malwaru přímo do počítače uživatele. </p><h2>Co můžeme čekat v nejbližších dnech? </h2><p>Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v pátek 25. února 2022 doporučení ke snížení kybernetických hrozeb pro zdravotnická zařízení, které se vztahuje k útokům typu DDoS a ransomware. </p><p>Vedle toho se dají očekávat útoky hlavně na nejslabší články kybernetické infrastruktury, které jsou snadno napadnutelné a zároveň mediálně viditelné. Kromě zdravotnictví může jít zejména o státní a veřejnou správu a kritickou infrastrukturu. Cílem je zasažení nejenom konkrétních organizací, ale také podpora ruského narativu: Vaše státní úřady nejsou schopny ochránit českou společnost. </p><h2>Jakým způsobem bude útočník postupovat? </h2><p>Existuje několik velmi efektivních způsobů, jak může útočník malware do počítačů obětí doručit. Kromě sofistikovaných útoků na infrastrukturu, které využívají jak známé, tak i tzv. ZeroDay zranitelnosti, jde hlavně o útoky prostřednictvím uživatelů, především spear-phishing.<br><br> </p><center><table width="80%" border="3px" bordercolor="#6773b6" cellspacing="0"><tbody><tr><td valign="middle" bgcolor="#ffffff" style="text-align:left;"> <br> <p style="text-align:center;">Další informace o tom, <strong>co je phishing</strong> a jak se proti němu bránit, najdete na <a href="/Blog/Stranky/co-je-phishing.aspx">tomto odkazu</a>. </p> <br> </td></tr></tbody></table></center><p style="margin-bottom:0px;"> <br> </p><p style="margin-bottom:0px;">Typická témata spear-phishingových a e-mailových kampaní budou souviset s aktuálně probíhajícím rusko-ukrajinským konfliktem. Může jít například o:</p><ul><li>Žádost o zdravotnický materiál se specifikací v příloze – ten mají momentálně české nemocnice skutečně zajistit. </li><li>V případě státní správy půjde o aktuální informace na toto téma s podrobnostmi v příloze – typicky prohlášení ministra daného resortu. </li></ul> <br> <p></p><h2>Další možné útoky </h2><p>Aktuálně probíhají masivní vlny útoků na klienty bank, kde se kombinacemi metod sociálního inženýrství a phishingu (SMS nebo e-mailové zprávy) útočník snaží od zákazníka vylákat informace o přístupu k jeho bankovnímu účtu. </p><p>Dále se dají očekávat různé pokusy o zneužití humanitární a jiné pomoci Ukrajině, například stránky a odkazy s podvodnými sbírkami na pomoc uprchlíkům anebo ukrajinské armádě. </p><p> <br> </p><center><table width="80%" border="3px" bordercolor="#6773b6" cellspacing="0"><tbody><tr><td valign="middle" bgcolor="#ffffff" style="text-align:left;"><div style="text-align:center;"></div><div style="text-align:center;"></div><p style="text-align:center;"> <strong style="color:#6773b6;"><span style="color:#6773b6;"><br>Upozorňujeme na zvýšené množství podvodných bankovních účtů, které se vydávají za legitimní.</span></strong></p><p style="text-align:center;">Před odesláním transakce na pomoc postiženým válkou si nejprve důkladně ověřte, zda účet, na který peníze zasíláte,​ skutečně patří zamýšlenému příjemci.​<br></p><p style="text-align:center;">Některé banky aktuálně zavedly opatření, které nepovoluje finanční transakce prováděné z internetového bankovnictví na UA účty.</p> <br> </td></tr></tbody></table> <br> </center> <br> <p> </p><div align="right"><table width="390"><tbody><tr><td width="100" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/karin-gubalova-aec-2020.jpg" alt="Karin Gubalová, AEC" data-themekey="#" style="margin:5px;width:90px;height:120px;" /> </td><td width="290" align="left" valign="top"><p><br><strong style="color:#6773b6;"><span style="color:#6773b6;">Karin Gubalová</span></strong><br>Head of Risk & Compliance Division<br>AEC a.s.</p><p><img src="/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-risk.png" alt="security is our DNA" data-themekey="#" style="margin:5px;width:150px;height:20px;" /> </p></td></tr></tbody></table></div>​​<br>1
Hrozby pro Windows: duben 2022https://www.antivirus.cz/Blog/Stranky/hrozby-pro-windows-duben-2022.aspxHrozby pro Windows: duben 2022<h3><span style="color:#6773b6;">Spyware Formbook se stal v dubnu nejčastěji detekovaným škodlivým kódem pro operační systém Windows v Česku. Objevil se také v phishingovém útoku na ukrajinské vládní představitele.</span></h3> <br> <p><strong>Nejčastější hrozbou pro uživatele zařízení s operačním systémem Windows byl v dubnu spyware Formbook. Bezpečnostní experti z ESETu detekují tento malware v Česku pravidelně a dlouhodobě. V dubnu se objevil ve více než pětině všech detekcí. Malware Formbook je škodlivý kód s mezinárodním dosahem, který se primárně na Česko nezaměřuje. Objeven byl například také v phishingové e-mailové kampani na ukrajinské vládní představitele. Na Česko se naopak od začátku roku 2022 cíleně zaměřil password stealer Fareit, který v dubnu ke svému šíření zneužíval názvy známých bank. Vyplývá to z pravidelné statistiky společnosti ESET.</strong> </p><p>Poprvé v letošním roce se nejčastěji detekovaným kódem v Česku stal spyware Formbook, který se v dubnu objevil ve více než pětině všech detekovaných případů. Bezpečnostní specialisté zaznamenali tři velké kampaně 11., 25. a 29. dubna. Nebezpečná příloha byla tentokrát pojmenovaná RFQ-22-03795.exe. </p><p>„Spyware Formbook aktuálně útočí hlavně v Turecku a ačkoli Česká republika nepatří mezi jeho hlavní cíle, stal se v dubnu nejčastěji detekovaným malwarem pro zařízení s operačním systémem Windows. Útočné kampaně probíhaly primárně v angličtině. Vyloučit ale nelze ani útoky v češtině, které se mohou v menší míře také objevit,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Spyware Formbook, který se v českém prostředí vyskytuje dlouhodobě, na sebe upoutal v posledních měsících pozornost také v souvislosti s phishingovým e-mailem, který byl adresovaný vysoce postaveným vládním představitelům na Ukrajině v únoru 2022. Formbook funguje jako tzv. MaaS (Malware-as-a-Service), to znamená, že si ho útočníci mohou zakoupit jako službu na černém trhu. </p><p>„Pokud malware Formbook infikuje zařízení, přebere nad ním prakticky plnou kontrolu. Mezi nejznámější funkce tohoto spywaru patří samozřejmě krádež hesel a citlivých dat z e-mailových klientů a z webových prohlížečů, dokáže ale také pořizovat snímky obrazovky, zaznamenávat stisky kláves nebo stahovat a spouštět další malware,“ vysvětluje Jirkal. </p><h2>Malware Fareit cíleně útočí na české uživatele </h2><p>Agent Tesla v dubnu oslabil a neměl v Česku žádnou větší útočnou kampaň. Útočníci ale tentokrát opět aktivně využívali česky pojmenované přílohy. </p><p>„Nejběžnější škodlivá příloha byla v dubnu pojmenovaná Order.pdf.exe, objevily se ale také do češtiny přeložené verze SMLOUVA-pdf.exe a Kopie oprav účtenky za 11,2021...exe. Použití češtiny v útočných e-mailových kampaní je vždy ukazatelem toho, že Česká republika patří mezi cílové země útoku,“ říká Jirkal. </p><p>Password stealer Fareit, který začal v Česku opět silněji útočit od začátku letošního roku, zkouší dle predikcí bezpečnostních specialistů nové strategie. V dubnu útočníci zneužívali k jeho šíření názvy známých bank. </p><p>„Malware Fareit využíval v dubnu česky pojmenované přílohy ze všech škodlivých kódů nejaktivněji. Zneužití názvů známých bank je s největší pravděpodobností strategií, jak zlepšit úspěšnost tohoto malwaru v útocích na české uživatele,“ říká Jirkal a dodává: „I když je v tomto případě riziko spuštění infikované přílohy uživatelem vysoké, úroveň češtiny byla v případě útoku malwaru Fareit špatná a uživatele to mohlo včas varovat, že něco s e-mailem není v pořádku. Škodlivé přílohy byly do češtiny strojově překládány jako Objednávek (P.O_R6790074) či Elektronická platební.exe.