Antivirus Blog
blog o bezpečnosti

 

 

Cestovní gigant napadený hackery obratem zaplatil. Dostal slevuhttps://www.antivirus.cz/Blog/Stranky/cestovni-gigant-napadeny-hackery-obratem-zaplatil-dostal-slevu.aspxCestovní gigant napadený hackery obratem zaplatil. Dostal slevu<p><strong>Po nedávném ransomwarovém útoku na společnost Garmin, o kterém jsme <a href="/Blog/Stranky/aec-komentar-hackersky-utok-zasahl-vyrobce-navigacnich-pristroju-garmin.aspx">psali</a>, je tu další bezpečnostní incident spojený s firmou CWT, americkou firmou pohybující se v oblasti cestovního ruchu. Ta podle všech informací byla napadena ransomwarem Ragnar Locker. Útočníci požadovali výkupné ve výši 10 milionů USD.  </strong></p><p>Na tomto útoku je zajímavé především to, že se nejednalo pouze o zašifrování dat, která by mohla být obnovena ze zálohy, ale také o odcizení údajně až 2 TB dat včetně finančních zpráv, osobních informacích o zaměstnancích nebo informacích o klientech. </p><p>Společnost CWT se pravděpodobně nakonec rozhodla výkupné zaplatit, což dokazuje příchozí platba 4,5 milionu USD na bitcoinovou peněženku, která byla zmíněna v instrukcích zanechaných na napadených systémech. </p><p>A z jakého důvodu se jednalo o částku 4,5 milionu a ne původně zmiňovaných 10 milionů? Podle dostupných informací došlo k vyjednávání mezi společností CWT a útočníky. Ze zveřejněné komunikace podle agentury Reuters je vidět, že díky rychlému sjednání „obchodu“ na straně společnosti CWT útočníci poskytli slevu a nepožadovali původní částku. </p><p>Ransomware Ragnar Locker je zajímavý tím, jakým způsobem provádí šifrování souborů na napadeném systému. Nejdříve nalezne všechny lokálně připojené disky, následně si sám nainstaluje Oracle VirtualBox, v něm vytvoří virtuální systém s Windows XP a do něj namapuje lokální disky, které si našel v první části útoku. Šifrování pak probíhá právě z virtuálního systému, kdy šifruje data na namapovaných discích. </p><p>Tento ransomware byl již dříve použit při jiných útocích, například na portugalskou energetickou společnost Energias de Portugal. V tomto případě útočníci tvrdili, že odcizili 10 TB citlivých dat a požadovali výkupné okolo 11 milionů dolarů. </p><p>Trendem se tedy stává nejen šifrování dat, ale stále častěji vidíme také odcizení citlivých dat, jejichž zveřejnění může mít jak finanční dopad, tak neblahý vliv na pověst společnosti. I z toho důvodu firmy často přistoupí k zaplacení výkupného. </p><h3>Použité zdroje:</h3><p><a href="https://www.reuters.com/article/us-cyber-cwt-ransom/payment-sent-travel-giant-cwt-pays-4-5-million-ransom-to-cyber-criminals-idUSKCN24W25W" target="_blank">https://www.reuters.com/article/us-cyber-cwt-ransom/payment-sent-travel-giant-cwt-pays-4-5-million-ransom-to-cyber-criminals-idUSKCN24W25W</a><br><a href="https://www.theregister.com/2020/07/31/carlson_wagonlit_travel_ragnarlocker_ransom_paid/" target="_blank">https://www.theregister.com/2020/07/31/carlson_wagonlit_travel_ragnarlocker_ransom_paid/</a><br><a href="https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/" target="_blank">https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/</a><br></p>1
Populární online seznamka OkCupid byla plná zranitelností, hackeři mohli krást data i vydávat se za uživatelehttps://www.antivirus.cz/Blog/Stranky/popularni-online-seznamka-okcupid-byla-plna-zranitelnosti-hackeri-mohli-krast-data-i-vydavat-se-za-uzivatele.aspxPopulární online seznamka OkCupid byla plná zranitelností, hackeři mohli krást data i vydávat se za uživatele<p> <strong>Výzkumný tým kyberbezpečnostní společnosti Check Point upozornil, že hackeři mohli získat přístup k citlivým uživatelským datům - profilu, soukromým zprávám, obrázkům a e-mailovým adresám - na populární online seznamce OkCupid. </strong></p><p>Check Point Research odhalil několik zranitelností v mobilní aplikaci a webu jedné z nejpopulárnějších online seznamek OkCupid. V případě zneužití by hackeři měli přístup k citlivým datům uživatelů OkCupid a mohli by manipulovat profily, krást informace nebo odesílat zprávy jménem uživatelů. Cenná data by kyberzločinci mohli prodávat na hackerských fórech nebo je využít k dalším útokům.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="OkCupid" src="/Blog/PublishingImages/Clanky/2020/OkCupid.jpg" style="margin:5px;width:650px;" /> </p><p>OkCupid je jednou z největších bezplatných online seznamek s více než 50 miliony registrovaných uživatelů ze 110 zemí. V roce 2019 se OkCupid pyšnil 91 miliony propojení ročně prostřednictvím webu a průměrem 50 000 offline schůzek každý týden. Během koronavirové pandemie zaznamenal OkCupid dokonce 20% nárůst konverzací. Ale detailní osobní informace jsou také atraktivním cílem pro hackery a žhavým zbožím pro cílené útoky nebo prodej dalším hackerům.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="OkCupid" src="/Blog/PublishingImages/Clanky/2020/OkCupid-2.png" style="margin:5px;width:650px;" /> </p><p> Výzkumný tým kyberbezpečnostní společnosti Check Point odhalil, že zranitelnosti v aplikaci a webu OkCupid by mohli hackerům poskytnout přístup k uživatelským profilům, soukromým zprávám, sexuální orientaci, osobním adresám a všem odeslaným odpovědím na profilovací otázky OkCupid. Zranitelnosti by také umožnily hackerům manipulovat profilovými informacemi, posílat zprávy jménem uživatelů nebo se za uživatele vydávat.</p><p><strong>Výzkumný tým popsal případný útok zneužívající zranitelnosti zjednodušeně ve třech krocích:</strong><br>1. Hacker vytvoří škodlivý odkaz, který útok spustí<br>2. Hacker odešle odkaz vytipované oběti nebo ho zveřejní na veřejném fóru, aby nalákal ke kliknutí více uživatelů<br>3. Jakmile uživatel klikne na odkaz, spustí se škodlivý kód, který hackerovi umožní přístup k účtu oběti<br> <br>„OkCupid je jednou z nejpopulárnějších seznamek a náš výzkum upozornil na několik závažných bezpečnostních problémů celkově ve všech seznamovacích aplikacích a webových stránkách. Každý uživatel by se měl ptát, jak dobře jsou zabezpečené jeho citlivé osobní informace a jestli se někdo nemůže jednoduše dostat k soukromým fotografiím, zprávám a dalším osobním věcem. Ukázalo se, že seznamovací aplikace mohou mít k bezpečnosti daleko. Vývojáři i uživatelé seznamovacích aplikací se musí zamyslet, jak zlepšit ochranu soukromí a citlivých dat, protože pro kyberzločince se jedná o velmi lukrativní cíl,” říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.<br> <br>Check Point o zranitelnostech informoval společnost OkCupid, která na serverech provedla potřebné opravy, takže uživatelé nemusí provádět žádnou akci. Po odhalení a opravení zranitelností vydal OkCupid toto prohlášení: „Check Point Research informoval vývojáře OkCupid o zranitelnostech odhalených v tomto výzkumu a zodpovědně jsme přijali odpovídající opatření, aby uživatelé mohli dále bezpečně používat aplikaci OkCupid. Žádný uživatel nebyl těmito potenciálními zranitelnostmi ovlivněn a vše jsme opravili do 48 hodin. Jsme vděční partnerům, jako je Check Point, kteří stejně jako OkCupid kladou na první místo bezpečnost a soukromí uživatelů.“</p><p>Více informací najdete v analýze výzkumného týmu Check Point Research: <br> <a href="https://research.checkpoint.com/2020/hacker-22-seeks-ltr-with-your-data-vulnerabilities-found-on-popular-okcupid-dating-app/" target="_blank">https://research.checkpoint.com/2020/hacker-22-seeks-ltr-with-your-data-vulnerabilities-found-on-popular-okcupid-dating-app/</a><br></p>0
Hackeři zneužívají pro maskování phishingových útoků veřejné cloudyhttps://www.antivirus.cz/Blog/Stranky/hackeri-zneuzivaji-pro-maskovani-phishingovych-utoku-verejne-cloudy.aspxHackeři zneužívají pro maskování phishingových útoků veřejné cloudy<p>​<strong>Kyberbezpečnostní společnost Check Point varuje před novým trendem. Hackeři zneužívají pro maskování phishingových útoků Google Cloud Platform (GCP). Pomocí pokročilých funkcí v oblíbeném cloudovém úložišti mohou hackeři lépe maskovat škodlivé aktivity a oklamat uživatele, který by jinak u podezřelé domény nebo webové stránky bez certifikátu HTTPS zpozorněl. </strong></p><p>Check Point ukazuje, jak se například hackeři snažili zneužít pokročilé funkce GCP k sofistikovanému phishingovému útoku. Hackeři nahráli PDF dokument s odkazem na phishingovou stránku na Disk Google. Phishingová stránka, hostovaná na storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, žádala uživatele, aby se přihlásil pomocí jména a hesla k Office 365 nebo podnikovému e-mailu. Když uživatel vybral jednu z možností, zobrazilo se vyskakovací okno s outlookovou přihlašovací stránkou. Po zadání přihlašovacích údajů se zobrazil skutečný PDF report publikovaný renomovanou poradenskou společností. Žádná z těchto fází v uživateli nevyvolávala podezření na něco nebezpečného, protože phishingová stránka byla hostována ve službě Google Cloud Storage. Zdrojový kód phishingové stránky ovšem ukázal, že většina zdrojů byla načtena z webu prvtsmtp[.]com, který patřil hackerům. Útočníci začali používat Google Cloud Functions pro spuštění kódu v cloudu, aniž by došlo k odhalení jejich vlastní škodlivé domény. Analýza stránky prvtsmtp[.]com ukázala spojení s ukrajinskou IP adresou (31.28.168[.]4). Mnoho dalších domén souvisejících s tímto phishingovým útokem bylo napojeno na stejnou nebo jiné IP adresy ze stejného bloku síťových IP adres.