Antivirus Blog
blog o bezpečnosti

 

 

Hacknutý Facebookhttps://www.antivirus.cz/Blog/Stranky/hacknuty-facebook.aspxHacknutý Facebook<p>V pátek 28. září Facebook oznámil bezpečnostní incident a odhlásil 90 milionů lidí z jejich účtů. Možná i vy jste byli mezi nimi a museli pracně vzpomínat na své heslo. S největší pravděpodobností jste ovšem tento incident zaznamenali i v případě, že tomu tak nebylo, neboť o hacknutém Facebooku se psalo a stále píše dost. Jak to probíhalo, o co se jednalo, a máte se bát?</p><h2>Průběh</h2><p>V neděli 16. září si technici společnosti na monitoringu všimli podezřelého nárůstu aktivity uživatelů a začali se touto anomálií zabývat. V úterý 25. září pak zjistili, že se jedná o útok na aktivní relace uživatelů pomocí dosud neznámé zranitelnosti. Ve středu informovali příslušné úřady, jak GDPR přikazuje, ve čtvrtek opravili danou zranitelnost a začali odhlašovat ovlivněné i potencionálně ovlivněné uživatele. V pátek pak vydali oficiální vyhlášení na svých stránkách. Dle facebooku se útok dotkl 50 milionů účtů a dalších 40 milionů pak bylo odhlášeno preventivně, neboť se nedalo vyloučit, že se také staly obětmi. </p><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2018/aec-facebook-hacked.jpg" alt="" style="margin:5px;" /> </p> <h2>Co se stalo</h2><p>Během útoku byly ukradeny pouze identifikátory aktuálních relací, ne uživatelská hesla. To je důvod, proč byly napadené účty odhlášeny, neboť při odhlášení se tyto identifikátory zneplatní a již není možnost je využít pro přístup k danému účtu. Zároveň se bez znalosti hesla nedají obnovit a napadené účty už by měly být nyní již v bezpečí. Stejně tak, pokud jste nebyli odhlášeni a chcete si být jisti vaší bezpečností, stačí se odhlásit a znovu přihlásit na každém zařízení.  Prověřit nedávnou aktivitu na svém účtu a zjistit, zda neproběhlo podezřelé přihlášení, můžete přes Nastavení a „Zabezpečení a přihlašování“. V okně „Kde jste přihlášeni“ uvidíte aktivitu na účtu.</p><p>Kolik soukromých informací stihli útočníci zcizit a jak s nimi naloží dál, to zůstává otázkou. Na základě dosavadního vyšetřování byly z účtů údajně stahovány pouze základní informace o profilu, jako jméno, místo bydliště a podobné, nedotkli se však zveřejněných příspěvků, či soukromých zpráv a účty nebyly zneužity aktivním způsobem (například přidáváním příspěvků).</p><p>Ačkoli údajně méně než 10% zasažených uživatelů bylo z Evropské Unie, může být tento incident vyhodnocen jako porušení obecného nařízení o ochraně osobních údajů (GDPR). Vzhledem k tomu, že ústředí pro Evropu má Facebook v Irsku, zabývá se případem aktuálně Ireland’s Data Protection Commission (Irská komise pro ochranu údajů). V tom nejhorším případě hrozí Facebooku pokuta až 1.6 mld $. </p><h2>Jak dlouho to trvalo</h2><p>Jak se dá z oficiálních prohlášení odvodit, útok byl detekován již 16. září a až ve čtvrtek 27. září byla zranitelnost opravena. Aktivní masivní útok tedy mohl trvat i více než 11 dní. Nicméně toto je útok, který byl detekován, neboť ovlivnil mnoho uživatelských účtů. Všechny tři zranitelnosti, jejichž kombinace vedla k možnosti zcizení relace, byly na Facebooku přítomné již od července roku 2017. Zůstaly tedy nepovšimnuty „hodnými hackery“ více než rok a mohly být po celou tuto dobu zneužívány v menším měřítku.</p><h2>Oprava</h2><p>Facebook tvrdí, že již ve čtvrtek 27. září, tedy ještě před samotným ohlášením incidentu, chybu opravil. Pravdou je, že již není možné útok provést, nicméně slovo „opravil“ je poněkud přehnané. Uživatelskou relaci bylo možné ukrást zřetězením tří zranitelností, přičemž prvním krokem bylo využití funkce „View as“ na vlastním profilu, v češtině „Zobrazit jako“, která umožňovala zkontrolovat, jak se váš profil zobrazuje jiným uživatelům. Oprava chyby pak spočívala v dočasném odstranění této funkcionality; na svém profilu ji aktuálně nenajdete. Předpokládáme však, že po důkladném prošetření a opravě bude do profilů opět přidána.</p><h2>Technické detaily</h2><p>Pro ty, které to zajímá, přidáváme i technické detaily útoku, respektive popis tří zranitelností, které dohromady vedly k možnosti zcizit relaci. Zjednodušený popis je převzat přímo z oficiálního vyjádření Facebooku:</p><h3>Zobrazit jako</h3><p>Tlačítko „zobrazit jako“ umožňovalo zobrazit svůj profil z pohledu jiného uživatele. Prohlížení profilu v tomto módu by mělo být pouze pasivní, nicméně bug v jedné z funkcí umožňoval nahrát v tomto módu video. Tou funkcí byla možnost popřát vám všechno nejlepší k narozeninám, to okýnko, které vám vždy připomíná, že někdo z přátel slaví narozeniny a měli byste mu popřát vše nejlepší. V náhledu by údajně nemělo být, nicméně zůstávalo zobrazeno.</p><h3>Video uploader</h3><p>Nová verze video uploaderu obsahovala bug, který při uploadu vygeneroval přístupový token se stejnými právy jako mobilní aplikace a vložil ho do html kódu. Právě tato chyba je ta, která byla v kódu přítomná od července roku 2017. </p><h3>Zobrazit jako a video upload</h3><p>V momentě, kdy byl upload videa přes přání k narozeninám využit v módu „zobrazit jako“, vygeneroval při nahrání videa platný přístupový token. Ovšem platný ne pro váš uživatelský účet, nýbrž pro účet, který jste vybrali pro „zobrazit jako“.</p><p>Tímto způsobem bylo možné získat přístup k účtům vašich přátel a z nich pak k účtům jejich přátel a tak dále. Jak to tak často bývá, ty nejzávažnější chyby nejsou technicky náročné a k jejich nalezení a zneužití není potřeba velká technická znalost. Spíše všímavost, postřeh a v mnoha případech také štěstí. <br></p><div align="right"><table style="width:320px;"><tbody><tr><td align="center" valign="middle" style="width:72px;"> <img alt="Adéla Haníková" src="/Blog/PublishingImages/AEC-lidi/adela-hanikova-2016-02.jpg" style="margin:5px;width:75px;" /> </td><td width="250" align="left" valign="top"><p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Adéla Haníková</span></strong><br>Security Specialist</p><p> <strong style="color:#6773b6;"><span style="color:#6773b6;">AEC a.s.</span></strong><br>Security Assessment Division</p></td></tr></tbody></table></div>1