“ </p><h2>V případě spywaru je třeba chránit hlavně hesla </h2><p>Přestože se prostředí kybernetických hrozeb v Česku pravidelně proměňuje, cílem stále zůstávají uživatelská hesla. Ty útočníci využívají k dalším útokům, nebo s nimi obchodují na černém trhu. Hlavní obranou před kybernetickými útoky je tak především jejich bezpečná správa. </p><p>„Uživatelům doporučujeme myslet na bezpečnost již v samotném začátku, tedy při samotné tvorbě hesel. Silné heslo by mělo být složeno z různorodých, ideálně deseti a více znaků či heslových frází a obsahovat malá a velká písmeny a číslice. Dalším krokem je jejich bezpečné ukládání. Rozhodně nedoporučujeme hesla ukládat do webových prohlížečů, které nejsou před útoky spywaru dostatečně zabezpečené. K bezpečné správě slouží například správce hesel, specializovaný program, který ukládá hesla v zašifrované podobě,“ říká Jirkal z ESETu. </p><p>K úplnému zabezpečení je také důležité operační systém zařízení a všechny programy v něm pravidelně aktualizovat a používat kvalitní bezpečnostní software. </p><h2>Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2022: </h2><p>1. Win32/Formbook trojan (23,54 %) <br> 2. MSIL/Spy.AgentTesla trojan (15,73 %) <br> 3. Win32/PSW.Fareit trojan (4,76 %) <br> 4. MSIL/Spy.Agent.AES trojan (4,65 %) <br> 5. Win32/Agent.TJS trojan (2,34 %) <br> 6. VBS/Agent.PNB trojan (1,48 %) <br> 7. Win32/AutoRun.Delf.LV worm (1,34 %) <br> 8. MSIL/NanoCore trojan (1,03 %) <br> 9. Java/Adwind trojan (0,89 %) <br> 10. BAT/CoinMiner.AUB trojan (0,86 %)<br> </p>​<br>0
Na darknetu se hesla a přihlašovací údaje prodávají za pár desítek dolarůhttps://www.antivirus.cz/Blog/Stranky/na-darknetu-se-hesla-a-prihlasovaci-udaje-prodavaji-za-par-desitek-dolaru.aspxNa darknetu se hesla a přihlašovací údaje prodávají za pár desítek dolarů<h3> <span style="color:#6773b6;">Hackeři se snaží zneužít slabá hesla, ke krádežím hesel a přihlašovacích údajů používají phishingové podvody nebo zlodějské malwary.</span></h3> <br> <p>První květnový čtvrtek je mezinárodním dnem hesel, tedy ideální příležitost připomenout si důležitost bezpečné práce s hesly.​ </p><p>Check Point varuje v souvislosti se dnem hesel před slabými hesly, zlodějskými malwary, phishingovými triky a špatným zabezpečením. Kyberzločinci se snaží plošnými i cílenými útoky získat hesla a všechny související přihlašovací údaje k uživatelským účtům. Na darknetu pak vidíme velmi aktivní obchod s těmito údaji, nejrůznější hackerské skupiny obchodující s hesly mají tisíce členů. </p><p>Důležité je používat silná hesla, ale zároveň s hesly pracovat bezpečně a chránit se před nejrůznějšími phishingovými podvody a sociálním inženýrstvím. Velký problém představují zlodějské malwary, například FormBook nebo Agent Tesla, které patří celosvětově k nejrozšířenějším škodlivým kódům a dokáží špehovat uživatele, sledovat stisknuté klávesy, pořizovat screenshoty obrazovky a shromažďovat pro hackery další cenné informace. FormBook je možné navíc jednoduše, a levně, koupit na hackerských fórech jako službu. Hrozbou pro vaše hesla tak může být kdokoli, i když nemá technické znalosti. Bezpečná práce s hesly je proto v roce 2022 jednou z bezpečnostních priorit. </p><p>Za pár desítek nebo stovek dolarů lze koupit přístup k bankovním a PayPal účtům. Ceny jsou odstupňované podle zůstatku na účtu. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hesla-01.png" data-themekey="#" alt="" style="margin:5px;width:307px;" /> <br> <br> </p><p>Ohrožená nejsou jen hesla a přihlašovací údaje k bankovním účtům. Na darknetu lze koupit přístup k hacknutým Disney+ nebo Netflix účtům nebo za 100 dolarů koupit přístup k 20 náhodným eBay účtům. Podobně lze ve výčtu nabízených služeb pokračovat. I když se nějaký účet nemusí zdát tak důležitý, vždy se najde někdo, kdo na něm vydělá, proto je potřeba zabezpečit všechny účty. Pokud používáte stejná nebo podobná hesla napříč službami, mohou se útočníci dostat do dalších, a často i zásadnějších, účtů. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hesla-02.jpg" data-themekey="#" alt="" style="margin:5px;width:347px;" /> </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/hesla-03.jpg" data-themekey="#" alt="" style="margin:5px;width:285px;" /> <br> <br> </p><p>„Každý den se kyberzločinci pokouší ukrást hesla uživatelů z celého světa pomocí tradičních i sofistikovaných metod. A i když se útoky a kybernetické hrozby neustále vyvíjí, stále můžete svoje data chránit tak, aby se jich hackeři nemohli zmocnit. Mezinárodní den hesel je dobrou připomínkou, o jak citlivé téma se jedná. Krádež hesla a přihlašovacích údajů může vést k útokům i na další služby a často je lze využít i k proniknutí do podnikových sítí a ohrožení bezpečnosti citlivých osobních i pracovních dat,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h3>Důležité je také vytvářet silná a bezpečná hesla: </h3><p>1. Používejte kombinaci znaků. Mnoho uživatelů používá jako heslo nějakou jednoduchou frázi nebo významná data, díky čemu pak mohou hackeři hesla uhádnout, například data narození lze snadno dohledat. Kombinujte proto různá čísla, písmena a symboly.<br> 2. Různá hesla pro různé služby. Protože v současné době vyžaduje přihlašovací údaje velké množství aplikací a služeb, je lákavé použít pro všechny stejné heslo. Ale to je ten nejhorší možný nápad. Taky nechcete mít jeden klíč k autu, domu, kanceláři a trezoru. Stejně tak bychom neměli používat jedno heslo, které hackerům otevře dveře k celému našem digitálnímu životu. Pro vyšší bezpečnosti i komfort můžete použít správce hesel, který je pomůže spravovat a také vygenerovat robustní přihlašovací údaje. <br> 3. Čím delší, tím silnější. Je pravda, že čím delší je kombinace, tím hůře se pamatuje. Je to ovšem jeden z nejlepších způsobů, jak vytvořit bezpečné heslo. Takže používejte minimálně 8 znaků, ale nebojte se ani delších kombinací.<br> 4. Hesla pravidelně měňte. Můžete například použít podobný základ a různě ho kombinovat, doplňovat a obměňovat. Bude pro vás potom snazší hesla měnit a zapamatovat si je.<br> 5. Dvoufaktorové ověřování je základ. I když používáte silné heslo, u všech služeb, které to umožňují, je nutné aktivovat i dvoufaktorové ověřování. Bezpečnosti není nikdy dost.<br> </p>​<br>0
Hrozby pro Android: březen 2022https://www.antivirus.cz/Blog/Stranky/hrozby-pro-android-brezen-2022.aspxHrozby pro Android: březen 2022<h3><span style="color:#6773b6;">Největšími hrozbami pro platformu Android zůstávají v Česku bankovní trojské koně. Rizikem jsou také droppery, které se vydávají za známé aplikace a nástroje.</span> </h3> <br> <p><b>Nejčastějším škodlivým kódem pro platformu Android v Česku byl v březnu dropper Agent.IEG. Bankovní trojský kůň Cerberus pak oproti únoru výrazně utlumil svou aktivitu a v březnu ho bezpečnostní specialisté detekovali jen v desetině všech případů. Nově se však mezi nejčastějšími škodlivými kódy objevil další bankovní malware, Banker.AQN. Tento trojský kůň doposud útočil převážně ve Španělsku a mimo riziko zneužití informací ze samotného zařízení dokáže také odcizit přihlašovací a citlivé údaje přímo z bankovních mobilních aplikací. Vyplývá to z pravidelné analýzy společnosti ESET.