</p><div style="text-align:center;"> </div><p style="text-align:center;"> <em> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/cloud-hacker-o365.png" alt="" style="margin:5px;width:650px;" />Phishingová stránka vyzývá uživatele k přihlášení pomocí jména a hesla k Office 365</em></p><p style="text-align:center;"> <em> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/cloud-hacker-report.png" alt="" style="margin:5px;width:650px;" />PDF report publikovaný renomovanou konzultační společností </em></p><p style="text-align:center;"> <em> <br> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/cloud-hacker-kod.png" alt="" style="margin:5px;width:650px;" />Ukázka škodlivého kódu ve phishingové stránce</em></p><p> </p><p>„Hackeři se snaží zneužít důvěru v cloudová úložiště, protože je takový phishingový útok mnohem těžší identifikovat. Tradiční poučky, jak poznat phishingový útok, jako je napodobování domén nebo webové stránky bez certifikátů, v podobných případech tak úplně nefungují. Uživatelé Google Cloud Platform, týká se to ale i AWS a Azure, by si na tento nový trend měli dávat pozor a preventivně se zabezpečit proti podobným útokům. Pomoci mohou například technologie pro emulaci a extrakci hrozeb, uživatel se pak nemusí bát s hrůzou kliknout na každý dokument,“ říká Pavel Krejčí, Security Engineer ve společnosti Check Point.</p><h2>Jak se chránit?</h2><ul><li>Dávejte si pozor na podezřelé domény, e-maily a soubory od neznámých odesílatelů, zejména pokud nabízí speciální akce a slevy. Například „Exkluzivní lék na koronavirus za 150 dolarů“ obvykle nevěstí nic dobrého. </li><li>Neotvírejte neznámé přílohy a neklikejte na odkazy v e-mailech. </li><li>Dejte si pozor na vzhled domén, pravopisné chyby v e-mailech a na webových stránkách. </li><li>Ujistěte se, že objednáváte zboží z důvěryhodného zdroje. Rozhodně neklikejte na různé propagační odkazy v e-mailech a raději vyhledejte požadovaného prodejce třeba prostřednictvím vyhledávače, jako jsou Google nebo Seznam. Klikejte na odkaz přímo na stránce s výsledky vyhledávání. </li><li>Nepoužívejte stejná hesla pro různé účty a aplikace. </li><li>Používejte <a href="https://www.aec.cz/cz/av">komplexní bezpečnostní řešení</a>, které vás ochrání před známými i neznámými kyberhrozbami.</li></ul><p><br>Více informací najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/" target="_blank">https://blog.checkpoint.com/2020/07/21/how-scammers-are-hiding-their-phishing-trips-in-public-clouds/</a><br></p>0
Severokorejští hackeři používají vyděračský softwarehttps://www.antivirus.cz/Blog/Stranky/severokorejsti-hackeri-pouzivaji-vyderacsky-software.aspxSeverokorejští hackeři používají vyděračský software<p>​<strong>Analýza dvou kybernetických útoků na subjekty v Evropě a Asii z jara tohoto roku ukázala, že hackerská skupina Lazarus vlastní a používá <a href="https://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html" target="_blank">VHD ransomware</a>. Tato nechvalně známá APT skupina ze Severní Koreje se tak podle odborníků z Kaspersky rozhodla k velkému strategickému posunu, kdy je nově jejím cílem zisk financí, což je u státem sponzorovaných hackerů velmi neobvyklé. </strong></p><p>V březnu a dubnu tohoto roku informovala řada kyberbezpečnostních organizací včetně Kaspersky o VHD ransomwaru. Tento škodlivý program je navržený tak, aby od svých obětí pod výhružkami získal peníze. Od jiných ransomwarů se však lišil svojí unikátní metodou sebereplikace. Ta spolu s funkcí kompilace údajů o konkrétní oběti dala odborníkům vodítko ukazující na možné zapojení APT hackerské skupiny. Odborníci z Kaspersky nakonec s největší pravděpodobností označili za autora této hrozby skupinu Lazarus, přičemž své tvrzení opírají o analýzu incidentů proti firmám ve Francii a Asii, v nichž byl tento VHD ransomware použit v kombinaci se známými nástroji této skupiny.</p><p>Mezi březnem a květnem 2020 proběhla dvě samostatná vyšetřování zaměřená na VHD ransomware. První incident, ke kterému došlo v Evropě, neobsahoval mnoho stop po možných pachatelích. Jeho techniky šíření podobné těm, které používají skupiny APT, ale nechávaly vyšetřovací tým v napnutí. Útok navíc neodpovídal obvyklému modu-operandi známých velkých kyberzločineckých skupin. Podezřelá byla také skutečnost, že byl k dispozici pouze velmi omezený počet vzorků VHD ransomwaru. Tento fakt ve spojení s mizivým počtem veřejně dostupných informací naznačoval, že se tato ransomwarová rodina nejspíš nebude obchodovat na fórech darknetu, jak by tomu v běžných případech bylo.</p><p>Druhý útok VHD ransomwarem poskytl odborníkům ucelený obrázek o způsobu šíření infekce a umožnil jim propojit tento ransomware se skupinou Lazarus. Útočníci mimo jiné použili backdoor, který je součástí multiplatformové struktury označené MATA, o které před nedávnem detailně informovala společnost Kaspersky. Tuto strukturu pojí se skupinou Lazarus řada kódových a utility podobností.</p><p>Tato zjištění tak dokládají, že za dosavadními kampaněmi s VHD ransomwarem stojí skupina Lazarus. Je to také poprvé, co bylo zjištěno, že se skupina Lazarus uchýlila k cíleným útokům za použití ransomwaru, aby dosáhla finančního zisku.</p><p>„Skupina Lazarus je odedávna zaměřena na krádeže financí, ale od útoků WannaCry jsme u nich žádnou jinou aktivitu s ransomwarem neviděli. I když je zřejmé, že se tato skupina nedokáže vyrovnat účinností jiným hackerským skupinám, které provádí cílené útoky ransomwarem, je skutečnost, že se k tomuto kroku odhodlala, přinejmenším znepokojivá. Globální hrozba ransomwaru je už tak dost vysoká. Musíme se tedy ptát, zda jde o izolované experimenty nebo jestli stojíme před novým trendem. Měly by se soukromé společnosti obávat toho, že se stanou obětí státem sponzorovaných hackerů,“ komentuje Ivan Kwiatkowsky, bezpečnostní odborník z týmu GReAT společnosti Kaspersky.</p><p>Aby se firmy nestaly obětí ransomwaru, měly by se podle odborníků řídit následujícími zásadami:</p><ul><li><a href="https://www.aec.cz/cz/novinky/Stranky/otestujte-odolnost-vasi-firmy-proti-utoku-ransomwarem.aspx">Minimalizujte šanci ransomwaru</a> dostat se do vašich systémů skrz phishing a neopatrnost zaměstnanců – poskytněte jim školení v oblasti kybernetické bezpečnosti. K tomu vám pomohou specializované školicí kurzy platformy Kaspersky Automated Security Awareness Platform. </li><li>Zajistěte včasnou aktualizaci všech softwarů, aplikací a systémů. Používejte <a href="https://www.aec.cz/cz/av">bezpečnostní řešení</a>, které má funkci <a href="https://www.aec.cz/cz/vms">vulnerability and patch management</a>, a které vám pomůže identifikovat dosud neopravené zranitelnosti v síti. </li><li>Proveďte <a href="https://www.aec.cz/cz/audit">audit kybernetické bezpečnosti</a> svých sítí a opravte případná slabá místa. </li><li>Na všech koncových zařízeních a serverech používejte správné bezpečnostní řešení. Kombinujte zabezpečení koncových bodů s funkcemi<a href="https://www.aec.cz/cz/sandbox"> sandboxu</a> a <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/Endpoint-Detection-and-Response.aspx">EDR</a>, které odhalí i doposud neznámé hrozby včetně ransomwaru. </li><li>Zajistěte, že tým vašich bezpečnostních odborníků má neustálý přístup k nejnovějším informacím o kyberhrozbách, technikách a nástrojích kyberzločinců. </li><li>Ransomware je trestný čin. Pokud se stanete jeho obětí, nikdy neplaťte výkupné. Místo toho nahlaste incident na policii a zkuste vyhledat dešifrovací klíč na internetu – pomoc můžete najít například na stránce: <a href="https://www.nomoreransom.org/en/index.html" target="_blank">https://www.nomoreransom.org/en/index.html</a></li></ul><p><br>Více informací se o VHD ransomwaru dozvíte na blogu <a href="https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/">Securelist</a>.<br></p>0