IT bezpečnost třetiny malých firem mají na starosti nezkušení zaměstnancihttps://www.antivirus.cz/Blog/Stranky/it-bezpecnost-tretiny-malych-firem-maji-na-starosti-nezkuseni-zamestnanci.aspxIT bezpečnost třetiny malých firem mají na starosti nezkušení zaměstnanci<p>Malé firmy s maximálně 50 zaměstnanci jsou pro kyberzločince velmi lákavý cíl. Zpracovávají totiž data svých zákazníků i zaměstnanců, která jsou pro hackery velmi zajímavým zbožím. Mohou pro ně být bohatým zdrojem financí, pokud se k nim dostanou a prodají na černém trhu, nebo využijí k vydírání prostřednictvím ransomwaru. Nová zpráva společnosti Kaspersky Lab vedle neustálého ohrožení malých firem kybernetickými hrozbami identifikovala ještě jedno riziko. Ředitelé společností s malým počtem zaměstnanců a omezenými rozpočty často svěřují kyberbezpečnost do rukou svých kolegů, kteří s ní nemají žádné zkušenosti. Činí tak až třetina malých firem. </p><p>Odborníci z Kaspersky Lab dlouhodobě monitorují hackerské aktivity zacílené na malé firmy a v nejnovějším reportu shrnují svá zjištění týkající se dopadů ransomwaru na jejich podnikání. Provedená analýza naznačuje, že pokud se společnosti stanou obětí ransomwaru jednou, útoky tímto vyděračským softwarem se budou neustále opakovat. Z malých firem, které se v průběhu posledních 12 měsíců staly obětí ransomwaru, se velká část následně potýkala s dalšími útoky. Dvě až tři infekce během jednoho roku tak zažilo až 37 % z nich.</p><p>Tato skutečnost může mít na podniky devastující efekt, protože odstávka výroby nebo znepřístupnění důležitých složek může vést k velkým finančním ztrátám nebo poškození reputace. Z dat Kaspersky Lab, která dostala od společností, které se staly obětí ransomwaru, vyplynulo, že jich více než čtvrtina (27 %) přišla o přístup k důležitým složkám na několik týdnů. </p><p>„Ransomware patří mezi nejvážnější hrozby současnosti, kterým musejí firmy čelit. Úspěšné pokusy mají na firmy značný negativní dopad bez ohledu na jejich velikost. Malé firmy jsou ale vůči těmto útokům náchylnější, protože často ve svých řadách nemají specialistu, který by se po odborné stránce postaral o kybernetické zabezpečení firemních počítačů a systémů,“ upozorňuje Sergey Martsynkyan, vedoucí B2B produktového marketingu ve společnosti Kaspersky Lab. </p><p>Malé firmy se mohou o svoji kybernetickou bezpečnost postarat i v případě, že nemají IT zaměstnance, kteří by se této oblasti věnovali. Nabízí se speciální řešení vyvinutá s ohledem na potřeby malých firem. Toto řešení pomáhá firmám následujícím způsobem:</p><ul><li>Snadné použití. Jakýkoliv zaměstnanec může řešení nainstalovat a ovládat, a to i přes to, že nemá odborné IT bezpečnostní znalosti. </li><li>Ovládání na dálku. Uživatelé mohou monitorovat a spravovat zabezpečení odkudkoliv díky online konzoli. To je ideální především pro firmy, které nemají jedno stálé sídlo, anebo které používají spoustu zařízení. </li><li>Ochrana počítačů i serverů. Funkce System Watcher, která je dostupná pro Windowsové serverové složky i počítače, chrání citlivá firemní data. Je například schopná zablokovat exploity nebo potlačit aktivity škodlivých aplikací. </li><li>Ochrana mobilních zařízení. Řešení Kaspersky Small Office Security ochrání zaměstnance i když pracují z domova nebo ze zahraničí. Řešení také nabízí možnost zaměření mobilu nebo tabletu, pokud by došlo k jeho odcizení nebo ztrátě. Pokud se zařízení dostane do nesprávných rukou, je možné k němu zablokovat přístup nebo dokonce na dálku vymazat jeho obsah.</li></ul>0
Zero-day exploit v OS Microsoft Windowshttps://www.antivirus.cz/Blog/Stranky/zero-day-exploit-v-os-microsoft-windows.aspxZero-day exploit v OS Microsoft Windows<p>Technologie Automatic Exploit Prevention společnosti Kaspersky Lab, která je součástí téměř každého jejího produktu, detekovala sérii cílených kybernetických útoků. Ty se prostřednictvím nového druhu malwaru snažily zneužít dosud neznámé zero-day zranitelnosti v operačním systému Microsoft Windows. Útočníci chtěli tímto způsobem získat trvalý přístup k systémům uživatelů na Blízkém východě. Firma Microsoft tuto zranitelnost včera zazáplatovala.</p><p>Útok prostřednictvím zero-day zranitelnosti představuje jednu z nejnebezpečnějších kybernetických hrozeb. Jeho podstatou je totiž zneužití zranitelnosti, která dosud nebyla objevena, a tudíž ani opravena. Pokud si jí jako první všimnou kyberzločinci, vytvoří exploit, který jim obrazně řečeno otevře celý napadený systém. Tento scénář se často opakuje u hackerských skupin využívajících pokročilé trvalé hrozby (APT) a byl použit i v tomto případě. </p><p>Objevený exploit v Microsoft Windows se do systému oběti dostal prostřednictvím backdooru v PowerShellu. Ten po své iniciaci získal potřebná oprávnění k nainstalování v systému oběti. Kód malwaru byl velmi kvalitní a napsán tak, aby umožnil zneužití co možná největšího množství zařízení s Windows.</p><p>V průběhu letošního léta zaútočili kyberzločinci prostřednictvím této hrozby na necelý tucet různých organizací na Blízkém východě. Odborníci mají podezření, že původci těchto útoků mohou mít souvislost se skupinou FruityArmor. Napovídá tomu PowerShell backdoor, který byl v minulosti prokazatelně použit právě touto skupinou. Okamžitě po zjištění této hrozby o ní Kaspersky Lab informovala Microsoft.