</b> </p><p>Zatímco v únoru bezpečnostní specialisté z ESETu pozorovali nestandardně vysoký počet detekcí u bankovního malwaru Cerberus, v březnu se nejčastější hrozbou stal dropper Agent.IEG. Droppery jsou škodlivé kódy, které podobně jako obálky dokáží do zařízení nepozorovaně doručit jiný malware. Útočníci je tak v případě šíření malwaru na platformě Android velmi často využívají. Vydávají je za známé nástroje a služby, které si často do svého zařízení stáhne sám uživatel v domnění, že stahuje aplikaci. </p><p>„V březnu se do čela našich statistik dostal dropper Agent.IEG, ačkoli ještě v únoru jsme v jeho případě zaznamenali pokles o 47 procent, což byl největší propad od doby, kdy jsme začali v Česku tento malware detekovat. Trojský kůň Cerberus, který s nestandardní převahou silně dominoval statistikám minulý měsíc, se v březnu objevil pouze v desetině detekovaných případů,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Vše zatím nasvědčuje tomu, že se v dlouhodobém výhledu musíme připravit na nové útočné kampaně. Způsob, jakým útočníci bankovní malware Cerberus šířili, tedy prostřednictvím nelegitimní galerie fotek od Google, zůstával poslední měsíce stejný. Dá se tak očekávat, že se bankovní malware vrátí do čela našich detekcí s novou strategií,“ dodává Jirkal. </p><p>Bankovní malware Cerberus se v březnu šířil nejčastěji prostřednictvím dropperu Agent.FAL. Dle bezpečnostních expertů se jedná o variantu škodlivého kódu, která vznikla teprve minulý měsíc. Do současnosti zatím zvýšil svou aktivitu o 16 procent. </p><h2>Španělský trojský kůň se v březnu objevil i v Česku </h2><p>Po několika měsících se v Česku mezi třemi nejčastěji detekovanými škodlivými kódy opět objevil bankovní trojský kůň Banker.AQN. V březnu se šířil prostřednictvím dropperu Agent.IYY. v„Ačkoli se malware Banker.AQN objevil v Česku již závěrem loňského roku, jeho aktuální detekce narostla téměř šestinásobně. Primárně se tento bankovní trojský kůň dosud zaměřoval na španělské poskytovatele finančních služeb,“ říká Jirkal. „Pokud Banker.AQN napadne zařízení, umí odcizit nejen informace, jako jsou kontakty, informace o hovorech a SMS, dělat screenshoty či sledovat polohu, ale dokáže také odcizit přihlašovací údaje nebo čísla kreditních karet přímo v bankovní aplikaci,“ vysvětluje Jirkal. </p><p>Bezpečnostní experti tak nabádají uživatele, aby si k přístupu do svého internetového bankovnictví na zařízeních s operačním systémem Android vždy stahovali pouze oficiální bankovní aplikaci od svého poskytovatele bankovních služeb. </p><h2>Finanční transakce ověřujte pomocí biometrických údajů </h2><p>Kromě využívání oficiální aplikace stažené z důvěryhodného zdroje, jako je v případě platformy Android služba Google Play, je důležité chránit své citlivé údaje přímo v zařízení pomocí vhodně zvoleného zámku a potvrzování operací. </p><p>„Vedle potvrzení operací nebo odemykání obrazovky zařízení prostřednictvím gesta nebo hesla je v tuto chvíli rozhodně nejbezpečnější variantou využívání biometrických údajů jako je rozpoznání obličeje nebo otisk prstu. Zařízení je také důležité chránit kvalitním bezpečnostním programem a všechny aplikace i celý systém zařízení pravidelně aktualizovat na nejvyšší dostupné verze, které často obsahují opravy chyb z verzí předešlých,“ říká Jirkal z ESETu. </p><p>V případě šíření malwaru prostřednictvím dropperu je velkým rizikem stahování aplikací z neoficiálních zdrojů, jako jsou různá fóra nebo nelegitimní obchody s aplikacemi. Útočníci dropper velmi často vydávají za populární aplikaci, která je mimo oficiální obchod nabízena zdarma, a tím uživatele motivují k jejímu stažení. Aplikace však často nepracuje správně a její jedinou funkcí je infikovat zařízení škodlivým kódem. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za březen 2022: </h2><p>1. Android/TrojanDropper.Agent.IEG trojan (14,45 %)<br> 2. Android/Spy.Cerberus trojan (10,40 %)<br> 3. Android/Spy.Banker.AQN trojan (7,01 %)<br> 4. Android/Andreed trojan (5,02 %)<br> 5. Android/GriftHorse trojan (4,50 %)<br> 6. Android/TrojanDropper.Agent.GUB trojan (4,34 %)<br> 7. Android/TrojanDropper.Agent.DIL trojan (1,90 %)<br> 8. Android/TrojanDropper.Agent.JDL trojan (1,87 %)<br> 9. Android/TrojanDropper.Agent.GMK trojan (1,85 %)<br> 10. Android/TrojanDropper.Agent.GOF trojan (1,69 %)<br> </p>​<br>0
Plánovaný útok na Českou republikuhttps://www.antivirus.cz/Blog/Stranky/planovany-utok-na-ceskou-republiku.aspxPlánovaný útok na Českou republiku<p> <strong style="color:#6773b6;"> <span style="color:#6773b6;">​Upozorňujeme možný výskyt DDoS útoků mířících na české společnosti.</span></strong><br></p><p> <b>Zdroj:</b> <a href="https://t.me/killnet_channel/252" target="_blank">https://t.me/killnet_channel/252</a><br></p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/t-me-killnet-channel-2022.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><h2>Aktualizace 20/4/2022, 14:42:</h2><h3>Komentář kyberbezpečnostní společnosti Check Point Software Technologies</h3><p>"Česká republika čelí v posledních měsících velmi nadprůměrnému počtu kyberútoků. Výrazný skok jsme zaznamenali právě v souvislosti s válkou a zatímco jedna evropská organizace čelí nyní průměrně 1100 kyberútokům týdně, počet útoků na jednu českou organizaci je za stejné období, tedy jeden týden, v průměru 1800 útoků. Česko je v tomto ohledu dlouhodobě nad evropským průměrem, ale s válkou se rozdíl ještě prohloubil. </p><p>Od začátku války čelí v průměru čtvrtina českých organizací každý týden nějakému DDoS útoku. Přibližně u 12 % takto postižených organizací byly zdrojem ruské IP adresy, nejedná se ale o nijak dramatický nárůst v porovnání s obdobím před válkou. </p><p>DDoS útoky jsou sice nepříjemné, ale většinou nepředstavují kritické bezpečnostní riziko. Každopádně je to další varování, protože mohou následovat mnohem sofistikovanější typy útoků. DDoS útoky jsou navíc určitá demonstrativní forma, která má upoutat pozornost a zastrašit. Ty zákeřnější útoky se naopak snaží zůstat neodhalené a řada společností nemusí ani tušit, že nějakému útoku čelí. Speciálně organizace napojené na kritickou infrastrukturu by nyní měly být ještě opatrnější a obezřetnější. </p><p>Check Point už na aktivity proruská skupiny Killnet upozorňoval. Skupina nedávno spustila službu KillNet Botnet DDoS a chlubí se mnoha DDoS útoky proti nepřátelům Ruska. V souvislosti s aktivitami Killnetu jsme viděli i několik podvrhů, například fakeové video o útoku na neexistující stránky Anonymous, což měla být odveta za útok na ruské webové stránky. Ke zprávám o kyberútocích je tedy potřeba přistupovat velmi obezřetně, protože některé skupiny zneužívají situace pro budování své pověsti a často za své úspěchy vydávají i podvrhy. </p><p>Z našich dat nicméně vyplývá, že riziko kyberútoků je nyní velmi vysoké a společnosti musí používat preventivní technologie, které eliminují hrozby, ještě než mohou způsobit nějaké škody," říká Tomáš Růžička, Security Engineer Team Leader Czech Republic z kyberbezpečnostní společnosti Check Point Software Technologies. </p>0