Check Point a Zoom odhalily problém umožňující zneužití zkrácených odkazůhttps://www.antivirus.cz/Blog/Stranky/check-point-a-zoom-odhalily-problem-umoznujici-zneuziti-zkracenych-odkazu.aspxCheck Point a Zoom odhalily problém umožňující zneužití zkrácených odkazů<h3>Check Point a Zoom odhalily problém ve funkci pro zkracování URL adres, kterou mohli hackeři zneužít k manipulaci s videomeetingy a k phishingovým útokům. </h3><p> <br>Check Point Research pomohl vyřešit potenciální bezpečnostní problém s funkcí „<a href="https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-Requests" target="_blank">Vanity URL</a>“ pro zkracování odkazů pro videokonference Zoom. Hackeři by mohli posílat zdánlivě neškodně vypadající pozvánky na videomeetingy Zoom, které by ovšem obsahovaly malware a umožňovaly tajně krást data nebo přihlašovací údaje. Check Point spolupracoval se společností Zoom <a href="/Blog/Stranky/check-point-objevil-zranitelnost-v-popularni-videokonferencni-platforme-zoom.aspx">již v lednu</a> na vyřešení jiné zranitelnosti, která by mohla umožnit hackerům připojit se bez pozvání k videomeetingům.<br> <br>Zoom zažil během koronavirové pandemie obrovský vzestup. V prosinci 2019 byl denní počet účastníků Zoom meetingů okolo 10 milionů, v dubnu 2020 už to bylo více než 300 milionů. Kyberzločinci se snaží této popularity Zoomu a dalších videokonferencí zneužít k phishingovým útokům. Check Point také upozorňuje na <a href="/Blog/Stranky/kyberzlocinci-se-snazi-v-dobe-pandemie-zneuzivat-rostouci-oblibu-komunikacnich-platforem.aspx">významný nárůst registrovaných domén</a> a podvodných programů parazitujících na značce Zoom.<br> <br>Bezpečnostní problém Vanity URL odhalil výzkumný tým Check Point Research v návaznosti na předchozí lednovou spolupráci. Nová bezpečnostní slabina by hackerům mohla umožnit manipulovat s Vanity URL (například https://yourcompany.zoom.us) dvěma způsoby:</p><ul><li> <strong>Útoky prostřednictvím přímých odkazů:</strong> Při vytváření videomeetingů by hackeři mohli změnit URL adresu pozvánky, aby obsahovala registrovanou subdoménu podle jejich výběru. Jinými slovy, pokud byl původní odkaz https://zoom.us/j/##########, útočník by jej mohl změnit na https://.zoom.us/j/##########. Bez odpovídajících znalostí a školení v oblasti kybernetické bezpečnosti nemusí uživatel, který obdrží takovou pozvánku, poznat, zda se jedná o pravou nebo podvodnou pozvánku. <br></li><li> <strong>Útoky na specializovaná webová rozhraní Zoom:</strong> Některé organizace mají pro videokonference své vlastní webové rozhraní Zoom. Hackeři by mohli na taková rozhraní cílit a pokusit se uživatele přesměrovat, aby zadali ID meetingu do škodlivé Vanity URL, nikoli do originálního webového rozhraní Zoom. Stejně jako u útoků na přímé odkazy, nemusí oběť těchto útoků bez odpovídajícího školení a znalostí rozpoznat škodlivou URL adresu a může se jednoduše stát obětí útoku.</li></ul><p> <br>Pomocí obou metod by se hackeři mohli vydávat za zaměstnance vytipované organizace a krást přihlašovací údaje a další citlivé informace.</p><p>„Protože se Zoom stal jedním z předních světových komunikačních kanálů pro organizace, vlády i uživatele, je potřeba zabránit kyberzločincům v jeho zneužití. Ve spolupráci s bezpečnostním týmem společnosti Zoom jsme potenciální problém vyřešili, takže uživatelé i organizace mohou teď službu bezpečně využívat,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.</p><p>Check Point a Zoom spolupracovaly na odstranění problémů a Zoom zavedl i další bezpečnostní opatření na ochranu uživatelů.<br> <br>Více informací najdete v <a href="https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/" target="_blank">analýze</a> výzkumného týmu Check Point Research.<br></p><h3>Video k nové zranitelnosti:</h3><center><iframe width="560" height="315" src="https://www.youtube.com/embed/YIrgDkVYLKU" frameborder="0"></iframe></center>0
COVID-19 je zneužíván ke kyberútokům ve jménu zločinu i politikyhttps://www.antivirus.cz/Blog/Stranky/covid-19-je-zneuzivan-ke-kyberutokum-ve-jmenu-zlocinu-i-politiky.aspxCOVID-19 je zneužíván ke kyberútokům ve jménu zločinu i politiky<p> <strong>Nová zpráva kyberbezpečnostní společnosti Check Point ukazuje, že hackeři masivně využívali koronavirus ke kyberútokům na organizace a že došlo i k nárůstu kyberaktivit národních států. </strong></p><p>Check Point zveřejnil zveřejnil zprávu „Cyber Attack Trends: 2020 Mid-Year Report“, podle které zločinecké, politické i státní organizace zneužívaly pandemii COVID-19 a související témata ke kyberútokům na společnosti napříč odvětvími, včetně vládních organizací, průmyslových a zdravotnických zařízení, poskytovatelů služeb, kritické infrastruktury a koncových uživatelů.</p><p>Počet „koronavirových“ phishingových a malwarových útoků dramaticky vzrostl z necelých 5 000 za týden v únoru až na více než 200 000 útoků za týden na konci dubna. V květnu a červnu, kdy země začaly uvolňovat karanténní opatření, zintenzivnili útočníci své aktivity zaměřené na „nekoronavirová“ témata, což vedlo na konci června k 34% nárůstu všech kybernetických útoků ve srovnání s březnem a dubnem.</p><h2>Z reportu také například vyplývá:</h2><ul><li> <strong>Vzestup kyberválek:</strong> V 1. polovině roku 2020 došlo k prudkému nárůstu počtu i rafinovanosti kybernetických útoků na úrovni národních států. Země se snaží získat informace nebo poškodit konkurenční státy. Sledovali jsme celou řadu útoků na zdravotnické a humanitární organizace, jako je WHO, která <a href="https://www.who.int/news-room/detail/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance" target="_blank">oznámila nárůst kyberútoků o 500 %</a>.</li><li> <strong>Hrozba dvojitého vydírání:</strong> Rok 2020 přinesl masivní využití dvojitého vydírání při ransomwarových útocích. Útočníci ještě před šifrováním ukradnou velký objem dat. Oběti, které odmítnou zaplatit výkupné, jsou tak vystavené riziku úniku dat, což na ně vyvíjí další tlak, aby vyhověly požadavkům zločinců. </li><li> <strong>Mobilní exploity:</strong> Kyberzločinci hledali nové cesty, jak útočit na mobilní zařízení, a dále zdokonalovali své techniky, aby oklamali zabezpečení a pronikli se škodlivými aplikacemi do oficiálních obchodů s aplikacemi. Při jednom z <a href="https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/" target="_blank">inovativních útoků</a> použili hackeři MDM (Mobile Device Management) řešení velké mezinárodní společnosti k distribuci malwaru na více než 75 % mobilních zařízení dané organizace. </li><li> <strong>Cloud v ohrožení:</strong> Rychlý přechod do veřejných cloudů během pandemie vedl k nárůstu útoků na cloudová prostředí. Kyberzločinci také využívají cloudovou infrastrukturu k <a href="https://research.checkpoint.com/2020/threat-actors-migrating-to-the-cloud/" target="_blank">ukládání škodlivého obsahu</a> použitého při malwarových útocích. Check Point našel v lednu v Microsoft Azure první kritickou zranitelnost, která by hackerům umožnila ohrozit data a aplikace dalších uživatelů Azure, což ukazuje, že veřejné cloudy nejsou ze své podstaty bezpečné.</li></ul><p> <br>„Celosvětová pandemie koronaviru COVID-19 změnila v první polovině roku běžné kyberútočné modely. Útočníci zneužívali pro maskování svých škodlivých aktivit právě obavy z COVID-19. Navíc jsme viděli řadu nových zranitelností a útočných technik, které ohrožují organizace napříč sektory,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Bezpečnostní experti musí rozumět rychlému vývoji hrozeb, aby mohli své organizace ochránit před budoucími útoky.“</p><h2>Top malware v 1. polovině roku 2020:</h2><p> <strong>1. Emotet (dopad na 9 % organizací po celém světě)</strong> – Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní.  Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.<br><strong>2. XMRig (8 %)</strong> - XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.<br><strong>3. Agent Tesla (7 %)</strong> - Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává na hackerských fórech za 15 - 69 dolarů za uživatelskou licenci.</p><h2>Top kryptominery v 1. polovině roku 2020</h2><p> <strong>1. XMRig (zodpovědný za 46 % kryptominerových útoků)</strong> - XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.<br><strong>2. JSEcoin (28 %)</strong> - JavaScript těžící kryptoměny, který lze vložit do webových stránek. Těžbu lze spustit přímo v prohlížeči výměnou za zobrazení bez reklam, herní měnu nebo jiné výhody. JSEcoin ukončil svou aktivitu v dubnu 2020.<br><strong>3. WannaMine (6 %)</strong> - WannaMine je sofistikovaný kryptominer určený k těžbě kryptoměny Monero. Šíří se prostřednictvím exploitu EternalBlue. WannaMine zneužívá Windows Management Instrumentation (WMI) pro šíření a maskování.<br> </p><h2>Top mobilní malware v 1. polovině roku 2020</h2><p> <strong>1. xHelper (zodpovědný za 24 % mobilních malwarových útoků)</strong> - Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.<br><strong>2. PreAMo (19 %)</strong> - PreAmo je malware pro Android, který napodobuje aktivitu uživatelů a kliká bez jejich vědomí na bannery od tří reklamních agentur: Presage, Admob a Mopub. Objeven byl například na Google Play v šesti infikovaných aplikacích, které si stáhlo více než 90 milionů uživatelů.<br><strong>3. Necro (14 %</strong>) - Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.</p><h2>Top bankovní malware v 1. polovině roku 2020</h2><p> <strong>1. Dridex (zodpovědný za 27 % útoků bankovního malwaru)</strong> - Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.<br><strong>2. Trickbot (20 %)</strong> - Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a Velké Británii a v poslední době také v Indii, Singapuru a Malajsii.<br><strong>3. Ramnit (15 %) </strong>- Ramnit je modulární bankovní trojan, který dává hackerům možnost krást přihlašovací údaje všech služeb používaných obětí, včetně bankovních a podnikových účtů a účtů na sociálních sítích.</p><p>Zpráva „Cyber Attack Trends: Annual Report 2020 1H“ poskytuje detailní přehled o prostředí kyberhrozeb. Report vychází z dat získaných od ledna do června 2020 z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a ukazuje klíčové trendy a taktiky, které kyberzločinci používají k útokům na organizace. Celá zpráva je k dispozici zde:</p><p style="text-align:center;"> <a href="/Blog/Documents/Check-Point-Cyber-Attack-Trends-2020-Mid-Year-Report.pdf"><img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/Check-Point-Cyber-Attack-Trends-2020-Mid-Year-Report-small.jpg" alt="" style="margin:5px;width:650px;" /></a> <br> </p>0