</p><p>„V případě zero-day zranitelností je velmi důležité aktivně monitorovat současný vývoj kybernetických hrozeb. Naše nepřetržitá analýza kyberbezpečnostního prostředí nám umožňuje nejen odhalovat nové útoky a předpokládat možné oběti různých kyberzločinných skupin, ale také poznáváme, jaké technologie tito zločinci používají. Plodem této práce jsou detekční technologie, které nám umožňují předcházet útokům, tak jako se stalo v tomto případě,“ říká Anton Ivanov, bezpečnostní odborník z Kaspersky Lab.</p><p>Aby uživatelé předcházeli zero-day exploitům, doporučují odborníci z Kaspersky Lab následující opatření:</p><ul><li>Vyvarujte se softwarům, které jsou známé pro častý výskyt zranitelností, nebo které byly použity v nedávných útocích. </li><li>Ujistěte se, že software který používáte je pravidelně aktualizován. Bezpečnostní řešení s možností „vyhodnocení zranitelností“ a Patch managementem vám mohou pomoci tyto procesy zautomatizovat.</li></ul><p> <br>Více informací se dozvíte na <a href="https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/" target="_blank">blogu Securelist.com</a>.<br></p>0
Odborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turlahttps://www.antivirus.cz/Blog/Stranky/odbornici-z-kaspersky-lab-zmapovali-aktivity-ruskojazycne-hackerske-skupiny-turla.aspxOdborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turla<p>Odborníci z Kaspersky Lab objevili spojitost mezi dvěma ruskojazyčnými hackerskými skupinami Turla (známé také jako Snake nebo Uroburos) a Sofacy (uváděné také jako Fancy Bear a APT28). Na základě dlouhodobého monitoringu jejich aktivit si v nejnovější verzi malwaru KopiLuwak, vyvinutého skupinou Turla, všimli řady podobností s kódem použitým před měsícem skupinou Sofacy v jejich kampani Zebrocy. Podobné části kódu sloužily k šíření zákeřných aktivit. Odborníci si také všimli nápadně se shodujících cílů hackerů – jejich oběti z řad vládních a armádních subjektů pocházejí převážně ze střední Asie.</p><p>Svá zjištění minulý čtvrtek zveřejnili odborníci z týmu Kaspersky Lab GReAT v souhrnné zprávě, která se věnuje aktivitám kyberzločinné skupiny Turla. </p><p>KopiLuwak (název odkazuje ke vzácnému druhu kávy) byl poprvé objeven v listopadu 2016. Jednalo se o dokumenty, které obsahovaly malware a povolená makra umožňující spuštění nového škodlivého Javascriptového kódu, který byl zamaskovaný a určený pro systémovou nebo síťovou špionáž. Novou variantu malwaru KopiLuwak zaznamenali odborníci v polovině tohoto roku, kdy se objevily nové oběti v Sýrii a Afghánistánu. Hackeři ze skupiny Turla tentokrát použili novou spear-phishingovou metodu šíření malwaru využívající Windowsové složky s koncovkou .LNK. Bezpečnostní analýza odhalila, že soubory .LNK obsahovaly PowerShell, který měl dekódovat a iniciovat zhoubný obsah malwaru KopiLuwak. Právě tento PowerShall byl téměř identický s tím, který byl o měsíc dříve použit v kampani Zebrocy.</p><p>Analytici dále zjistili, že se obě skupiny zajímají o podobné cíle. Mezi ně patří význační političtí činitelé, včetně vládních výzkumných a bezpečnostních subjektů, diplomatické mise nebo vojenské aktivity soustředěné ve střední Asii. </p><p>Ve své zprávě odborníci poskytují bližší informace o praktikách skupiny Turla, které podporují jejich hypotézu, že hackeři využili Wi-Fi sítě k šíření svého malwaru Mosquito. Dále objevili nové verze vyspělé kyberšpionážní sítě Carbon, které hackeři obvykle aplikovali pouze na vybrané cíle, o něž měli obzvláštní zájem. Na základě svých analýz předpokládají, že hackeři budou tento nástroj i nadále přetvářet a využívat i v roce 2019. V tomto roce kyberzločinci ze skupiny Turla útočili na cíle na Blízkém Východě, v severní Africe, západní i východní Evropě, střední a jižní Asii i v Americe.</p><p>„Turla je jedna z nejstarších, nejpokročilejších a velmi nebezpečných hackerských skupin. Naše analýza ukazuje, že se snaží neustále vyvíjet a vylepšovat své metody a nástroje. Snaží se ve vší tichosti útočit na cíle převážně na východě. Proto by se před touto ruskojazyčnou skupinou měly mít na pozoru především společnosti z této části světa,“ říká Kurt Baumgartner, člen kyberbezpečnostního týmu GReAT společnosti Kaspersky Lab.</p><h3>Aby se firmy nestaly obětí cílených hackerských útoků, měly by se řídit následujícími doporučeními:</h3><ul><li>Používat účinná firemní bezpečnostní řešení, která zahrnují technologie chránicí před cílenými útoky. Například řešení Kaspersky Threat Management and Defense využívá technologie analyzující síťové anomálie, které v síti zaznamenají a zastaví cílené útoky. Bezpečnostním týmům také poskytuje plnou viditelnost síťových komponent napříč celou infrastrukturou a umožňuje automatickou reakci na napadení. </li><li>Firemním IT bezpečnostním odborníkům zajistěte přístup k nejnovějším informacím o vývoji kybernetických hrozeb. I nástroje jako jsou indikátory napadení (IOC), detekční pravidla YARA nebo zprávy o aktuálních hrozbách zlepší ochranu podniku před aktivitami hackerů. </li><li>Ujistěte se, že jsou dobře nastavené celofiremní procesy aktualizací systémů a softwarů. </li><li>Pokud zaznamenáte indikátory cíleného útoku, zvažte pomoc třetí strany, která vám umožní proaktivně detekovat pokročilé hrozby a zkrátí dobu nutnou na reakci.</li></ul><p><br>Detailnější informace o aktivitách hackerské skupiny Turla se dozvíte na <a href="https://securelist.com/shedding-skin-turlas-fresh-faces/88069/" target="_blank">blogu Securelist.com</a>.<br></p>0