Hrozby pro macOS: V březnu se adware šířil přes nelegitimní hruhttps://www.antivirus.cz/Blog/Stranky/hrozby-pro-macos-v-breznu-se-adware-siril-pres-nelegitimni-hru.aspxHrozby pro macOS: V březnu se adware šířil přes nelegitimní hru<h3><span style="color:#6773b6;">Také v březnu zůstal počet detekcí reklamního malwaru Pirrit bez výrazných změn. Znovu se objevil trojský kůň Adload.</span> </h3> <br> <p><strong>Ve více než pětině detekovaných případů zůstal v březnu hlavní hrozbou pro platformu macOS v Česku adware Pirrit. Bezpečnostní analytici z ESETu tento reklamní malware pravidelně detekují již od minulého roku. Znovu se ve statistikách objevil také trojský kůň Adload, který se v březnu šířil prostřednictvím neoficiální verze hry Heroes of Might and Magic. Rizikem pro stažení adwaru nadále zůstává především stahování aplikací, programů a her z nedůvěryhodných zdrojů.</strong> </p><p>Ve více než pětině detekcí pro platformu macOS v Česku se v březnu opět objevil adware Pirrit. Tento reklamní malware je v českém prostředí dlouhodobým rizikem a jeho přítomnost v zařízení může vést ke stahování dalšího reklamního malwaru a celkovému zpomalování výkonu počítače. </p><p>„Adware, neboli reklamní malware, si uživatel stáhne do zařízení většinou sám jako součást jiného nástroje či služby. Přítomnost adwaru v zařízení se projevuje například vkládáním odkazů do webového obsahu nebo vyskakujícími reklamními okny. V některých případech může adware stahovat do zařízení další reklamní či jinak sponzorovaný obsah, zpravidla v podobě doplňku pro internetový prohlížeč nebo aplikace, která uživateli opět zobrazuje pouze reklamu,“ vysvětluje Jiří Kropáč, vedoucí virové laboratoře společnosti ESET v Brně. </p><h2>Reklamní malware šířila nelegitimní verze známé hry </h2><p>V březnu bezpečnostní analytici zaznamenali ve statistikách návrat trojského koně Downloader.Adload. Ten se svým chováním snaží uživatele přimět ke stažení dalších programů v podobě známých a populárních aplikací a nástrojů. </p><p>„Trojský kůň Adload se šíří poměrně agresivním způsobem, kdy zneužívá známých balíků software nebo her. Uživatelé na něj narazí především v neoficiálních obchodech nebo na různých fórech, kde jsou tyto služby nabízené zdarma nebo společně s nějakými dalšími bezplatnými programy. V březnových datech jsme objevili například balík, ve kterém útočníci šířili adware spolu s nelegitimní verzí hry Heroes of Might and Magic,“ říká Kropáč. </p><p>Výsledkem působení trojského koně Adload je stažení dalšího škodlivého kódu, který opět zobrazuje nevyžádanou reklamu. Může dokonce také sbírat citlivé informace o uživateli a jeho chování na internetu. </p><h2>Motivem ke stažení adwaru jsou programy zdarma </h2><p>I když se v porovnání s jiným typem škodlivého kódu nejedná o tak závažnou hrozbu, bezpečnostní specialisté nadále uživatele varují, aby ani riziko v podobě adwaru nepodceňovali. </p><p>„Autoři reklamního malwaru moc dobře vědí, že lákadlo v podobě jinak drahého programu nebo hry zdarma uživatele přesvědčí ke stažení. Často tak vítězí výhodná příležitost nad opatrností,“ říká Kropáč a dodává: „Ačkoli i v oficiálních obchodech se mohou v aplikacích objevit škodlivé kódy, toto riziko je v porovnání s veřejnými fóry nebo torrenty minimální. Uživatelům bych tak doporučil stahovat programy výhradně z App Store.“<br><br> </p><h3>Nejčastější kybernetické hrozby v České republice pro platformu macOS za březen 2022: </h3><p>1. OSX/Adware.Pirrit (26,51 %)<br> 2. OSX/TrojanDownloader.Adload (8,43 %) <br> 3. OSX/Adware.MaxOfferDeal (4,82 %) <br> 4. OSX/Adware.Bundlore (4,82 %) <br> 5. OSX/Adware.InstallCore (3,61 %) <br> </p><br>0
Antivirové aplikace šířily bankovní malware, stáhnout je šlo z oficiálního obchodu Google Playhttps://www.antivirus.cz/Blog/Stranky/antivirove-aplikace-sirily-bankovni-malware-stahnout-je-slo-z-oficialniho-obchodu-google-play.aspxAntivirové aplikace šířily bankovní malware, stáhnout je šlo z oficiálního obchodu Google Play<h3> <span style="color:#6773b6;">Útočníci nespustili škodlivé funkce, pokud se zařízení nacházelo v Číně, Indii, Rumunsku, Rusku, na Ukrajině nebo v Bělorusku.</span> </h3> <br> <p>Check Point Research odhalil v obchodě Google Play 6 nebezpečných aplikací, které šířily bankovní malware a vydávaly se za antivirová řešení. Malware Sharkbot krade přihlašovací údaje a bankovní informace. </p><p>Sharkbot používá push notifikace a snaží se nalákat oběti, aby zadaly své přihlašovací údaje do věrohodně vypadajících formulářů. Jakmile uživatel data zadá, malware je odešle na servery útočníků. <br>1. Uživatelé jsou nejdříve požádání, aby aplikaci udělili speciální práva.<br> 2. Malware následně získá kontrolu nad velkou částí zařízení.<br> 3. Útočníci mohou obětem zasílat push notifikace obsahující škodlivé odkazy. </p><p> Malware zároveň nespustí škodlivé funkce, pokud se zařízení nachází v Číně, Indii, Rumunsku, Rusku, na Ukrajině nebo v Bělorusku. ​<br></p><p>Check Point detekoval během jednoho týdne více než 1 000 unikátních IP adres infikovaných zařízení, většinou se jednalo o Velkou Británii a Itálii, ale zasaženi byli i uživatelé v dalších zemích. Statistiky Google Play ukazují, že celkově byly nebezpečné aplikace stažené více než 15 000krát. Z vyšetřování vyplývá, že útočníci mluví rusky, ale zatím chybí další důkazy pro bližší určení konkrétní skupiny. Uživatelé by měli být při stahování antivirových aplikací z Google Play velmi opatrní. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/malware-sharkbot-google-play.png" data-themekey="#" alt="" style="margin:5px;width:460px;" /> <br><em>6 škodlivý​​ch aplikací</em> <br></p><p>Aplikace pochází od tří vývojářů: Zbynek Adamcik, Adelmio Pagnotto a Bingo Like Inc. Některé aplikace spojené s těmito účty byly již dříve z Google Play odstraněny, ale stále je lze najít v nabídce neoficiálních obchodů. Útočníci se tak nadále snaží šířit malware, ale zároveň na sebe nechtějí příliš upozorňovat. </p><p>Check Point o aplikacích šířících malware Sharkbot informoval společnost Google, která aplikace z obchodu Google Play odstranila. </p><p>„V Google Play jsme objevili šest aplikací, které šířily malware Sharkbot. Jedná se o velmi nebezpečnou variantu malwaru, protože krade přihlašovací údaje a bankovní informace. Podle počtu stažení je zřejmé, že jsou útočníci úspěšní. Uživatelé totiž většinou aplikacím na Google Play slepě důvěřují. Poměrně neobvyklé je použití push notifikací. Každopádně pokud si z Google Play chcete stáhnout nějakou antivirovou aplikaci, měli byste být velmi obezřetní,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h3>Bezpečnostní tipy:</h3><ul><li>Instalujte aplikace pouze od důvěryhodných a prověřených vydavatelů. </li><li>Pokud uvidíte aplikaci od nového vydavatele, vyhledejte raději její verzi od důvěryhodného autora. </li><li>Všechny podezřelé aplikace nahlaste společnosti Google. </li></ul> <br> <h3>Více informací najdete v analýze výzkumného týmu Check Point Research: </h3><p><a href="https://research.checkpoint.com/2022/google-is-on-guard-sharks-shall-not-pass/" target="_blank">https://research.checkpoint.com/2022/google-is-on-guard-sharks-shall-not-pass/​</a> </p>​<br>0
V březnu na uživatelská hesla opět nejsilněji útočil spywarehttps://www.antivirus.cz/Blog/Stranky/v-breznu-na-uzivatelska-hesla-opet-nejsilneji-utocil-spyware.aspxV březnu na uživatelská hesla opět nejsilněji útočil spyware<h3><span style="color:#6773b6;">Počet detekcí pro všechny škodlivé kódy v Česku byl stabilně vysoký také v březnu. Bezpečností experti nadále varují před e-mailovými útoky.</span> </h3> <br> <p><strong>Březnová statistika detekcí pro zařízení s operačním systémem Windows opět potvrdila převahu spywaru v Česku. Jeho prostřednictvím se útočníci snaží odcizit uživatelská hesla. Zatímco v minulých měsících bezpečnostní analytici z ESETu detekovali malware v česky pojmenovaných e-mailových přílohách, v březnu byly tyto útoky spíše ojedinělé. I přesto nadále platí varování, aby uživatelé rozhodně nepodceňovali bezpečné zacházení se svou elektronickou poštou.