AEC komentář: Hackerský útok zasáhl výrobce navigačních přístrojů Garmin (aktualizováno)https://www.antivirus.cz/Blog/Stranky/aec-komentar-hackersky-utok-zasahl-vyrobce-navigacnich-pristroju-garmin.aspxAEC komentář: Hackerský útok zasáhl výrobce navigačních přístrojů Garmin (aktualizováno)<p> <strong>Garmin se již druhý den potýká s následky rozsáhlého kybernetického incidentu. Podle dostupných informací je příčinou útoku ransomware. </strong></p><h2>Komentář společnosti AEC:</h2><p>Z informací, které má společnost AEC momentálně k dispozici, vyplývá, že útok by mohl mít značný dosah. Společnost Garmin je známá svými výrobky v oblasti auto-moto, mobilní komunikace, outdoor, sport&fitness a námořní elektroniky.</p><p>Incident, který byl zaregistrován ve čtvrtek 23. 7., odstavil hlavní službu Garmin Connect, jež ukládá veškeré naměřené výkony, a zároveň ochromil výrobní linky v Asii.</p><p>Podle aktuálních zpráv nefungují ani call centra společnosti, což by znamenalo, že zákazníkům momentálně nejsou dostupné kanály technické podpory včetně telefonů, e-mailů nebo chatu.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Garmin hacked 2020 ransomware" src="/Blog/PublishingImages/Clanky/2020/garmin-hacked-2020.jpg" style="margin:5px;width:650px;" /> </p><p>Zneužití uložených platebních karet Garmin Pay podle oslovených finančních institucí nehrozí, protože tyto platební karty jsou šifrované a autorizované pouze pro použití hodinkami s unikátním ID.</p><p>Vzhledem k tomu, že Garmin umožňuje nastavit téměř všechny své navigační a další přístroje v režimu offline, tedy bez použití platformy Garmin Connect, neměli by být stávající uživatelé výrobků této značky přímo ohroženi výpadkem. Pouze nebude možná synchronizace zařízení do napadené aplikace.</p><p>V rámci odstranění následků útoku společnost plánuje odstavit na několik dnů jak své oficiální webové stránky, tak právě i službu Garmin Connect a flyGarmin pro piloty. Rovněž ve výrobních linkách v Asii byla v souvislosti s incidentem narychlo naplánována několikadenní odstávka.</p><p>Mezi insidery se v souvislosti s napadením společnosti Garmin hovoří o útoku ransomwarem WastedLocker, který je spojován s hackerskou skupinou Evil Corp.</p><p> <img alt="David Pecl AEC" src="/Blog/PublishingImages/AEC-lidi/david-pecl-2018-02.jpg" style="margin:5px;width:133px;height:177px;vertical-align:auto;float:left;" />David Pecl ze společnosti AEC upřesňuje: „Evil Corp, jinak známá také jako TA505, je hackerskou skupinou primárně se zaměřující na útoky pomocí <a href="/Blog/Stranky/dridex-bankovni-trojan.aspx">bankovních trojanů</a>. Patří k velmi nebezpečným skupinám, charakteristické je pro ni zavádění nových trendů do oblasti kybernetických útoků.“</p><p>WastedLocker je známý hlavně díky kampaním proti americkým společnostem ze žebříčku Fortune 500 z dubna a května letošního roku. Tento ransomware využívá různé fileless techniky (zneužití Alternate Data Stream, vytváření služeb za účelem persistence atd.), čímž ztěžuje jeho detekci antivirovými programy.</p><p> </p><h2>Aktualizace 26. 7. 2020:</h2><p>Garmin se na svém Twitter účtu omluvil svým klientům za způsobené potíže v důsledku výpadku. Zároveň potvrdil, že uživatelská data nebyla ztracena ani jiným způsobem ovlivněna. Ke spekulacím týkajících se ransomwarové infekce se společnost nevyjádřila. </p><p>Webu Bleeping Computer zdroj blízký incident response týmu společnosti Garmin údajně potvrdil, že se opravdu jednalo o útok ransomwarem WastedLocker. Dále řekl, že kromě systému společnosti byly infikovány také počítače uživatelů na homeoffice, kteří byli připojeni přes VPN do interní sítě. </p><p>Redaktorům webu se podařilo získat údajně stejný vzorek ransomwaru, který byl použit k útoku na společnost Garmin. Na základě jeho rozboru můžeme usuzovat, že se jednalo o cílený útok. Tomu nasvědčuje jak koncovka zašifrovaných souborů (.garminwasted), tak informace v souboru s instrukcemi, který po sobě ransomware zanechal a který byl přímo adresován společnosti Garmin. Podle výše uvedeného anonymního zdroje útočníci požadovali výkupné ve výši 10 milionů USD. <br></p>0
Jak ochránit děti před nevhodným obsahem na YouTube?https://www.antivirus.cz/Blog/Stranky/jak-ochranit-deti-pred-nevhodnym-obsahem-na-youtube.aspxJak ochránit děti před nevhodným obsahem na YouTube?<p><strong>​Zábavná videa, pranky, návody, živé přenosy her nebo videoklipy patří mezi nejoblíbenější video obsah dostupný na největším internetovém serveru pro sdílení videosouborů YouTube. Ten je zároveň jednou z </strong><a href="https://www.digitalinformationworld.com/2020/04/top-video-streaming-apps-by-time-spend-in-2020-globally.html" target="_blank"><strong>nejoblíbenějších</strong></a><strong> streamovacích služeb používaných dětmi. Aby si rodiče nemuseli dělat starosti s tím, že zde jejich potomek bude sledovat videa s problematickým obsahem, představila společnost Kaspersky v rámci svého řešení Kaspersky Safe Kids funkci Bezpečné vyhledávání na YouTube (Safe Search in YouTube). Pokud je tato funkce zapnutá, blokuje vyhledávání videí s nevhodným obsahem, jako jsou videa s drogami, vulgárním materiálem nebo snímky pro dospělé.</strong></p><p>V dnešní době patří děti mezi jedny z hlavních konzumentů obsahu na YouTube. Spousta videí je zacílena přímo na ně, ať už to jsou animáky, videoblogy nebo recenze hraček. Za pomyslnou hranicí těchto videí ale existuje nepřeberné množství videoobsahu, který může mít reálný negativní dopad na jejich chování. V reportu společnosti Kaspersky zaměřeném na využívání digitálních technologií v rámci rodin (<a href="https://media.kasperskydaily.com/wp-content/uploads/sites/92/2019/09/12065947/family-campaign-report-final.pdf" target="_blank">Kaspersky Family Report</a>) uvedlo 14 % rodičů, že byly jejich děti vystaveny obsahu, který je vybízel k násilnému chování nebo provedení nevhodných činností.</p><p>Proto rodiče potřebují důvěryhodného pomocníka, který snadno a rychle zabrání tomu, aby jejich děti mohly jednoduše navštěvovat stránky s obsahem pro dospělé. Omezit sledování rizikových videí na YouTube nově mohou díky nové monitorovací funkci v rámci produktu rodičovské kontroly – Bezpečné vyhledávání na YouTube. Tato funkce je nezbytná pro rodiče, kteří se zajímají o to, co jejich děti na internetu sledují. Přestože YouTube umožňuje rodičům chránit své děti před obsahem pro dospělé prostřednictvím omezeného režimu, sama platforma uznává, že tento filtr není stoprocentní.</p><p>Funkce Bezpečného vyhledávání na YouTube informuje rodiče o nevhodných vyhledávaných heslech, díky čemuž mají přehled o tom, co jejich děti zajímá. Navíc mají jistotu, že bude jejich dětem zablokován přístup na videa s nevhodným obsahem – videa obsahující hrubý slovník nebo reklamy na alkohol. Zároveň ale mají rodiče možnost zpřístupnit dětem videa spadající pod určité téma, které oni sami nadefinují.</p><p>Po zapnutí funkce na zařízení nebo v aplikaci YouTube dojde k zablokování výsledků vyhledávání, pokud dítě zadá heslo spadající do jedné z následujících kategorií: obsah pro dospělé, alkohol, drogy, vulgarity, tabák, rasistický a zaujatý obsah. Po zablokování vyhledávání se dítěti zobrazí upozornění, že vyhledávaný obsah může být nebezpečný, protože zobrazuje obsah jedné z výše uvedených kategorií.</p><p>„Kvůli pandemii tráví děti více času doma a často sahají po chytrých zařízeních, kterými si krátí nudu. Zábavu, ale i vzdělání často nacházejí na oblíbeném videoportálu YouTube. Rodiče ale mohou mít oprávněný strach z toho, že zde děti přijdou do kontaktu s nevhodným obsahem. Proto uvádíme novou funkci v rámci řešení Kaspersky Safe Kids, která za ně pohlídá, že se videa obsahující erotický materiál nebo násilí na zařízeních jejich dětí nepřehrají,“ komentuje Elena Kadochnikova, odbornice ze společnosti Kaspersky. </p><p>Funkce Bezpečné vyhledávání na YouTube je kompatibilní s prohlížeči v zařízeních s Windows, iOS a Android. Funguje také přímo v rámci oficiální aplikace YouTube na telefonech a tabletech s Androidem.</p><p>Více informací se o nové funkci Kaspersky Safe Kids dozvíte na <a href="https://www.kaspersky.cz/safe-kids" target="_blank">této stránce</a>.<br></p>0