Čína využila mikročipy ke špionáži amerických společnostíhttps://www.antivirus.cz/Blog/Stranky/cina-vyuzila-mikrocipy-ke-spionazi-americkych-spolecnosti.aspxČína využila mikročipy ke špionáži amerických společností<p>​Bloomberg zveřejnil článek “<a href="https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies" target="_blank">The Big Hack: How China Used a Tiny Chip to infiltrate America’s Top Companies</a>", který podrobně popisuje útok na americké servery pomocí infiltrace dodavatelského řetězce výrobců hardwaru vložením špionážního čipu do základní desky používané v tisících počítačích v amerických organizacích, od Amazonu po Apple. Čipy prý mohly komunikovat s operátory a stahovat škodlivý kód do infikovaných serverových operačních systémů. Vládním agenturám a technologickým společnostem trvalo více než tři roky tento útok odhalit a jedinou možností nápravy je odstranění infikovaných systémů.</p><p>Ovšem příběh Bloombergu odmítlo několik zúčastněných stran, viz <a href="https://threatpost.com/apple-amazon-strongly-refute-server-infiltration-report/137950/" target="_blank">https://threatpost.com/apple-amazon-strongly-refute-server-infiltration-report/137950/</a>.</p><p>"Popsaná kauza je typickým příkladem kyberútoku 5. generace - masivní, sofistikovaný, multivektorový útok (hardware, internet, OS - všechny vektory zaměřené na útok na data). Útok znovu potvrzuje, že hrozby jsou daleko nebezpečnější a vyvinutější, než si mnoho lidí vůbec uvědomuje. Podobným příkladem byla i kauza "Faxploit" s útokem na podnikové sítě pomocí faxových zranitelností," říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. </p><p>"Podobným útokům je ale možné předcházet pomocí komplexního zabezpečení perimetru v reálném čase a dobrou spoluprací mezi vládními agenturami a kybernetickým průmyslem. Takové řešení může zkrátit dobu reakce z let, jak je popsáno v příběhu Bloombergu, na minuty nebo dokonce sekundy, a může poskytnout skutečnou a účinnou prevenci. Check Point je v tomto směru průkopníkem a taková řešení nabízí," dodává Šafář.</p><p>Tento incident je znovu příkladem bezpečnostního rizika vyplývajícího z nárůstu využití digitálních platforem, zejména cloudových služeb. IaaS cloudové služby postrádají mechanismy komplexního zabezpečení perimetru pro ochranu kritických dat.</p>0
Nástroje pro vzdálenou správu mohou zneužít kyberzločincihttps://www.antivirus.cz/Blog/Stranky/nastroje-pro-vzdalenou-spravu-mohou-zneuzit-kyberzlocinci.aspxNástroje pro vzdálenou správu mohou zneužít kyberzločinci<p>Nástroje pro vzdálenou správu představují pro průmyslové sítě vážné riziko. V rámci svých průmyslových počítačových systémů (ICS) je má nainstalovaných bezmála třetina (31,6 %) firem. Ve většině případů zůstávají tyto nástroje bez většího využití nepovšimnuté. Z pravidla ale jen do té doby, než IT bezpečnostní odborníci zjistí, že jejich prostřednictvím hackeři nainstalovali ransomware nebo software pro těžbu kryptoměn. V řadě případů RAT (remote admonistration tools) nástroje umožnily hackerům přístup k citlivým firemním informacím nebo dokonce financím. Této problematice se ve své čerstvé analýze věnovali odborníci ze společnosti Kaspersky Lab. </p><p>Nástroje pro vzdálenou správu jsou legitimní softwarová řešení, která umožňují třetím stranám získat vzdálený přístup do firemních počítačů. Většinou je využívají zaměstnanci průmyslových podniků k tomu, aby šetřili prostředky a čas. Mnohdy je ale zneužívají i kyberzločinci, kteří jejich prostřednictvím získávají tajný přístup do napadených počítačů.</p><p>RAT nástroje jsou podle reportu uveřejněného speciálním týmem Kaspersky Lab ICS CERT velmi rozšířené napříč všemi odvětvími. Nainstalované jsou na takřka třetině ICS počítačů, které chrání produkty Kaspersky Lab. Ještě zajímavější je zjištění, že každý pátý RAT nástroj je automaticky součástí ICS softwaru. Kvůli tomu jsou velmi těžko detekovatelné systémovými administrátory, a tudíž i velmi lákavé pro kyberzločince. </p><h3>Podle analýzy Kaspersky Lab využívají kyberzločinci nástroje pro vzdálenou správu především k následujícím dvěma zákeřným aktivitám:</h3><ul><li>Získání neoprávněného přístupu do firemní sítě. </li><li>Infikování sítě malwarem, který umožní průmyslovou špionáž, sabotáž nebo zablokování počítačů ransomwarem a případné finanční zisky. Prostřednictvím malwaru a napadené sítě mohou také získat <a href="https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/" target="_blank">přímý přístup</a> k firemním financím.</li></ul><p> <br>Nejnebezpečnější je na RAT nástrojích jejich schopnost získat vysoká administrátorská oprávnění v rámci napadených systémů. V praxi to může znamenat, že jejich prostřednictvím mohou hackeři získat neomezený přístup ke složkám a ovládacím prvkům v celé infrastruktuře průmyslového podniku. Následky takové aktivity se pak často negativně projeví na finanční situaci podniku i na stabilitě výroby. Získání těchto oprávnění většinou předchází útoky hrubou silou, kdy se kyberzločinci snaží získat přístupové heslo zkoušením všech možných kombinací. I když jsou útoky hrubou silou nejoblíbenějším způsobem získání přístupu k RAT nástrojům, kyberzločinci také občas zneužívají skryté zranitelnosti v těchto softwarech.</p><p>„Spousta organizací podceňuje rizika spojená se softwary pro vzdálenou správu, i když jsou přítomné ve velké části systémů. V nedávné době jsme například zaznamenali útoky na firmu z automobilového odvětví, kde byl na jednom z počítačů nainstalován RAT software. Po dobu několika měsíců docházelo kvůli tomuto nástroji k opakovaným útokům různými variantami malwaru. V některých týdnech musela naše řešení blokovat až dva pokusy týdně. Kdyby tato firma nepoužívala naše řešení, mohla se potýkat s dalekosáhlými problémy. To ale neznamená, že by nyní všechny společnosti měly začít mazat RAT softwary ze svých systémů. Ve skutečnosti jsou to velmi užitečné aplikace, které šetří čas i peníze. Pokud je ale zaměstnanci využívají, měli by jim IT bezpečnostní administrátoři věnovat zvýšenou pozornost,“ komentuje Kirill Kruglov, bezpečnostní odborník v týmu ICS CERT společnosti Kaspersky Lab.</p><h3>Odborníci z Kaspersky Lab ICS CERT firmám doporučují tato opatření, aby minimalizovaly rizika spojená s nástroji pro vzdálenou správu:</h3><ul><li>Proveďte audit používaných aplikací a systémů pro vzdálenou správu napříč průmyslovou sítí. Odstraňte všechny RAT nástroje, které nevyužíváte. </li><li>Zjistěte, které nástroje pro vzdálenou správu jsou v síti jen proto, že byly součástí ICS softwaru. Pokud nejsou nutné pro průmyslové procesy firmy, zajistěte jejich odstranění. </li><li>Monitorujte a zaznamenávejte všechna přihlášení prostřednictvím těchto aplikací. Vzdálený přístup by měl být v základním nastavení zakázán a povolen pouze na základě žádosti (a pouze po omezenou dobu).</li></ul><p><br>Celou zprávu týmu ICS CERT společnosti Kaspersky Lab si přečtete na tomto <a href="https://ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics/" target="_blank">odkazu</a>.   <br></p>0