</strong> </p><p>Počet detekcí malware pro zařízení s operačním systémem Windows v Česku se ani v březnu výrazně nezměnil. Dlouhodobě přítomné škodlivé kódy, které se zaměřují na hesla českých uživatelů, tak zůstaly stabilní po celé první čtvrtletí roku 2022. </p><p>Spyware Agent Tesla byl i v březnu detekován ve zhruba třetině všech případů. Bezpečnostní experti zaznamenali útočné e-mailové kampaně především ve druhé polovině měsíce, konkrétně 17., 18. a 22. března. Nebezpečná e-mailová příloha, přes kterou se spyware v březnu šířil, nesla název 110500_AS003_2022_5240041771_1.exe. </p><p>„Zatímco v předchozích měsících jsme pravidelně varovali před přílohami, které byly pojmenovány jako účtenka, faktura, nebo objednávka, v březnu se české názvy nebezpečných příloh objevovaly spíše ojediněle. Nejedná se o nijak nezvyklou situaci, útočníci pravděpodobně jen zkoušejí různé strategie,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Spyware je druh škodlivého kódu, který se zaměřuje na uživatelská hesla uložená v internetových prohlížečích nebo e-mailových klientech, jako jsou Microsoft Outlook, Mozilla Thunderbird nebo Yandex. Uniklá hesla pak často končí na černém trhu a mohou být zneužita k celé řadě dalších útoků. </p><h2>Útočníci spoléhají na nepozornost uživatelů </h2><p>Dalšími z nejčastěji objevených škodlivých kódů byly v březnu také spyware Formbook a password stealer Fareit s téměř srovnatelným počtem detekcí. </p><p>„Spyware Formbook útočil v první polovině měsíce, a to 11. března. Password stealer Fareit poté útočil 7. března. Jako jediný útočil aktivně v českém jazyce, škodlivá e-mailová příloha byla pojmenována Objednávek(P.O_R6790074)_INTERCOM_Bohemia.exe,“ říká Jirkal. </p><p>Bezpečnostní experti opakovaně apelují na uživatele, aby nespouštěli a neotvírali soubory, které obdrží e-mailem od neznámého odesílatele. Pokud se odesílatel jeví jako zástupce nějakého úřadu či instituce, například banky nebo poskytovatele energií, doporučují, aby si uživatelé takto obdržené e maily potvrdili přímo na oficiální zákaznické lince. </p><h2>E-mail zůstává hlavním nástrojem k šíření malware </h2><p>Ačkoli obliba komunikace na sociálních sítích či přes komunikační aplikace stále roste, e-mail nadále zůstává jedním z hlavních nástrojů komunikace jak v osobním, tak v pracovním životě. Varování se proto týká i firem či institucí, protože nebezpečné přílohy mohou najít ve svých e-mailových schránkách také jejich zaměstnanci. Zde bezpečnostní experti doporučují především pravidelná školení a aby měli zaměstnanci možnost v případě pochybností konzultovat obsah doručené pošty s odbornými IT specialisty. </p><p>„I když se běžným uživatelům může zdát, že se v případě kybernetického útoku nemohou adekvátně bránit, pravda je taková, že účinnou ochranu mají stále z velké části v rukou oni sami,“ říká Jirkal. „V případě e-mailových útoků je důležité, aby si všímali všech podezřelých a nestandardních ukazatelů, jako je například e-mailová adresa odesílatele nebo celkové znění zprávy, protože phishingové kampaně se vyznačují velkou naléhavostí a znění zprávy nás má vystresovat. Útočníky často prozradí také špatná úroveň češtiny, což jsme v březnu mohli vidět i v případě přílohy, přes kterou se šířil malware Fareit,“ shrnuje Jirkal z ESETu. </p><p>Vedle doporučení, jak bezpečně pracovat se svou elektronickou poštou, zařízení před útoky zabezpečí také kvalitní antivirový program, který dokáže na kybernetické hrozby v e-mailu včas upozornit. </p><h2>Nejčastější kybernetické hrozby v České republice za březen 2022:</h2><p> 1. MSIL/Spy.AgentTesla trojan (27,81 %) <br> 2. Win32/Formbook trojan (14,88 %) <br> 3. Win32/PSW.Fareit trojan (13,39 %) <br> 4. Win32/Rescoms trojan (3,29 %) <br> 5. MSIL/Spy.Agent.AES trojan (3,06 %) <br> 6. DOC/Agent.HY trojan (2,02 %) <br> 7. Win32/Agent.TJS trojan (1,43 %) <br> 8. Java/Spy.Agent.R trojan (1,38 %) <br> 9. MSIL/NanoCore trojan (0,71 %) <br> 10. MSIL/Spy.Agent.DFY trojan (0,63 %)<br> </p><br>0
Kyberzločinci používají ke špionážím dokumenty s válečnou tématikouhttps://www.antivirus.cz/Blog/Stranky/kyberzlocinci-pouzivaji-ke-spionazim-dokumenty-s-valecnou-tematikou.aspxKyberzločinci používají ke špionážím dokumenty s válečnou tématikou<ul><li> <strong style="color:#6773b6;"> <span style="color:#6773b6;">Útočníci se zaměřují na vládní, finanční a energetický sektor. </span></strong></li><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">Od začátku války vzrostl celosvětově počet kyberútoků na organizace o 16 %. </span></strong></li><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">Počet útoků na české organizace vzrostl od začátku války o 30 %, jedna česká organizace čelí průměrně 1865 kyberútokům za týden.</span></strong> </li></ul> <br> <p>Check Point Research varuje před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou. APT skupiny El Machete, Lyceum a SideWinder útočí pomocí spear-phishingových kampaní na lukrativní cíle. Útočníci používají formální dokumenty, novinové články i pracovní nabídky a šíří malware, který se používá ke špionážím. Terčem jsou vládní, bankovní a energetické společnosti. </p><p>Malware používaný k těmto útokům dokáže zaznamenávat stisknuté klávesy, krást přihlašovací údaje, včetně dat uložených v prohlížečích Chrome a Firefox, vytvářet snímky obrazovky, kopírovat data ze schránky, plnit příkazy útočníků a odesílat hackerům informace o souborech na disku, včetně názvů a velikostí, aby bylo možné krást konkrétní soubory. </p><p>„Výzkumný tým Check Point Research má prozatím informace o aktivitách těchto tří skupin v několika zemích, ovšem podobné techniky a taktiky se mohou snadno rozšířit i do dalších zemí. Organizace po celém světě by se měly mít na pozoru,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. </p><center><table class="ms-rteTable-default" cellspacing="0"><tbody><tr><td bgcolor="#6773b6"> <strong style="color:#ffffff;">APT skupina</strong></td><td bgcolor="#6773b6"> <strong style="color:#ffffff;">Původ skupiny</strong></td><td bgcolor="#6773b6"> <strong style="color:#ffffff;">Cíl</strong></td><td bgcolor="#6773b6"> <strong style="color:#ffffff;">Napadené státy</strong></td></tr><tr><td class="ms-rteTable-default"> <b>El Machete</b></td><td class="ms-rteTable-default">Španělsky mluvící země</td><td class="ms-rteTable-default">Finanční a vládní sektor</td><td class="ms-rteTable-default">Nikaragua, Venezuela</td></tr><tr><td class="ms-rteTable-default"> <b>Lyceum</b></td><td class="ms-rteTable-default">Íránská islámská republika</td><td class="ms-rteTable-default">Energetický sektor</td><td class="ms-rteTable-default">Izrael, Saúdská Arábie</td></tr><tr><td class="ms-rteTable-default"> <b>SideWinder</b></td><td class="ms-rteTable-default">Pravděpodobně Indie</td><td class="ms-rteTable-default">Neznámo</td><td class="ms-rteTable-default">Pákistán</td></tr></tbody></table></center> ​ <h2>El Machete </h2><p>Skupina rozesílá spear-phishingové e-maily finančním organizacím v Nikaragui s dokumentem „Temné plány neonacistického režimu na Ukrajině“ ve formátu Word. Dokument obsahuje článek napsaný a zveřejněný ruským velvyslancem v Nikaragui, který se zaměřuje na rusko-ukrajinský konflikt z pohledu Kremlu. Jakmile oběť soubor otevře, spustí se škodlivé makro a do počítače je stažen malware. </p><h2>Lyceum </h2><p>V polovině března obdržela izraelská energetická společnost e-mail z adresy inews-reporter@protonmail[.]com s předmětem „Ruské válečné zločiny na Ukrajině“. E-mail obsahoval několik obrázků převzatých z veřejných zdrojů a obsahoval odkaz na článek umístěný na doméně news-spot[.]live. Odkaz v e-mailu vedl na dokument, který obsahoval článek „Výzkumníci shromažďují důkazy o možných ruských válečných zločinech na Ukrajině“, který zveřejnil deník The Guardian. Na stejné doméně je umístěno několik dalších škodlivých dokumentů souvisejících s Ruskem i rusko-ukrajinskou válkou, například kopie článku The Atlantic Council z roku 2020 o ruských jaderných zbraních a nabídce práce agenta na Ukrajině. E-mail obsahuje odkaz na škodlivý dokument, který po uzavření spustí makro. Do počítače je uložen exe. soubor a při dalším restartu počítače je spuštěn malware. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/lyceum-01.png" data-themekey="#" alt="" style="margin:5px;width:310px;" /> </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/lyceum-02.png" data-themekey="#" alt="" style="margin:5px;width:410px;" /> <br> <em>APT skupina Lyceum používá ve svých nebezpečných e-mailech a dokumentech válečná témata</em><br></p><h2>SideWinder </h2><p>SideWinder používá škodlivý dokument s názvem „Specializovaná přednáška o dopadu ruského konfliktu na Ukrajině na Pákistán“ a dle obsahu jsou hlavním cílem pákistánské subjekty. Jakmile oběť otevře škodlivý dokument, načte se externí šablona ze serveru ovládaném útočníky. Soubor ve formátu RTF zneužívá zranitelnost CVE-2017-11882 a počítač infikuje malwarem. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/sidewinder-01.png" data-themekey="#" alt="" style="margin:5px;width:270px;" /> <br><em>Škodlivý dokument skupiny SideWinder</em> <br></p><p>„APT skupiny používají k útokům stále častěji válečná témata. Kampaně jsou cílené, velmi rafinované a zaměřují se na vládní, finanční a energetický sektor. Malware umožňuje krást citlivá data, sledovat stisknuté klávesy nebo vytvářet snímky obrazovky. Hlavní motivací tak je dle všeho kybernetická špionáž. Důrazně doporučujeme vládám, bankám a energetickým společnostem, ale i všem ostatním organizacím, aby vzdělávaly své zaměstnance a používaly pokročilá bezpečnostní řešení,“ dodává Daniel Šafář. </p><p>Výzkumný tým Check Point Research zároveň upozorňuje na další nárůst kyberútoků po celém světě. Od začátku rusko-ukrajinské války došlo celosvětově k nárůstu kyberútoků o 16 %. Počet útoků na české organizace vzrostl od začátku války dokonce o 30 % a jedna česká organizace čelí v průměru 1865 kyberútokům za týden. Jedná se o velmi alarmující číslo, protože jedna evropská organizace čelí v průměru „jen“ 1101 kyberútokům za týden, což je o 18 % více než před začátkem rusko-ukrajinské války. </p><p> <br> </p> <hr /> <h3>Více informací najdete v analýze výzkumného týmu Check Point Research: </h3><p> <a href="https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/" target="_blank">https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/​</a> </p> <br>0
Velká kryptoměnová loupežhttps://www.antivirus.cz/Blog/Stranky/velka-kryptomenova-loupez.aspxVelká kryptoměnová loupež<p>​​​ Blockchain projekt Ronin uvedl, že z jeho systému ukradli hackeři kryptoměny v hodnotě téměř 615 milionů dolarů. Jedná se tak o jednu z největších kryptoměnových loupeží historie. Více informaci najdete například zde:<br> <a href="https://www.reuters.com/technology/blockchain-company-ronin-hit-by-615-million-crypto-heist-2022-03-29/" target="_blank">https://www.reuters.com/technology/blockchain-company-ronin-hit-by-615-million-crypto-heist-2022-03-29/​</a> </p><h3><br>​Komentář společnosti Check Point Software Technologies: </h3><p>"Vzhledem k přirozené anonymitě je blockchainová technologie atraktivním cílem pro kyberzločince. Riziko je relativně nízké, naopak zisky vysoké. Proto sledujeme, jak hackeři násobí svou snahu a zkouší zneužívat zranitelnosti v blockchainovém ekosystému. </p><p>Blockchain je ze své podstaty decentralizovaná technologie, proto je mimořádně obtížné zneužít základní funkce. Organizace ale nemohou polevit v ostražitosti. Tak velká síť jako Ronin, kterou využíval Sky Mavis, vývojář hry Axe Infinity, měla pouze devět validátorů, přičemž obvyklý je výrazně vyšší počet. Kompromitací pouhých pěti z nich se útočníkům podařilo provést jednu z největších kryptoměnových krádeží historie. </p><p>Validační uzly byly hacknuty ve středu 23. března, ale společnost Sky Mavis uvedla, že narušení zjistila až téměř o týden později, v úterý 29. března. Útočníci použili hacknuté soukromé klíče a částku přesahující 600 milionů dolarů převedli ve dvou transakcích," říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.<br></p>0
Kybernetické útoky z čínských IP adres na země NATO vzrostly o 116 %, na ČR dokonce o 226 %https://www.antivirus.cz/Blog/Stranky/kyberneticke-utoky-z-cinskych-ip-adres-na-zeme-nato-vzrostly-o-116-procent-na-cr-dokonce-o-226-procent.aspxKybernetické útoky z čínských IP adres na země NATO vzrostly o 116 %, na ČR dokonce o 226 %<p>Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies zaznamenal výrazný nárůst kyberútoků na země NATO pocházející z čínských IP adres. Check Point analyzoval trendy před a po ruské invazi na Ukrajinu a zjistil, že kybernetické útoky z čínských IP adres vzrostly o 116 % na země NATO a o 72 % celosvětově. Zatím se nepodařilo tyto útoky spojit s žádným čínským subjektem ani hackerskou skupinou. Zdá se, že hackeři, a to nejenom čínští, používají pro své útoky stále častěji čínské IP adresy. </p><ul><li>V minulém týdnu byl průměrný celosvětový týdenní počet útoků pocházejících z čínských IP adres na jednu organizaci o 72 % vyšší než před invazí a o 60 % vyšší než v prvních třech týdnech konfliktu. </li><li>V minulém týdnu byl týdenní průměr kybernetických útoků pocházejících z čínských IP adres na podnikové sítě v zemích NATO o 116 % vyšší než před invazí a o 86 % vyšší než v prvních třech týdnech konfliktu. </li><li>V minulém týdnu byl týdenní průměr kybernetických útoků pocházejících z čínských IP adres na podnikové sítě v ČR o 226 % vyšší než před invazí a o 133 % vyšší než v prvních třech týdnech konfliktu. </li><li>Nárůst těchto útoků je výrazně vyšší než je celosvětový růst útoků. </li></ul> <br> <p>„Rusko-Ukrajinská válka je stále intenzivnější, v této souvislosti pozorujeme nárůst kyberútoků pocházejících z čínských IP adres. Zaznamenali jsme jejich výrazný nárůst, je ale důležité upozornit, že útoky nemůžeme připsat výhradně čínským subjektům, protože v oblasti kybernetické bezpečnosti je obtížné bez dalších dat a důkazů určit, kdo je skutečný útočník. Je ovšem zřejmé, že hackeři využívají čínské IP adresy ke kyberútokům po celém světě. Terčem jsou zejména země NATO. Tyto IP adresy pravděpodobně používají hackeři v Číně i v zahraničí, přičemž tento trend může mít řadu důvodů. Například to může naznačovat, kde je nyní snadné nebo levné zřídit a provozovat službu nebo kde je vhodnější skrýt skutečný původ útoku. Nebo to může naznačovat, jak je v daném okamžiku směrován globální kybernetický provoz. Situaci budeme dále analyzovat, v tuto chvíli pouze upozorňujeme na trend, který vidíme,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies.<br><br> </p><h3>Více informací najdete v analýze výzkumného týmu Check Point Research:</h3><p></p><p><a href="https://blog.checkpoint.com/2022/03/21/cyber-attacks-from-chinese-ips-on-nato-countries-surge-by-116/" target="_blank">https://blog.checkpoint.com/2022/03/21/cyber-attacks-from-chinese-ips-on-nato-countries-surge-by-116/​</a> </p>​<br>0