Nová VPN lépe ochrání vaše online soukromíhttps://www.antivirus.cz/Blog/Stranky/nova-vpn-lepe-ochrani-vase-online-soukromi.aspxNová VPN lépe ochrání vaše online soukromí<p>​<strong>Společnost Kaspersky rozšířila možnosti ochrany dat prostřednictvím nejnovějších aktualizací své prémiové aplikace Kaspersky VPN Secure Connection. Řešení nyní posiluje ochranu soukromí uživatelů na internetu tím, že v případě ztráty připojení k VPN přeruší veškerý internetový provoz na zařízení. Nová verze také zpřístupňuje dříve nedostupný online obsah.</strong></p><p>Velká část uživatelů v nedávném průzkumu společnosti Kaspersky uvedla, že při brouzdání internetem používají dodatečná opatření pro ochranu soukromí. Pro dvě pětiny (43 %) z nich je hlavní motivací ochrana svých dat před počítačovými piráty. 37 % procent zase chrání svá data před webovými stránkami, které navštěvují. Jedním z nejlepších způsobů, jak chránit své online soukromí a skrýt osobní údaje před zvědavýma očima, je používání bezpečnostních řešení jako je VPN. Z reportu vyplynulo, že virtuální privátní sítě již používá 40 % internetových uživatelů.</p><p>Silná ochrana online soukromí uživatele prostřednictvím tohoto řešení ale závisí na mnoha faktorech. Pokud je například internetové připojení nestabilní, může se VPN na nějakou dobu odpojit a uživatel si toho nemusí ani všimnout.</p><p>Právě pro tyto případy, kdy může být online soukromí uživatelů náhodně vystaveno vyššímu riziku a kdy může dojít ke ztrátě dat, je součástí aplikace Kaspersky VPN Secure Connection nová funkce „Kill Switch“.</p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/VPN-Premium.png" alt="" style="margin:5px;width:650px;" /> </p><p>Tato funkce přináší další vrstvu ochrany, zatímco uživatelé procházejí internet prostřednictvím VPN. Data chrání tím, že automaticky blokuje přístup zařízení k internetu, dokud se neobnoví připojení VPN. Účelem je zabránit úniku dat prostřednictvím nezabezpečeného síťového připojení. </p><p style="text-align:center;"> <img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/Secure-Connection.png" alt="" style="margin:5px;width:650px;" /> </p><p>Nová verze také umožňuje přístup k obsahu, který byl dříve nedostupný kvůli geo-omezením zavedených různými webovými stránkami. Spousta online služeb v této době může prostřednictvím IP adres zjistit, kde se uživatel nachází, a na základě toho jim odepře přístup k informacím nebo zprávám. Uživatel v takových případech nemá například nárok na slevu v e-shopech, nebo nemůže sledovat určité pořady na streamovacích platformách, protože nejsou v daném regionu dostupné. To ale neplatí pro uživatele VPN, kteří například na Netflixu mohou odkudkoliv sledovat zábavný obsah dostupný jen na území USA. Řešení totiž skrývá podrobnosti o připojení, a tak si uživatelé mohou užít i jinak nedostupný obsah.</p><p>Nová verze Kaspersky VPN Secure Connection je dostupná pro PC, Mac i zařízení s operačními systémy Android a iOS. Je dostupné ve dvou verzích – free a premium. Všechny výše zmíněné funkce jsou dostupné pouze v prémiové verzi. </p><p>Uživatelé se podrobnější informace mohou dozvědět na tomto <a href="https://www.kaspersky.com/vpn-secure-connection" target="_blank">odkazu</a>, kde si mohou stáhnout i obě verze řešení.<br></p>0
Botnet Phorpiex znovu útočí a šíří nový ransomware Avaddonhttps://www.antivirus.cz/Blog/Stranky/botnet-phorpiex-znovu-utoci-a-siri-novy-ransomware-avaddon.aspxBotnet Phorpiex znovu útočí a šíří nový ransomware Avaddon<h3>​Výzkumný tým Check Point Research varuje před prudkým nárůstem útoků botnetu Phorpiex, který malspamovými kampaněmi šíří nový ransomware Avaddon. </h3><p> <strong> <br>Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Výzkumný tým v červnu odhalil novou vlnu útoků botnetu Phorpiex, který šířil ransomware Avaddon, novou variantu ransomwaru jako služba (RaaS). Phorpiex se posunul o 13 míst až na 2. příčku mezi všemi škodlivými kódy použitými k útokům na podnikové sítě. Oproti květnu tak Phorpiex v celosvětovém měřítku zdvojnásobil svůj dopad.</strong></p><p>Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se posunula o 7 míst mezi nebezpečnější země a v červnu jí patřila 68. příčka. Slovensko se také dále posouvalo mezi méně bezpečné země, a to o 11 příček na 47. pozici. V Top 3 překvapivě nedošlo oproti květnu k žádné změně, takže první místo v Indexu hrozeb znovu patřilo Kataru, druhá příčka Afghánistánu a třetí Myanmaru. Mezi nebezpečnější země se nejvýrazněji posunuly Bermudy, z 87. místa na 46. pozici. Opačným směrem, tedy mezi bezpečnější země, se nejvíce posunula Namibie, které v květnu patřila 37. pozice a v červnu 93., a Zambie s posunem o 55 míst na 77. příčku.</p><p>Jak již dříve výzkumný tým společnosti Check Point <a href="https://research.checkpoint.com/2019/in-the-footsteps-of-a-sextortion-campaign/" target="_blank">uvedl</a>, Phorpiex je známý masivními malspamovými kampaněmi, které využívají sexuální vydírání (sextortion) a distribuují další škodlivé kódy. Nejnovější kampaň se snaží nalákat uživatele k otevření Zip souboru v příloze e-mailu. Pokud uživatel na soubor klikne, aktivuje se ransomware Avaddon, zašifruje data v počítači a požaduje výkupné za dešifrování souborů. Check Point v roce 2019 odhalil více než milion počítačů se systémem Windows infikovaných Phorpiexem. Odhaduje se, že tento botnet generuje kyberezločincům zisky v hodnotě přibližně 500 000 dolarů ročně.</p><p>„V minulosti byl Phorpiex, známý také jako Trik, využíván k distribuci malwarů, jako jsou GandCrab, Pony nebo Pushdo, nebo k těžbě kryptoměn a k podvodům se sexuálním vydírání. Nyní se používá k šíření nové ransomwarové kampaně,“ říká Petr Kadrmas, Security Engineering ve společnosti Check Point. „Organizace musí vzdělávat zaměstnance, aby poznali malspamové kampaně, a zároveň je nutné používat preventivní bezpečnostní řešení, které zastaví hrozby ještě před tím, než mohou způsobit nějaké škody.“</p><h2>Top 3 - malware:</h2><p>Dridex v květnu dominoval, v červnu vypadl z Top 3 a nejpopulárnějším škodlivým kódem použitým k útokům na podnikové sítě se nově stal AgentTesla, který měl dopad na 3 % organizací po celém světě. Těsně následovaly škodlivé kódy Phorpiex a XMRig, které shodně ovlivnily zhruba 2 % společností.<br><strong>1. ↑ AgentTesla</strong> - AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).<br><strong>2. ↑ Phorpiex</strong> - Phorpiex je botnet, který šíří další škodlivé kódy prostřednictvím spamových kampaní. Phorpiex je využíván i v kampaních zaměřených na sexuální vydírání.<br><strong>3. ↔ XMRig</strong> – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</p><h2>Top 3 - mobilní malware:</h2><p>I mezi mobilním malwarem klesl PreAmo z první květnové příčky mimo Top 3. Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení tak v červnu nově vévodil Necro. Na druhou příčku se posunul mobilní malware Hiddad, Top 3 uzavírá Lotoor.<br><strong>1. ↑ Necro</strong> - Necro může stahovat další malware, zobrazovat rušivé reklamy a krást peníze pomocí poplatků za předplatné.<br><strong>2. ↑ Hiddad</strong> - Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. ↑ Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.</p><h2>Top 3 - zranitelnosti:</h2><p>Check Point analyzoval také nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili nově zneužívat především zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure s dopadem na 45 % organizací. Na druhé místo z první příčky klesla zranitelnost MVPower DVR Remote Code Execution, která měla dopad na 44 % společností, a na třetím místě se stejně jako v květnu umístila zranitelnost Web Server Exposed Git Repository Information Disclosure, která ovlivnila 38 % organizací.<br><strong>1. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)</strong> - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.<br><strong>2. ↓ MVPower DVR Remote Code Execution</strong> – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.<br><strong>3. ↔ Web Server Exposed Git Repository Information Disclosure</strong> - Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo se opět vrátil bankovní trojan Dridex. Naopak květnová kometa, trojan NetWiredRC využívaný k útokům i kyberskupinami sponzorovanými státy, klesl na 3. pozici. Pokročilý RAT Agent Tesla, který krade hesla a přihlašovací údaje, zdvojnásobil dopad na české organizace a posunul se na druhou pozici. Všechny 3 škodlivé kódy v Top 3 mají výrazně větší dopad na české organizace než je celosvětový průměr. Mezi nejčastěji použité škodlivé kódy patři nadále i kryptominer XMRig.