Doba asociální. Tři čtvrtiny lidí upřednostňují mobil před kontaktem s ostatnímihttps://www.antivirus.cz/Blog/Stranky/doba-asocialni-tri-ctvrtiny-lidi-uprednostnuji-mobil-pred-kontaktem-s-ostatnimi.aspxDoba asociální. Tři čtvrtiny lidí upřednostňují mobil před kontaktem s ostatními<p>​Tři čtvrtiny lidí raději předstírají „zaneprázdněnost“ na svém chytrém mobilu, než by se bavili s jinými. </p><p>Díky chytrému telefonu s internetem můžeme být neustále ve spojení s desítkami přátel. Pro spoustu lidí ale také mobil představuje nástroj, díky němuž se mohou v různých společenských situacích vyhnout kontaktu s ostatními. Nejnovější <a href="https://www.kaspersky.com/blog/stay-tuned-report/" target="_blank">průzkum</a> společnosti Kaspersky Lab tento aktuální trend lidského chování potvrdil – tři čtvrtiny lidí (75 %) se přiznaly, že používají svá zařízení k předstírání zaneprázdněnosti, když s někým nechtějí mluvit.</p><p>Představte si, že v baru čekáte na svého partnera. Všude okolo je plno lidí, popíjejí drinky a živě se baví. Co budete dělat vy? Zapředete hovor s někým, koho vidíte poprvé v životě? Nebo vytáhnete z kapsy mobil a budete projíždět různé stránky a sociální sítě do té doby, než přijde vaše druhá polovička? Je vám příjemnější konverzovat nebo jen navazovat oční kontakt s cizími lidmi, nebo raději hledíte do zářícího displeje?</p><p>Ve většině případů platí druhá situace. Daleko jednodušší, než navázat nezávaznou společenskou komunikaci je sáhnout po mobilu a předstírat zaneprázdněnost. Průzkum Kaspersky Lab zjistil, že 72 % lidí se takto ve společnosti chová v situacích, kdy neví, co dělat. Mobil ke svému rozptýlení používáme i ve chvílích, kdy se nesnažíme stranit kolektivu. 46 % lidí brouzdáním v mobilu každý den jednoduše zabíjí čas a 44 % slouží jako každodenní rozptýlení.</p><p>Po mobilu ovšem nesaháme pouze v případech, kdy cítíme potřebu rozptýlení, ale i v situacích, kdy musíme vyřešit určitý úkol, ale nechceme navazovat kontakt s ostatními lidmi. Typickou situací by mohlo být zeptání se kolemjdoucích na cestu nebo telefonické objednání taxi. V současnosti ale téměř třetina lidí (31 %) tyto záležitosti řeší prostřednictvím internetových stránek nebo aplikací. Je to pro ně snazší než mluvit s jinými lidmi. </p><p>I vzhledem k tomu, že nám chytrá zařízení pomáhají s každodenními problémy nebo sociálně nepříjemnými situacemi, jsme na jejich fungování čím dál závislejší. Pokud tedy přestanou z jakéhokoliv důvodu fungovat, může jejich absence způsobit až panické stavy. Třetina lidí (34 %) se proto například obává toho, že by přišli o zdroj zábavy, pokud by ztratili přístup ke svému chytrému zařízení. 12 % se dokonce obává, že nebudou schopni předstírat zaneprázdněnost, pokud se jejich zařízení porouchá. </p><p>„Používání chytrých zařízení má na nás daleko větší vliv, než bychom si mohli na první pohled myslet. Samozřejmostí se už stal internet v kapse, který nám pomáhá s každodenními starostmi – s vyřizováním pracovních e-mailů, nakupováním, vyhledáním dopravy nebo ubytování a podobně. Chytrá zařízení jsou ale pro řadu lidí důležitá i ve společenských situacích, kdy si nejsou jistí nebo neví, jak se chovat. Proto je velmi důležité, aby elektronika fungovala tak, jak má a byla neustále po ruce,“ komentuje Dmitry Aleshin, odborník ze společnosti Kaspersky Lab.</p><p> <img src="/Blog/PublishingImages/Clanky/2018/grafika-pripojeni.jpg" alt="" style="margin:5px;width:650px;" /> </p><p> <br> </p>0
Roste počet útoků bankovních trojanůhttps://www.antivirus.cz/Blog/Stranky/roste-pocet-utoku-bankovnich-trojanu.aspxRoste počet útoků bankovních trojanů<p>Check Point  zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo v srpnu k výraznému nárůstu útoků využívajících bankovní trojan Ramnit. Ramnit za několik posledních měsíců zdvojnásobil svůj celosvětový dopad v důsledku rozsáhlé kampaně, která ze strojů obětí dělá škodlivé proxy servery.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v srpnu jí patřila až 125. příčka, což je posun ještě o 5 míst z červencové 120. pozice. Přesto v České republice velmi výrazně útočil malware CoinHive těžící kryptoměnu Monero. Na prvním místě se v Indexu hrozeb nově umístila Etiopie, která zaznamenala výrazný posun z 59. příčky. Vůbec největší posun mezi nebezpečné země zaznamenal Pákistán, který se posunul o 71 míst na 26. pozici. Naopak Arménie se nejvýrazněji posunula mezi bezpečnější země, když klesla z 20. příčky na 85. pozici.</p><p>Během srpna se Ramnit posunul v Indexu hrozeb na 6. místo a stal se nejrozšířenějším bankovním trojanem. Celkově se použití bankovních trojanů od června více než zdvojnásobilo.</p><p>„Stejně jako před rokem i letos v létě kyberzločinci pod vidinou rychlých zisků častěji využívali k útokům bankovní trojany,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Hackeři si velmi dobře uvědomují, jaké útoky mají největší šanci na úspěch a cíleně používají bankovní trojany právě v letním období. Znovu se ukazuje, jak jsou hackeři rafinovaní při snaze získat peníze.