Útok na společnost Okta, v ohrožení jsou tisíce dalších organizacíhttps://www.antivirus.cz/Blog/Stranky/utok-na-spolecnost-okta-v-ohrozeni-jsou-tisice-dalsich-organizaci.aspxÚtok na společnost Okta, v ohrožení jsou tisíce dalších organizací<p><b>​Hackerská skupina Lapsus$ napadla významného poskytovatele ověřovacích služeb a správce identit, společnost Okta. Vzhledem k tomu, že služby této organizace využívají tisíce společností, mohl by mít útok lavinový efekt a katastrofální následky. Více informací najdete například zde:</b><br> <a href="https://www.reuters.com/technology/authentication-services-firm-okta-says-it-is-investigating-report-breach-2022-03-22/" target="_blank">https://www.reuters.com/technology/authentication-services-firm-okta-says-it-is-investigating-report-breach-2022-03-22/​</a> </p><h3><br>Komentář společnosti Check Point Software Technologies: </h3><p>"Lapsus$ je jihoamerická hackerská skupina, která má na svědomí řadu velmi závažných kyberútoků na významné cíle. Kybergang Lapsus$ je známý vydíráním a vyhrožováním, že zveřejnění citlivé informace, pokud oběti nesplní stanovené požadavky. Skupina se chlubila například napadením společností Nvidia, Samsung, Ubisoft a dalších. Jak se jí podařilo do těchto společností proniknout, nebylo nikdy zcela jasné. Třeba nám předchozí případy pomůže objasnit vyšetřování nejnovějšího útoku. Služby Okta používají k zabezpečení a správě svých identit tisíce společností. Pokud se kyberzločincům podařilo získat soukromé klíče, mohou mít přístup k podnikovým sítím a aplikacím. Hack společnosti Okta by tak mohl mít katastrofální následky. Pokud jste zákazníky společnosti Okta, měli byste být mimořádně obezřetní a dodržovat doporučené bezpečnostní postupy. Bližší informace o útoku a jeho pozadí by měly přinést nejbližší dny," říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p>0
Hrozby pro Android: únor 2022https://www.antivirus.cz/Blog/Stranky/hrozby-pro-android-unor-2022.aspxHrozby pro Android: únor 2022<h3><span style="color:#6773b6;">Bankovní malware Cerberus byl v únoru objeven téměř v 90 procentech případů. Nadále se šíří hlavně přes nelegitimní verzi aplikace Google Photos.</span> </h3> <br> <p><b>Bankovní malware Cerberus, který je v Česku přítomný dlouhodobě a je rizikem především pro internetové bankovnictví, byl v únoru detekován v převážné většině všech případů. České prostředí tak bylo v únoru z pohledu kybernetických hrozeb pro platformu Android nebývale konzistentní. Útočníci nadále využívají lednovou strategii a malware šíří prostřednictvím nelegitimní verze aplikace Google Photos. Vysoká aktivita bankovního malwaru Cerberus je podle bezpečnostních analytiků z ESETu rozhodně nestandardní, současný stav ale dle nich nemá žádnou souvislost s děním na Ukrajin</b>ě. </p><p>Bezpečnostní experti v únoru sice nezaznamenali na území Česka žádný nový druh malwaru, bezprecedentní aktivita bankovního trojského koně Cerberus, který v únoru dominoval téměř v 90 procentech všech detekovaných případů, na sebe přesto upoutala pozornost. Experti se shodují, že se rozhodně jedná o nestandardní stav, a to i s ohledem na skutečnost, že malware Cerberus je v Česku přítomný již dlouhodobě. </p><p>„Únorové zvýšení aktivity malwaru Cerberus bylo nebývale silné. Nejčastěji jsme ho detekovali v dropperu Agent.GUB, který svůj výskyt zvýšil o 171 procent. V rámci českého prostředí je to rozhodně nebývalá aktivita a ostatní malware byl v únoru detekován pouze v jednotkách procent,“ shrnuje únorový vývoj hrozeb pro platformu Android v Česku Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. </p><p>Trojici nejčastěji detekovaných škodlivých kódů pak v únoru doplnil také malware Agent.IEG a Andreed. V případě dropperu Agent.IEG zaznamenali bezpečnostní analytici pokles o 47 procent, což je největší propad od doby, kdy tento škodlivý kód začal v Česku útočit. </p><h2>Malware se nadále šíří hlavně přes falešnou galerii </h2><p>Dropper, jehož prostřednictvím se malware na platformě Android šíří, je také druh škodlivého kódu, který jako obálka doručí skrytě další malware do zařízení. S ohledem na tuto funkci na sebe droppery berou různé podoby populárních nebo známých aplikací a velmi často a rychle se mění, čímž mohou nepozorovaně projít i přes méně kvalitní antivirový software. </p><p>„Bankovní malware Cerberus se i v únoru šířil prostřednictvím nelegitimní verze aplikace Google Photos. Stejné chování jsme u něj pozorovali již v lednu. I to lze pokládat za odklon od běžných strategií útočníků, kdy droppery, které malware šíří, vydávají každou chvíli za jinou aplikaci a službu. V únoru tak rozhodně vsadili spíše na kvantitu a sílu útočných kampaní,“ vysvětluje Jirkal. „Dropper Agent.IEG měl také v únoru nejčastěji podobu aplikace pro přehrávání hudby MX Player, kterou útočníci opět zneužili již v lednu. Trojský kůň Andreed se zase objevoval nejčastěji v mobilních hrách,“ dodává Jirkal. </p><h2>Bezpečnostní minimum: Aplikace z oficiálních zdrojů </h2><p>Bankovní malware Cerberus je rizikem především pro internetové bankovnictví, ne ale pro samotnou oficiální bankovní aplikaci. Tu by si měli uživatelé stáhnout na oficiálních stránkách své banky nebo v oficiálním obchodě Google Play. Bezpečnost pak posílí také tím, že budou všechny bankovní operace ověřovat prostřednictvím biometrických údajů (otiskem prstu či rozpoznáním obličeje), které jsou v současnosti považovány za nejvíce bezpečnou metodu ověření. </p><p>„V případě bankovního malwaru uživatelům doporučujeme dodržovat hlavně tyto tři základní pravidla – stahovat aplikace z oficiálního obchodu Google Play, zařízení i veškeré aplikace v něm pravidelně aktualizovat na nejvyšší dostupné verze a nainstalovat si do zařízení kvalitní bezpečnostní program, který dokáže riziko v podobě bankovního malwaru včas odhalit,“ dodává Jirkal z ESETu. </p><h2>Nejčastější kybernetické hrozby v České republice pro platformu Android za únor 2022: </h2><p>1. Android/Spy.Cerberus (89,40 %)<br> 2. Android/TrojanDropper.Agent.IEG trojan (1,34 %)<br> 3. Android/Andreed trojan (0,89 %)<br> 4. Android/GriftHorse trojan (0,77 %)<br> 5. Android/TrojanDropper.Agent.GOP trojan (0,44 %)<br> 6. Android/Spy.Agent.BYH trojan (0,42 %)<br> 7. Android/TrojanDropper.Agent.DIL trojan (0,38 %)<br> 8. Android/TrojanDropper.Agent.ITV trojan (0,31 %)<br> 9. Android/TrojanDropper.Agent.GCS trojan (0,31 %)<br> 10. Android/TrojanDropper.Agent.GLC trojan (0,27 %)<br> </p><p>​<br></p>0
Ruská ransomwarová skupina Conti napadá kritickou infrastrukturu i zdravotnictvíhttps://www.antivirus.cz/Blog/Stranky/ruska-ransomwarova-skupina-conti-napada-kritickou-infrastrukturu-i-zdravotnictvi.aspxRuská ransomwarová skupina Conti napadá kritickou infrastrukturu i zdravotnictví<ul><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">Skupina Conti má řadu poboček a kanceláří, hlavní centrála je v Ruska.</span></strong></li><li> <strong style="color:#6773b6;"><span style="color:#6773b6;">Personální tým Conti nabízí prémie, vyhlašuje zaměstnance měsíce a také trestá pokutami.</span></strong></li></ul> <br> <p>Check Point Research zveřejnil detaily o struktuře a fungování známé ruské ransomwarové skupiny Conti. Conti funguje jako klasická high-tech společnost s jasnou řídící, finanční i personální strukturou. Conti nabírá zaměstnance z legálních i nelegálních zdrojů, někteří dokonce netuší, že jsou součástí kyberzločineckých operací. Skupina také zvažuje plány na spuštění krypto burzy a darknetové sociální sítě. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2022/conti.