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – červen 2020</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad ve světě</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">Dridex</td><td class="ms-rteTable-default">Dridex je bankovní trojan, který cílí na platformu Windows a šíří se prostřednictvím spamových kampaní a exploit kitů, které využívají techniku WebInjects k zachycení a přesměrování bankovních přihlašovacích údajů na server ovládaný útočníkem. Dridex kontaktuje vzdálený server, odesílá informace o infikovaném systému a může také stahovat a spouštět další moduly pro vzdálené ovládání.</td><td class="ms-rteTable-default">2,22 %</td><td class="ms-rteTable-default">7,86 %</td></tr><tr><td class="ms-rteTable-default">AgentTesla</td><td class="ms-rteTable-default">AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15 - 69 dolarů za uživatelskou licenci.</td><td class="ms-rteTable-default">3,46 %</td><td class="ms-rteTable-default">6,29 %</td></tr><tr><td class="ms-rteTable-default">NetWiredRC</td><td class="ms-rteTable-default">NetWiredRC je univerzální hrozba, která dokáže krást informace, poskytovat vzdálený přístup a stahovat další malware a používají ji také státy sponzorované skupiny, jako je APT33.</td><td class="ms-rteTable-default">0,95 %</td><td class="ms-rteTable-default">4,72 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">2,32 %</td><td class="ms-rteTable-default">3,52 %</td></tr><tr><td class="ms-rteTable-default">Emotet</td><td class="ms-rteTable-default">Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.</td><td class="ms-rteTable-default">1,60 %</td><td class="ms-rteTable-default">1,89 %</td></tr><tr><td class="ms-rteTable-default">Ursnif</td><td class="ms-rteTable-default">Ursnif je trojan, který cílí na platformu Windows. Malware se do systému oběti často dostává pomocí exploit kitu Angler. Sbírá systémové informace a odesílá je na vzdálený server.</td><td class="ms-rteTable-default">0,78 %</td><td class="ms-rteTable-default">1,57 %</td></tr><tr><td class="ms-rteTable-default">Trickbot</td><td class="ms-rteTable-default">Trickbot je varianta malwaru Dyre, která se poprvé objevila v říjnu 2016. Zaměřuje se především na uživatele bankovních služeb převážně v Austrálii a U.K. a v poslední době také v Indii, Singapuru a Malajsii.</td><td class="ms-rteTable-default">1,79 %</td><td class="ms-rteTable-default">0,63 %</td></tr><tr><td class="ms-rteTable-default">Remcos</td><td class="ms-rteTable-default">Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy.</td><td class="ms-rteTable-default">0,73 %</td><td class="ms-rteTable-default">0,63 %</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen, aby umožnil útočníkům vzdáleně ovládat infikovaný počítač.</td><td class="ms-rteTable-default">0,32 %</td><td class="ms-rteTable-default">0,63 %</td></tr><tr><td class="ms-rteTable-default">Phorpiex</td><td class="ms-rteTable-default">Phorpiex je červ zaměřený na platformu Windows. Vytváří samospustitelné soubory na přenosných zařízeních, aby se dále šířil, a zároveň se přidává do seznamu autorizovaných aplikací, aby tak obešel systémový firewall.</td><td class="ms-rteTable-default">2,34 %</td><td class="ms-rteTable-default">0,63 %</td></tr><tr><td class="ms-rteTable-default">RigEK</td><td class="ms-rteTable-default">Rig EK byl poprvé použitý v roce 2014. Od té doby získal řadu velkých updatů a je aktivní dodnes. V roce 2015 došlo v důsledku vnitřního konfliktu mezi jeho operátory k úniku zdrojového kódu. Rig umožňuje zneužít zranitelnosti ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.</td><td class="ms-rteTable-default">0,87 %</td><td class="ms-rteTable-default">0,63 %</td></tr></tbody></table> <br> <p>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 2,5 miliardy webových stránek a 500 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>0
Stalkerware i nadále ohrožuje české telefony, před uživateli se dokáže skrýthttps://www.antivirus.cz/Blog/Stranky/stalkerware-i-nadale-ohrozuje-ceske-telefony-pred-uzivateli-se-dokaze-skryt.aspxStalkerware i nadále ohrožuje české telefony, před uživateli se dokáže skrýt<h3>Stalkerware zůstává pro české uživatele nejvážnějším rizikem, vrací se také reklamní malware. </h3><p><strong><br>Nejvážnějším rizikem pro uživatele telefonů s operačním systémem Android zůstává stalkerware. Tento typ škodlivého kódu se často zneužívá ke sledování partnera bez jeho vědomí. Mezi nejčastější detekce se vrátil také reklamní malware. Vyplývá to z pravidelných statistik společnosti ESET.</strong></p><p>V květnu překvalifikovali analytici z ESETu sledovací aplikace z potenciálně nechtěných na škodlivý kód. Detekční pravidla pro malware se obvykle stanovují tak, aby chránila vlastníka zařízení. Pokud je možné nějakou aplikaci v zařízení skrýt, představuje z perspektivy vlastníka problém.</p><p>„Stalkerware se jeho tvůrci snaží vydávat za aplikace ke sledování zařízení pro případ krádeže nebo nástroje rodičovské kontroly. Je zde ale několik zásadních rozdílů. Například legitimní sledovací aplikace není možné na zařízení skrýt. Aplikace, které detekujeme, mají několik desítek funkcí. Krom určení polohy, tak můžete číst SMS nebo přesměrovat hovor,“ vysvětluje rozdíly Martin Jirkal, vedoucí analytického oddělení z české pobočky firmy ESET.</p><p>Stalker v případě těchto aplikací potřebuje ve většině případů přístup k zařízení. Nainstaluje na ně stalkerware a v systému jej skryje. Velmi často se tyto aplikace označují také jako  spouseware – spouse je anglický výraz pro partnera, spouseware tedy slouží ke sledování partnera. </p><p>„Není to nic těžkého. Každý občas někde necháme ležet na okamžik telefon. V případě partnerů může útočník lhát, že jen nainstaluje bezpečnostní program, pro případ že na dovolené oběť telefon ztratí. Pokud se jedná o stalkera může v krajním případě získat přehled o veškeré komunikaci oběti prostřednictvím telefonu, tedy s kým telefonuje nebo komu a co píše. Může také na dálku blokovat některé kontakty nebo vybrané telefonáty přesměrovat na své číslo. Možnosti zneužití jsou opravdu široké,“ dodává.</p><h2>Stalkerware lze stáhnout z neoficiálních zdrojů</h2><p>Nejčastěji detekovaným stalkerwarem v České republice je aplikace Cerberus. Krom běžných anti-theft funkcí (například sledování polohy, fotografie či vymazání zařízení na dálku) dokáže také číst SMS, přesměrovat hovory, ovládat zařízení pomocí SMS příkazů nebo třeba nahrát a odeslat útočníkovi video. Navíc je možné aplikaci v systému skrýt. Oběť se tak o sledování nedozví.</p><p>Cerberus je možné stáhnout pouze z webových stránek mimo oficiální obchod. Aplikace působí lákavě, protože má řadu pochvalných recenzí. </p><p>„Aplikace Cerberus byla až do roku 2018 dostupná i v oficiálním obchodě. Pak Google změnil podmínky a některé funkce označil za rizikové, šlo například o SMS příkazy a možnost aplikaci skrýt. Sledovací aplikace totiž dle podmínek Google Play musí jít zřetelně identifikovat. Aplikace byla proto z obchodu odstraněna,“ popisuje Jirkal.<br> <br>Na předních příčkách statistik se objevuje také Guardian, jedná se o součást čínské monitorovací aplikace.</p><p>„V praxi jsou to asistenční nástroje, které jsou předinstalované v telefonech ZTE. Primárně má sloužit jako ochrana při ztrátě či odcizení zařízení. Nicméně aplikace může být zneužita i k monitoringu. Rizikovým předinstalovaným softwarem jsou známé především levné telefony. Proto je vhodné dát přednost důvěryhodným výrobcům,“ popisuje Jirkal.</p><h2>Stalkerware se objevil i v Google Play</h2><p>Minulý měsíc varoval ESET také před stalkerwarem, který bylo možné stáhnout z Google Play. Na problémovou aplikaci upozornili analytici také samotné správce aplikačního obchodu. </p><p>„Jelikož jsme od zástupců Google nedostali žádnou zpětnou vazbu, předpokládáme, že vývojáři aplikace AndroidLost s bezpečnostním týmem Google komunikují a pracují na tom, aby jejich aplikace v budoucnu neobsahovala žádné rizikové funkce,“ říká k situaci Jirkal.</p><h2>Po skončení pandemie posílil reklamní adware</h2><p>Třetí nejčastější hrozbou byl pro Čechy trojský kůň Agent.BPO. Ten dokáže ovládat aplikace pro prohlížení internetu, modifikovat URL adresy, instalovat další malware. V Česku nejčastěji zobrazuje nevyžádanou reklamu prostřednictvím tzv. adware.</p><p>„Adware pro uživatele nepředstavuje přímou hrozbu, nicméně snižuje komfort při používání mobilního zařízení. Reklamní inzeráty často odkazují na stažení infikovaných doplňků či aplikací nebo na podvodné stránky, které, v případě jejich stažení a instalace, mohou pro uživatele představovat podstatně větší riziko. Ovšem i zobrazováním legitimní reklamy vydělává útočník na úkor uživatele,“ vysvětluje Jirkal.</p><p>Agent.BPO vyniká také svou schopností skrývat se jako komponenta uživatelského rozhraní. Uživatel tak prakticky nemá možnost problémovou aplikaci odstranit a reklamy se zbavit.</p><p>„Tento typ trojského koně si uživatel zpravidla stáhne v nějaké aplikaci mimo oficiální obchod. Pokud má uživatel dojem, že se mu v jeho zařízení zobrazuje příliš mnoho reklamy, doporučil bych instalovat důvěryhodný bezpečnostní software určený pro mobilní zařízení a spustit detekci. Obecně je nejlepší prevencí instalovat aplikace jen z oficiálního obchodu,“ radí Jirkal.</p><h2>Nejčastější kybernetické hrozby pro platformu Android v České republice za červen 2020:</h2><p>1. Application.Android/Monitor.Cerberus (3,16 %)<br>2. Application.Android/Monitor.Guardian (3,04 %)<br>3. Trojan.Android/Agent.BPO (1,79 %)<br>4. Trojan.Android/TrojanDropper.Agent.CKA (1,79 %)<br>5. Trojan.Android/Agent.ASH (1,70 %)<br>6. Application.Android/Monitor.Androidlost (1,54 %)<br>7. Trojan.Android/Spy.SmsSpy.PD (1,45 %)<br>8. Trojan.Android/Hiddad.VH (1,30 %)<br>9. Trojan.Android/TrojanDropper.Agent.DDH (1,28 %)<br>10. Trojan.Android/TrojanDropper.Agent.ETD (1,23 %)<br></p>0