“</p><p>„Pro ochranu před bankovními trojany a dalšími útoky je důležité, aby podniky používaly vícevrstvou kyberbezpečnostní strategii, která zajistí ochranu před známými škodlivými kódy i před zcela novými hrozbami,“ dodává Šafář.</p><p>CoinHive zůstává nejčastěji použitým malwarem k útokům na organizace, dopad měl po celém světě na 17 procent z nich. Dorkbot a Andromeda se v celosvětovém žebříčku umístily na druhém a třetím místě, oba škodlivé kódy měly dopad na 6 procent společností.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ CoinHive</strong> – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.<br><strong>2. ↑ Dorkbot</strong> - IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.<br><strong>3. ↑ Andromeda</strong> - Modulární bot používaný především jako backdoor pro šíření dalšího malwaru na infikovaných systémech, ale může být upraven pro vytvoření různých typů botnetů.</p><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v srpnu bankovní trojan Lokibot, následovaly škodlivé kódy Lotoor a Triada.</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Lokibot </strong>- Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.<br><strong>2. Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.<br><strong>3. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.</p><p>Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti a zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 47 % organizací. Druhá zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla dopad na 41 % organizací po celém světě. CVE-2017-5638 na třetím místě ovlivnila 36 % společností.</p><h2>Top 3 - zranitelnosti:</h2><p> <strong>1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269</strong>) - Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.<br><strong>2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)</strong> - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.<br><strong>3. ↑ D-Link DSL-2750B Remote Command Execution</strong> – V routerech D-Link DSL-2750B byla zjištěna zranitelnost umožňující vzdálené spuštění libovolného kódu na zranitelném zařízení.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval především malware CoinHive těžící kryptoměnu Monero, který měl ještě výrazně větší dopad, než byl celosvětový průměr. I na druhém a třetím místě nedošlo ke změně, jen oba škodlivé kódy ještě zvýšily dopad v ČR oproti červenci. Zároveň se do Top 10 vrátil Conficker, který v minulém roce dominoval, ale letos zatím kyberútočníci častěji preferují jiné nástroje.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – srpen 2018</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad ve světě</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">Coinhive</td><td class="ms-rteTable-default">CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.</td><td class="ms-rteTable-default">17,00 %</td><td class="ms-rteTable-default">29,05 %</td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td><td class="ms-rteTable-default">3,85 %</td><td class="ms-rteTable-default">10,47 %</td></tr><tr><td class="ms-rteTable-default">Dorkbot</td><td class="ms-rteTable-default">IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.</td><td class="ms-rteTable-default">6,20 %</td><td class="ms-rteTable-default">8,45 %</td></tr><tr><td class="ms-rteTable-default">Nivdort</td><td class="ms-rteTable-default">Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.</td><td class="ms-rteTable-default">2,98 %</td><td class="ms-rteTable-default">6,08 %</td></tr><tr><td class="ms-rteTable-default">Cridex</td><td class="ms-rteTable-default">Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích.</td><td class="ms-rteTable-default">1,80 %</td><td class="ms-rteTable-default">5,41 %</td></tr><tr><td class="ms-rteTable-default">Jsecoin</td><td class="ms-rteTable-default">JavaScript těžící kryptoměny, který lze vložit do webových stránek.</td><td class="ms-rteTable-default">4,49 %</td><td class="ms-rteTable-default">5,41 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,97 %</td><td class="ms-rteTable-default">4,73 %</td></tr><tr><td class="ms-rteTable-default">Cryptoloot</td><td class="ms-rteTable-default">Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.</td><td class="ms-rteTable-default">4,62 %</td><td class="ms-rteTable-default">4,05 %</td></tr><tr><td class="ms-rteTable-default">Ramnit</td><td class="ms-rteTable-default">Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor.</td><td class="ms-rteTable-default">4,12 %</td><td class="ms-rteTable-default">4,05 %</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td><td class="ms-rteTable-default">3,04 %</td><td class="ms-rteTable-default">3,72 %</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p><img src="/Blog/PublishingImages/Clanky/2018/180927_Check_Point_Threat_Map.jpg" alt="" style="margin:5px;width:650px;" /></p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>0
Hackeři používají USB flash disky k útokům těžebním softwaremhttps://www.antivirus.cz/Blog/Stranky/hackeri-pouzivaji-usb-flash-disky-k-utokum-tezebnim-softwarem.aspxHackeři používají USB flash disky k útokům těžebním softwarem<p>Nejúspěšnějšími roznašeči malwaru mezi navzájem nepropojenými počítači jsou dlouhodobě USB flash disky. Ty v poslední době stouply v oblibě u hackerů i jako prostředek pro šíření škodlivých programů, jejichž prostřednictvím v napadených počítačích mohou těžit kryptoměny. Ačkoliv se množství i různorodost útoků prostřednictvím těchto nástrojů zatím drží při zemi, rok od roku narůstá. Tato a další zjištění přináší přehled společnosti Kaspersky Lab zaměřený na hrozby USB přenosných zařízení pro rok 2018.