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /> <br> <br> </p><p>Conti je RaaS (ransomware-as-a-service) skupina, která nabízí pronajmutí své infrastruktury dalším útočníkům. Hlavní sídlo má v Rusku a může mít vazby na ruské zpravodajské služby. Na svědomí má ransomwarové útoky na desítky organizací, včetně kritické infrastruktury a zdravotnictví. V případě ransomwarového útoku dojde k zašifrování dat a ochromení napadené společnosti, za dešifrování je požadováno často velmi vysoké výkupné. Útoky navíc doprovází i další vyděračské techniky, aby se zvýšil tlak na zaplacení výkupného. Útočníci například hrozí zveřejněním ukradených dat nebo poskytnutí citlivých informací médiím. </p><h3>1. Conti funguje jako klasická technologická společnost, má personální oddělení, procesy na nábory zaměstnanců, kancelářské prostory, platy i měsíční bonusy. </h3><ul><li>Conti má jasně definovanou strukturu a hierarchii, včetně vedoucí pracovníků a specializovaných skupin (HR, programátoři, testeři, šifranti, admini, reverzní inženýři, ofenzivní tým, OSINT specialisté a pracovníci pro vyjednávání s napadenými organizacemi). Identifikováno bylo i několik klíčových osob zodpovědných za vedení skupiny. </li><li>Práce v ruské kanceláři </li><ul><ul><li>Ransomwarová skupina Conti má několik kanceláří. Během roku 2020 využívali kanceláře především testeři, ofenzivní týmy a vyjednavači. Minimálně 2 kanceláře jsou určené pro operátory, kteří komunikují s napadenými společnostmi. </li><li>V srpnu 2020 byla otevřena další kancelář pro systémové administrátory a programátory, kteří vyvíjí technologie pro infikování obětí. </li></ul></ul><li>Výplaty, prémie, pokuty i zaměstnanci měsíce </li><ul><ul><li>Členové vyjednávacího týmu (včetně OSINT specialistů) jsou placeni z provizí vypočítaných ze zaplaceného výkupného. Obvykle se jedná 0,5 % až 1 % ze zaplacené částky, která se může pohybovat v milionech a někdy i desítkách milionů dolarů. Kodéři a někteří manažeři dostávají plat v Bitcoinech a platba probíhá jednou nebo dvakrát měsíčně. </li><li>Zaměstnanci jsou ale pokutováni například za nedostatečné výkony. </li><li>​Pokuty jsou většinou používány v oddělení programátorů, ale k trestům dochází i v jiných odděleních, jako IT nebo DevOps, kde osoba odpovědná za ukládání peněz dostala pokutu 100 dolarů za zmeškanou platbu. </li></ul></ul></ul> <br> <h3>2. Legální i nelegální nábory zaměstnanců</h3><ul><li>Personální oddělení Conti obvykle k náboru nových zaměstnanců používá ruské headhuntingové služby, jako je headhunter.ru. V menší míře potom další stránky, jako je superjobs.ru. Přísně zakázáno je naopak hledat tímto způsobem vývojáře. </li><li>Pro nábor vývojářů Conti využívá životopisy z headhunter.ru a oslovuje potenciální kandidáty napřímo e-mailem. Headhunter.ru takovou službu samozřejmě nenabízí a Conti si seznamy krade, což je ve světě kyberkriminality zřejmě běžná praxe. </li></ul> <br> <h3>3. Někteří zaměstnanci neví, že jsou součástí kyberzločinecké organizace</h3><ul><li>Při jednom online pohovoru řekl manažer potenciálnímu zájemci o práci programátora, že vše je anonymní a hlavním cílem je vytváření softwaru pro pentestery. </li><li>V jiném případě si programátor myslel, že pracuje na systému pro analýzu reklam, ale ve skutečnosti pracoval na malwaru Trickbot, který patří mezi nejrozšířenější a nejnebezpečnější kybernetické hrozby. </li></ul> <br> <h3>4. Plány do budoucna, kryptoměnová burza a darknetová sociální síť</h3><ul><li>Conti aktivně přemýšlí nad budoucností a jedním z nápadů je vytvoření krypto burzy. </li><li>Dalším projektem je „darknetová sociální síť“. Jednalo by se o komerční projekt a už v červenci 2021 vytvořili designeři několik návrhů. </li></ul> <br> <p>„Poprvé jsou k dispozici detailní informace o fungování tak významné ransomwarové skupiny. Conti se chová jako high-tech společnost se stovkami zaměstnanců a tradiční strukturou a hierarchií. Je zarážející, že ne všichni zaměstnanci si plně uvědomují, že jsou součástí kyberzločinecké skupiny. Někteří si například myslí, že pracují pro reklamní společnost. Řada zaměstnanců, kteří se následně dozví pravdu, přesto zůstane. Ukazuje se, jak dobře skupina funguje a dokáže udržet lidi, i když zjistí, že jsou na straně zločinu,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h3>Více informací, včetně struktury, najdete v analýze výzkumného týmu Check Point Research: </h3><p><a href="https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/" target="_blank">https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/​</a> </p>​<br>0
Kyberzločin ve stínu války sílí, počet kyberútoků je na historickém maximuhttps://www.antivirus.cz/Blog/Stranky/kyberzlocin-ve-stinu-valky-sili-pocet-kyberutoku-je-na-historickem-maximu.aspxKyberzločin ve stínu války sílí, počet kyberútoků je na historickém maximu<ul><li><strong>Od začátku války vzrostl počet útoků na ukrajinské organizace o 20 %. </strong></li><li><strong>Počet útoků na české organizace vzrostl v prvním březnovém týdnu o 31 %.</strong> </li></ul> <br><p>Check Point Research varuje před výrazným nárůstem kyberútoků. Během prvních tří dnů války se počet kybernetických útoků na ukrajinskou vládu a vojenský sektor zvýšil o neuvěřitelných 196 %. V posledních dnech sice došlo k poklesu, ale hackeři se snaží využít situace, kdy se pozornost celého světa upíná k vojenskému konfliktu, a zaměřili se na jiné cíle. Počet kyberútoků dosáhl celosvětově dosavadního maxima a rekordní počty vidíme i v České republice. </p><p>Počet kybernetických útoků na české organizace se dlouhodobě drží nad celosvětovým průměrem. Od začátku roku sledujeme neustálý nárůst útoků, další výrazný skok přinesl první březnový týden. Z dat kyberbezpečnostní společnosti Check Point Software Technologies vyplývá, že zatímco na začátku roku čelila každá česká organizace v průměru zhruba 1000 kyberútokům týdně, na začátku března dosáhl průměrný týdenní počet útoků na jednu českou společnost hranice 1777 útoků, což je dosavadní historické maximum. Podle dostupných informací můžeme ale očekávat, že se situace v dalších měsících bude i dále zhoršovat. </p><ul><li>Celosvětově byl průměrný týdenní počet útoků na jednu organizaci v minulém týdnu 1266, což je o 14 % více než před začátkem konfliktu. </li><li>Průměrný týdenní počet útoků na jednu organizaci na Ukrajině byl v minulém týdnu 1466, což je o 20 % více než před začátkem války. Počet aktivních sítí klesl na Ukrajině v důsledku války o 27 %. </li><li>Průměrný týdenní počet útoků na jednu ruskou organizaci byl 1274 a jedná se o minimální změny (nárůst o 1 % oproti začátku války). </li></ul><p><br>Až na Afriku vzrostl počet kyberútoků ve všech regionech oproti začátku války: Evropa (+14 %), Severní Amerika (+17 %), APAC (+11 %), Latinská Amerika (+17 %) a Afrika (-2 %). I přes pokles cílí stále nejvíce útoků na společnosti v Africe (1987 útoků týdně na jednu organizaci). Naopak nejméně útokům čelí severoamerické (991 útoků týdně) a evropské (1068 útoků týdně) organizace. </p><p>Check Point zaznamenal v prvních dnech konfliktu výrazný nárůst kyberútoků na ukrajinský vládní a vojenský sektor. V uplynulém týdnu sice došlo k poklesu těchto útoků o 59 %, na druhou stranu v celosvětovém měřítku vzrostl počet kyberútoků na vládní a vojenské organizace ve srovnání s obdobím před začátkem války o 21 %. </p><p>„Zdá se, že hackeři se na začátku války soustředili na vojenský konflikt, ale po dvou týdnech se rozkoukali a vrátili se k ‚normální‘ činnosti. Nadále vidíme řadu kyberútoků na vládní a vojenské cíle a také různé hrozby a podvody, které se maskují za válečná témata a snaží se zneužít zájmu lidí o válku a jejich ochotu pomoci,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies. </p><h3>Bezpečnostní tipy</h3><ul><li>Zaměřte se na prevenci, nikoli jenom na detekci hrozeb </li><li>Zabezpečte vše, protože kyberzločinci jakékoli slabé místo zneužijí </li><li>Pravidelně aktualizujte a záplatujte </li><li>Segmentujte své sítě </li><li>Vzdělávejte zaměstnance </li><li>Implementujte pokročilé bezpečnostní technologie </li></ul><br>0


No More Ransom 

AEC Endpoint Detection and Response

Microsoft Exchange

Threat Cloud Map

AEC Penetrační testy

Coalition Against Stalkerware 

Ransomware Attack Map