Zneužití twitterových účtůhttps://www.antivirus.cz/Blog/Stranky/zneuziti-twitterovych-uctu.aspxZneužití twitterových účtů<p>Ve středu 15. července 2020 došlo ke zneužití řady twitterových účtů, včetně účtů Baracka Obamy, Joe Bidena, Elona Muska nebo oficiálních účtů Uber a Apple. Zneužité účty byly použity k podvodům s kryptoměnami, slibovaly zdvojnásobení bitcoinů zaslaných do virtuální peněženky. Ve zprávách bylo také zmíněno partnerství s organizací CryptoForHealth.</p><p>Webové stránky zmíněné v těchto tweetech, tedy cryptoforhealth[.]com, byly ovšem zaregistrovány až v den útoku a tvrdily, že pomáhají komunitě po finančních ztrátách způsobených COVID-19. Web ale vyzýval k zasílání bitcoinů do stejné virtuální peněženky jako v tweetech.</p><p>Útok sice netrval dlouho a Twitter rychle zareagoval a obnovil všechny postižené účty, přesto se útočníkům podařilo získat 12,85 BTC, tedy téměř 120 000 dolarů, a peníze již převáděli na další bitcoinové účty.</p><p>Existuje řada způsobů, jak k takovému útoku mohlo dojít. Twitter oznámil, že k získání přístupu do interních systémům byly použity techniky sociálního inženýrství.</p><p>Podobné útoky využívající sociální inženýrství mohou začít různými technikami. Jednou z běžných možností je spearphishing, který v e-mailu šíří malware nebo odkaz na phishingovou stránku. Často je útok doprovázen nějakým druhem sociálního inženýrství, aby uživatel měl motivaci kliknout na škodlivý obsah nebo zadat přihlašovací údaje na podvodné phishingové stránce.</p><p>Další možností je hlasový phishing nebo vishing. Jedná se o taktiku využívající phishingové telefonáty zaměstnancům. Cílem je získat důvěru, užitečné informace a přimět zaměstnance k nějaké aktivitě. Jedná se o nebezpečnou techniku, navíc v uplynulých měsících došlo k nárůstu podobných vishingových telefonátů.</p><p>Motherboard nabízí další potenciální scénář, ve kterém útočníci spolupracovali se zaměstnanci Twitteru a zaplatili za změnu e-mailových adres u vytipovaných účtů pomocí interního nástroje Twitteru. Screenshoty tohoto nástroje byly údajně sdíleny v hackerských fórech.</p><p>„Není to poprvé, kdy soukromí uživatelů na sociálních sítích bylo ovlivněno zaměstnanci sociální sítě. A není to ani poprvé, kdy byli za únik citlivých dat zodpovědní zaměstnanci Twitteru.</p><p>Účet Jacka Dorseyho, CEO společnosti Twitter, byl zneužit před několika měsíci poté, co jeho telefonní číslo bylo zneužito pomocí SIM Swapp útoku. A v uplynulém roce byli dva zaměstnanci obviněni ze zneužití přístupu k interním zdrojům Twitteru a z pomoci Saúdské Arábii při špehování disidentů žijících v zahraničí.</p><p>Přestože Twitter dosud nesdělil všechny podrobnosti o novém útoku, můžeme vidět určité souvislosti s předchozími případy. Ať už se jedná o nespokojené zaměstnance nebo útoky pomocí sociálního inženýrství. Skutečným problémem je náročnost omezení přístupu k interním zdrojům a jak zabránit zneužití.</p><p>Tentokrát se však zdá, že Twitter podniká kroky, aby zabránil dalším podobným incidentům, a snaží znesnadnit přístup k nástrojům, jako je například nástroj pravděpodobně použitý při tomto útoku.</p><p>Aktuální kauza bohužel znovu ukazuje, že dnes a denně dochází k obrovským únikům citlivých dat a organizace musí investovat ještě mnohem více úsilí do ochrany před kyberhrozbami,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point.</p><p>Více informací najdete na blogu kyberbezpečnostní společnosti Check Point:<br><a href="https://blog.checkpoint.com/2020/07/16/twitter-platform-compromise/">https://blog.checkpoint.com/2020/07/16/twitter-platform-compromise/</a><br></p>0
Hrozby spojené se streamovacími službamihttps://www.antivirus.cz/Blog/Stranky/hrozby-spojene-se-streamovacimi-sluzbami.aspxHrozby spojené se streamovacími službami<p> <strong>Streamovací služby a jejich obsah se v uplynulých měsících těšily velkému zájmu uživatelů, kteří se při pobytu v karanténě chtěli zabavit sledováním filmů a seriálů. Toho bleskově zneužili hackeři, kteří pod názvy oblíbených streamovacích platforem a jejich obsahu maskovali škodlivé soubory. Nejčastěji používali jako návnadu Netflix a seriál The Mandalorian. Mezi lednem a 8. dubnem tohoto roku bylo více než 5 000 uživatelů Kaspersky vystaveno různým hrozbám, když se snažili získat přístup k Netflixu prostřednictvím neoficiálních souborů, které používaly jeho jméno. Celkově bylo s Netflixem spojeno 22 000 pokusů o infekci. Nejčastěji zneužívaným obsahem byl seriál Mandalorian – se škodlivými soubory s jeho názvem přišlo do styku 1 614 uživatelů a celkem bylo zaregistrováno 5 855 pokusů o infekci.</strong></p><p>Vzhledem k rostoucí popularitě streamovacích služeb jsou tyto platformy a jejich pořady stále častěji využívány kyberzločinci k útokům na běžné uživatele. Jejich útoky mohou mít mnoho podob – od phishingu zaměřeného na shromažďování přihlašovacích či platebních údajů až po použití stahovaných souborů k šíření adwaru a malwaru.</p><p>Odborníci z Kaspersky se proto rozhodli zaměřit na kybernetické hrozby spojené se streamováním. Do své analýzy zahrnuli pět nejpoužívanějších platforem – Hulu, Disney +, Netflix, Apple TV Plus, Amazon Prime Video. Zjistili, že od ledna do 8. dubna 2020 bylo celkem 5 577 uživatelů vystaveno různým hrozbám, když se snažili získat přístup k těmto platformám prostřednictvím neoficiálních souborů, které používaly jejich názvy. Nejvyšší počet souborů používal jméno Netflix. Ve sledovaném období došlo celkem k 23 936 pokusům o infikování zařízení těchto uživatelů.</p><p>Odborníci se také podrobněji podívali na počítačové hrozby spojené s původní tvorbou těchto platforem. Po prozkoumání 25 pořadů napříč výše zmíněnými platformami zjistili, že jsou mezi top pěti nejčastěji zneužívanými tyto tituly: 1) Mandalorian (Disney +), 2) Stranger things (Netflix), 3) Zaklínač (Netflix), 4) Sex Education (Netflix) a 5) Orange is the new black (Netflix).</p><p style="text-align:center;"> <em> <br> <img class="imgMaxWidth" src="/Blog/PublishingImages/Clanky/2020/stream-hrozby.png" alt="" style="margin:5px;width:650px;" />Počet unikátních uživatelů, kteří se setkali s různými hrozbami obsahujícími jména oblíbených streamovacích platforem</em></p><p>Do styku se škodlivými soubory obsahujícími název jednoho z těchto pěti pořadů celkem přišlo 4 502 uživatelů bezpečnostních programů Kaspersky. Celkově pak došlo k 18 947 pokusům o infekci. Nejvíce jich pocházelo ze škodlivých souborů, které obsahovaly název The Mandalorian – pirátské kopie tohoto oblíbeného seriálu s tématikou hvězdných válek stály za 5 855 pokusy o infekci, s nimiž se setkalo 1 614 uživatelů.</p><p>V případě platforem i původních pořadů hackeři nejčastěji používali velmi nebezpečné trojské koně. Díky nim mohou mazat nebo blokovat data na napadeném počítači, nebo ho zcela zablokovat. Některé trojské koně, které odborníci analyzovali, byly tzv. Spy trojani – obzvláště nebezpečné soubory, které sledují aktivitu uživatele. Jejich prostřednictvím se kyberzločinci mohou dostat k osobním souborů, fotografiím, přihlašovacím údajům nebo heslům.</p><p>„Streamovacím platformám výrazně stouply počty diváků a předplatitelů i navzdory tomu, že se značná část uživatelů snaží hledat alternativní způsoby přístupu ke sledování jejich obsahu. Neplacením předplatného se ale krom jiného vystavují daleko vyššímu riziku nebezpečí ze strany hackerů. Proto je z hlediska kybernetické bezpečnosti vždy nejlepší sledovat pořady prostřednictvím oficiálních zdrojů,“ nabádá Anton Ivanov, malwarový analytik ze společnosti Kaspersky.</p><h3>Aby se uživatelé vyvarovali nebezpečí spojeného se sledováním streamovacích služeb, doporučují odborníci z Kaspersky následující kroky:</h3><ul><li>Pokud je to možné, přistupujte ke streamovacím platformám pouze prostřednictvím svého vlastního placeného předplatného na oficiálních stránkách nebo aplikacích. </li><li>Nestahujte si žádné neoficiální verze těchto platforem. </li><li>U svých online účtů používejte jedinečná a silná hesla. </li><li>Na svých digitálních zařízeních používejte<a href="https://www.aec.cz/cz/av"> účinná bezpečnostní řešení</a>, která vás ochrání před širokým spektrem hrozeb.</li></ul> <br> <br>0