</p><p>S USB paměťmi se setkáváme již bezmála dvě desetiletí. Za tu dobu se s nimi setkal snad každý, snadností svého použití si získaly dobrou pověst, naopak ale sklízí kritiku za nízkou bezpečnost uchovávaných dat. Stal se z nich oblíbený reklamní předmět a častý pomocník v pracovním i běžném životě. I proto jsou stále v hledáčku kyberzločinců, kteří je využívají ke svým zákeřným aktivitám. Z přehledu Kaspersky Lab vyplývá, že zločinci ve spojení s USB disky používají konzistentní arsenal hrozeb. Top 10 hrozbám přenášeným USB flash disky, jak je zaznamenal systém Kaspersky Security Network (KSN), vévodí od roku 2015 malware Windows LNK. V žebříčku se také objevuje velmi známý exploit z roku 2010 „zranitelnost Stuxnet“ nebo CVE-2018-2568 a nově se na první pozice začínají tlačit minery kryptoměn.</p><p>Podle dat z KSN je velmi rozšířeným minerem na přenosných discích trojský kůň Trojan.Win32.Miner.ays/Trojan.Win64.Miner.all, který je známý od roku 2014. Po úspěšném stažení těžebního programu do počítače se skrytě nainstaluje a spustí. Miningový software je schopný stahovat z internetu požadavky, které mu následně umožňují odesílat jakékoliv výsledky na server útočníka. Aktuální data ze sítě Kaspersky Lab ukazují, že některé infekce jsou i mnoho let staré. Útočníci tak jejich prostřednictvím mohou negativně ovlivňovat výkon počítačů i řadu let.</p><p>Počet detekcí 64 bitových verzí těchto minerů každý rok o zhruba šestinu narůstá. Mezi lety 2016 a 2017 stouply o 18,42 %; pro období mezi roky 2017 a 2018 odborníci očekávají nárůst o 16,42 %. I na základě těchto údajů lze hodnotit, že šíření minerů prostřednictvím USB flash disků je velmi efektivní. </p><p>Rozvojové trhy, kde se USB disky velmi často používají v obchodním styku, jsou nejzranitelnější k infekcím přenášeným těmito médii. Nejpostiženějšími oblastmi tak jsou Asie, Afrika a Jižní Amerika. Ojedinělé případy se ale objevují i v evropských zemích a Severní Americe.</p><p>Tento rok 21. srpna odborníci Kaspersky Lab informovali o novém bankovním malwaru <a href="https://securelist.com/dark-tequila-anejo/87528/" target="_blank">Dark Tequila</a>, k jehož šíření kyberzločinci také použili USB zařízení. Tato hrozba útočila na uživatele v Mexiku přinejmenším od roku 2013. Malé USB disky podle jiného alarmující zjištění dokáží vyřadit z provozu celé výrobní linky v průmyslových podnicích. V první polovině tohoto roku totiž  přispěly k šíření 8 % útoků na průmyslové řídicí systémy.</p><p>„I když už v současnosti nejsou USB disky tak efektivními přenašeči malwarových infekcí jako tomu bývalo ještě před pár lety, zůstávají podle našich dat i nadále významným hráčem. Nejen, že jsou stále běžnou součástí pracovních aktivit mnoha společností a institucí, ale pozornost hackerů přitahují i svými bezpečnostními nedostatky, které internetoví piráti snadno zneužívají. Existují ale jednoduché kroky, jak ochránit svá data a počítače před hrozbami spojenými s USB disky. Jedním z nich je používání zašifrovatelných USB flashek, k jejichž obsahu se hackeři dostanou jen velmi obtížně, nebo využívání bezpečnostních řešení, která zkontrolují nezávadnost jejich obsahu,“ doporučuje Denis Parinov, anti-malwarový odborník ze společnosti Kaspersky Lab.</p><p>Celá zprávo o hrozbách spojených s USB disky je dostupná na <a href="https://securelist.com/usb-threats-from-malware-to-miners/87989/" target="_blank">blogu Securelist.com</a>.<br></p><p>​</p>0
Nebezpečná aplikace QRecorder cílí na české uživatele a jejich internetové bankovnictvíhttps://www.antivirus.cz/Blog/Stranky/nebezpecna-aplikace-qrecorder-cili-na-ceske-uzivatele-a-jejich-internetove-bankovnictvi.aspxNebezpečná aplikace QRecorder cílí na české uživatele a jejich internetové bankovnictví<p><strong>Bezpečnostní analytici společnosti ESET upozorňují na na rizikovou aplikaci, která je ke stažení v oficiálním obchodě Google Play. Nástroj pro nahrávání hovorů QRecorder se po některé z posledních aktualizací stal pro uživatele hrozbou, která umožňuje útočníkům vzdálený přístup do bankovního účtu napadeného uživatele. Tuto hrozbu ESET detekuje již při instalaci aplikace jako Android/Spy.Banker.AIX. Nástroj QRecorder určený pro mobilní zařízení na platformě Android může mít jen v České republice na desítky tisíc uživatelů. </strong></p><p>„Podařilo se nám zachytit nástroj na nahrávání hovorů QRecorder. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla tzv. ztrojanizovaná. To znamená, že po jedné z posledních aktualizací se z QRecorderu stal tzv. trojský kůň. Ten umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také děje,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.</p><p>Z analýzy bezpečnostních specialistů společnosti ESET, která stále probíhá, prozatím vyplynulo, že malware v telefonu čeká na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace. Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele. Útočníci dále mají přístup do sms zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.</p><p>„Útočníci pomocí tohoto malware cílí primárně na uživatele z České republiky, Polska a německy mluvících zemí. Respektive cílí na každého, kdo má přednastavenou českou, polskou či německou jazykovou lokalizaci operačního systému Android. Cílení na české uživatele je přitom výjimečné,“ dodává Dvořák.</p><p>Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný. Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko. Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění aplikace s ohledem na její primární a legitimní účel.<br></p>0