Kritická zranitelnost SIGRed ohrožuje organizace po celém světě, hrozí lavinový efekthttps://www.antivirus.cz/Blog/Stranky/kriticka-zranitelnost-sigred-ohrozuje-organizace-po-celem-svete-hrozi-lavinovy-efekt.aspxKritická zranitelnost SIGRed ohrožuje organizace po celém světě, hrozí lavinový efekt<ul><li> <strong style="color:#6773b6;">Microsoft označil tuto zranitelnost nejvyšším bezpečnostním rizikem (CVSS 10.0). </strong></li><li> <strong style="color:#6773b6;">Jediné zneužití může způsobit řetězovou reakci a nekontrolované šíření útoků z jednoho počítače na druhý. </strong></li><li> <strong style="color:#6773b6;">Check Point důrazně doporučuje všem organizacím okamžitě implementovat novou záplatu.</strong></li></ul><p> <br> <strong>Co kdyby hackeři mohli jednoduše proniknout do podnikových sítí, zachytit a manipulovat e-maily uživatelů i síťový provoz, vyřadit služby nebo krást přihlašovací údaje? Co kdyby mohli získat kontrolu nad podnikovou sítí víceméně libovolné organizace?</strong></p><p>Bohužel to není jen teoretická otázka. Výzkumný tým kyberbezpečnostní společnosti Check Point objevil kritickou zranitelnost SIGRed, která útočníkům umožňuje zneužít Windows DNS servery, tedy základní součást jakéhokoli síťového prostředí systému Windows. Microsoft dokonce kritickou zranitelnost označil jako zranitelnost s nejvyšším rizikem (CVSS 10.0) a vydal záplatu, kterou Check Point důrazně doporučuje okamžitě implementovat všem organizacím, aby se zabránilo jejímu dalšímu zneužití. Ohrožené jsou všechny organizace, které používají Windows Server verze 2003 až 2019.</p><h2>Proč je tato zranitelnost tak kritická?</h2><p>DNS můžeme nazvat „telefonním seznamem internetu“. Jména webových stránek, která všichni používáme a jsou nám srozumitelná a dobře zapamatovatelná, převádí do řeči čísel, která je zase srozumitelná počítačům při hledání webů nebo odesílání e-mailů. Tyto servery jsou prakticky v každé organizaci a pokud dojde k jejich zneužití, hacker může získat práva správce domény a zachytávat a manipulovat e-maily uživatelů a síťový provoz, vyřadit služby, krást přihlašovací údaje uživatelů a podobně. Jednoduše můžeme říci, že by hacker v takovém případě mohl získat úplnou kontrolu nad celým IT organizace.</p><p>Aby došlo ke zneužití zranitelnosti SIGRed, stačí navíc útočníkovi jakkoli navázat komunikaci s Windows DNS serverem, ať už přímým připojením do podnikové sítě, přes Wi-Fi nebo zneužitím přes webový prohlížeč.</p><p>Jak nebezpečný je problém s DNS manipulací, dokazuje i fakt, že v roce 2019 vydalo americké ministerstvo pro vnitřní bezpečnost nouzovou směrnici, která nařídila všem americkým federálním civilním agenturám zabezpečit přihlašovací údaje pro záznamy spojené s internetovými doménami. Stalo se tak v reakci na mezinárodní útočnou kampaň zaměřenou právě na DNS. Útočníci zneužívali DNS servery, a byli tak schopni krást přihlašovací údaje například k e-mailům vládních a soukromých subjektů na Blízkém východě, veškerý e-mailový a VPN provoz byl přesměrován na internetové adresy ovládané útočníky.</p><p>Check Point o zranitelnosti informoval společnost Microsoft 19. května 2020. Microsoft zranitelnost označil jako zranitelnost s nejvyšším rizikem (CVSS: 10.0) a 14. července 2020 vydal záplatu CVE-2020-1350.</p><p>Zneužití zranitelnosti na jednom systému může vést k řetězové reakci, která umožní šíření útoků na další zranitelné počítače, aniž by „lavina“ vyžadovala jakoukoli lidskou interakci. Jediný kompromitovaný počítač tak může spustit útok, který se během pár minut rozšíří po celé síti napadené organizace.</p><p>Check Point důrazně žádá uživatele, aby opravili své postižené Windows DNS servery a zabránili zneužití této zranitelnosti. Check Point se domnívá, že existuje vysoká pravděpodobnost zneužití.</p><p>„Narušení bezpečnosti DNS serveru je velmi vážná věc. Většinou je útočník krůček od proniknutí do celé organizace. Podobných typů zranitelností existuje jen pár. Každá organizace, velká nebo malá, soukromá nebo vládní, používající infrastrukturu postavenou na technologii Microsoft, je nyní vystavena velkému bezpečnostnímu riziku a je nutné okamžitě implementovat novou záplatu, jinak hrozí narušení bezpečnosti celé podnikové sítě. Zranitelnost je v kódu Microsoftu už více než 17 let, takže je možné, že ji odhalili i kyberzločinci,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point. „Naše analýza ukazuje, že bez ohledu na to, jak bezpečně si organizace připadají, stále existují nové a nové bezpečnostní hrozby. Zranitelnosti SIGRed by organizace měly věnovat maximální pozornost, není to jen další obyčejná chyba.“</p><p>Produkty společnosti Check Point chrání proti této i dalším kybernetickým hrozbám.</p><p>Více informací najdete v analýze výzkumného týmu Check Point Research:<br><a href="https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/" target="_blank">https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/</a></p><p>nebo na blogu kyberbezpečnostní společnosti Check Point:<br><a href="https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/" target="_blank">https://blog.checkpoint.com/2020/07/14/sigred-this-is-not-just-another-vulnerability-patch-now-to-stop-the-next-cyber-pandemic/</a></p>0
Firmy používající EDR detekují kyberhrozby v rámci hodinhttps://www.antivirus.cz/Blog/Stranky/firmy-pouzivajici-edr-detekuji-kyberhrozby-v-ramci-hodin.aspxFirmy používající EDR detekují kyberhrozby v rámci hodin<p><strong>Více než čtvrtina (28 %) firem, které používají řešení <a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/Endpoint-Detection-and-Response.aspx">Endpoint Detection and Response (EDR)</a>, dokáže detekovat kyberútoky v rámci několika málo hodin, nebo okamžitě po incidentu. Stejného výsledku dosáhlo jen 19 % společností, které EDR neimplementovaly. Tato a další zjištění přinesl průzkum společnosti Kaspersky IT Security Risks Survey. </strong></p><p>Včasné odhalení kybernetického incidentu je klíčové pro minimalizaci jeho následků. Čím déle se mohou kyberzločinci pohybovat ve firemní síti bez povšimnutí, tím více údajů mohou shromáždit a dostat se i k nejcennějším firemním datům. Zkrácení tohoto času dává firmám šanci zablokovat kybernetický útok dříve, než způsobí velké škody.</p><p>V průzkumu, jehož respondenty byli manažeři s rozhodovací pravomocí v oblasti IT, a který si nechala vypracovat společnost Kaspersky v roce 2019, odpovídali zástupci 2 961 firem z celého světa na otázku – jak dlouho vaší firmě trvalo, než jste objevili kybernetický útok, kterému jste čelili v průběhu posledních 12 měsíců. Podrobná analýza odpovědí odhalila silný vztah mezi používáním EDR řešení a dobou potřebnou pro detekci incidentu.<br> </p><p style="text-align:center;"><img src="/Blog/PublishingImages/Clanky/2020/doba-reakce-na-kyberneticky-utok.png" alt="" style="margin:5px;width:650px;" /><br><em>Jak dlouho trvalo vaší firmě, než jste objevili kybernetický útok?</em></p><p>Ze společností, které používají EDR řešení, jich 28 % potvrdilo, že jim detekování kyberútoku trvalo několik hodin nebo méně. 14 % z nich dokonce útok odhalilo okamžitě po jeho zahájení, což je o pět procentních bodů více v porovnání s průměrem. Zbylých 14 % odhalilo útok během několika hodin, totéž uvedlo 10 % ostatních respondentů. Pouze 8 % respondentů uvedlo, že jim trvalo několik měsíců, než zjistili, že jsou napadeni.</p><p>Největší počet respondentů však uvedl, že jim detekce útoku trvala několik dní, a to bez ohledu na to, zda používají EDR nebo ne.</p><p>„EDR řešení poskytují vyšší úroveň detekce a viditelnosti napříč koncovou infrastrukturou a usnadňují efektivní analýzu příčin, vyhledávání hrozeb a rychlou reakci na incidenty. EDR zároveň automatizuje rutinní úkoly, které by jinak museli analytici při detekci a zpracovávání dat dělat ručně. Ze statistik však vyplývá, že u některých respondentů nepomáhají EDR zkrátit čas potřebný pro odhalení útoku. Problém může být v absenci odborníků na straně firem, kteří by varování a podezřelé aktivity správně a efektivně vyhodnotili,“ komentuje Jana Ševčenková, odbornice ze společnosti Kaspersky.</p>0


Coalition Against Stalkerware

AEC Penetrační testy

Petya ransomware


No More Ransom 

Gooligan

Malware as a Service