Hackeři mají čím dál větší zájem o chytrá IoT zařízeníhttps://www.antivirus.cz/Blog/Stranky/hackeri-maji-cim-dal-vetsi-zajem-o-chytra-iot-zarizeni.aspxHackeři mají čím dál větší zájem o chytrá IoT zařízení<p>Ze zprávy společnosti Kaspersky Lab zaměřené na oblast IoT vyplývá, že v prvním pololetí tohoto roku byla zařízení internetu věcí napadena více než 120 000 malwarovými modifikacemi. To je více než trojnásobné množství oproti celému roku 2017. Odborníci proto chtějí před tímto exponenciálně narůstajícím rizikem varovat, protože i v předešlém roce jsme mohli pozorovat desetinásobný nárůst IoT malwaru v porovnání s rokem 2016.</p><p>Množství chytrých IoT zařízení, která se stávají běžnou součástí našich každodenních životů, se neustále rapidně zvyšuje. Toho se snaží využít kyberzločinci, kteří hledají cesty, jak se jejich prostřednictvím obohatit. Proto znásobují a diverzifikují svůj arsenál. To jim umožňuje zdánlivě neškodná zařízení proměnit ve výkonné stroje, které zneužijí k nelegálním aktivitám. Chytrá zařízení tak pro ně mohou těžit kryptoměny, být součástí DDoS útoků nebo zapojená do botnetových aktivit.</p><p>Protože si jsou odborníci Kaspersky Lab těchto hrozeb vědomi, pravidelně analyzují data, která získávají z různých speciálních zdrojů, jako jsou například honeypoty. To jsou zařízení, která na sebe poutají pozornost hackerů, jejichž aktivitu následně podrobují analýze. Nejnovější zjištění jsou alarmující. Během prvních šesti měsíců tohoto roku se v porovnání s rokem 2017 více než ztrojnásobilo množství malwarových modifikací zacílených na IoT zařízení.</p><p> <img src="/Blog/PublishingImages/Clanky/2018/iot-malware-2016-2018.png" alt="" style="margin:5px;width:650px;" /> </p><p>Podle statistik zůstává stále nejoblíbenějším způsobem šíření IoT malwaru prolomení hesel hrubou silou. Opakované pokusy o prolomení hesla nespočtem různých kombinací použili hackeři v 93 % svých útoků. Ve většině zbývajících případů získali útočníci přístup do chytrých zařízení díky osvědčeným exploitům. </p><p>Zařízení, která se nejčastěji „chytila“ do honeypotů společnosti Kaspersky Lab, byly routery. Pocházelo od nich celých 60 % pokusů o útok. Zbylých 40 % mělo na svědomí širší spektrum technologií, mezi které se zařadily DVR zařízení nebo tiskárny. Honeypoty dokonce zaznamenaly útok, za kterým stálo 33 praček.</p><p>Kyberzločinci nejčastěji tato zařízení zneužívají k sestavení botnetů a k následným DDoS útokům. Některé verze malwaru mají za úkol vyřadit konkurenční škodlivé softwary, nebo v napadeném zařízení zazáplatovat zranitelnosti nebo vynutit ukončení zranitelných služeb.</p><p>„V porovnání s osobními počítači a chytrými mobily se IoT zařízení zdají být nevýkonnými hračkami, které hackery vůbec nezajímají. Slabý výkon ale nahrazují svým množstvím. Hackerům také nahrává, že výrobci IoT zařízení stále nevěnují dostatečnou pozornost bezpečnosti svých výrobků. Zločinci tak zneužívají staré anebo nově objevené zranitelnosti, a za pomoci malwarových rodin tak mohou jednoduchá zařízení proměnit ve špionážní techniku, nebo jejich prostřednictvím uživatele vydírat či okrádat,“ říká Michail Kuzin, bezpečnostní odborník ze společnosti Kaspersky Lab.</p><p>Uživatelé chytrých IoT zařízení by pro co nejvyšší bezpečnost měli:</p><ul><li>Pravidelně aktualizovat firmware svých zařízení. </li><li>Vždy změnit přednastavené heslo – používat by přitom měli silná hesla kombinující velká a malá písmena, číslice a symboly. </li><li>Restartovat zařízení, pokud se jim zdá, že se chová podezřele. Tím se mohou zbavit aktuální hrozby, ale nezabrání jejímu návratu nebo infekci jiným malwarem.</li></ul><p><br>Celou zprávu si můžete přečíst na blogu <a href="https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/" target="_blank">Securelist.com</a>.<br></p>0
Za každý třetí únik dat pykal zaměstnanec propuštěnímhttps://www.antivirus.cz/Blog/Stranky/za-kazdy-treti-unik-dat-pykal-zamestnanec-propustenim.aspxZa každý třetí únik dat pykal zaměstnanec propuštěním<p>​Únik dat může poškodit soukromí zákazníků, firemní zisky a reputaci společnosti. Mnohdy vede i k přímým následkům pro konkrétní zaměstnance firmy. Podle průzkumu Kaspersky Lab a B2B International vedla celá třetina (31 %) úniků dat v posledním roce k předčasnému a nedobrovolnému odchodu lidí z práce. Ve 29 % případů u malých a středních firem a 27 % u velkých firem byli propuštěni lidé na seniorních pozicích, kteří neměli na starosti oblast IT.</p><h3>Propuštění za únik</h3><p>Únik dat z firemních databází může ovlivnit život nejen zákazníkům, ale i zaměstnancům. Ukázal to nový průzkum společnosti Kaspersky Lab a B2B International. Z něj vyplývá, že za poslední rok došlo u 43 % firem po celém světě minimálně k jednomu úniku dat. Z toho ve dvou pětinách případů se únik týkal osobních údajů zákazníků (41 % případů na straně SMB a ve 40 % na straně velkých korporací). Tyto problémy často vyústí ve ztrátu zaměstnání odpovědných zaměstnanců, přičemž propouštění se nevyhýbá ani nejvyšším vedoucím pozicím. </p><p>Chyba nebo nedopatření, které způsobí únik dat z firemních databází, může stát pozici jakéhokoli zaměstnance bez ohledu na jeho postavení – v roce 2017 jsme mohli vidět propuštění řady <a href="https://www.politico.com/story/2017/09/26/equifax-ceo-richard-smith-resigns-243147" target="_blank">ředitelů</a> i <a href="https://www.bupa.com/corporate/about-us/customer-update" target="_blank">řadových zaměstnanců</a>.</p><p>Tyto problémy s sebou přinášejí hned několik negativních následků. Kromě ztracených talentů musí firmy často finančně odškodnit postižené zákazníky. K tomuto kroku bylo nuceno přistoupit 45 % malých a středních podniků a 47 % velkých korporací. Více než třetina (25 % SMB firem a 38 % korporací) firem zaznamenala po podobném incidentu problémy s přilákáním nových zákazníků. Výjimkou nebyly ani udělené pokuty, které muselo zaplatit 27 % menších firem a 31 % korporací. </p><h3>Mějte data pod kontrolou</h3><p>Ze statistik vyplývá, že citlivá osobní data svých zákazníků uchovává a zpracovává 88 % společností. Údaje svých zaměstnanců má uloženo 86 % firem. Bez těchto informací se v podstatě moderní společnosti v této době neobejdou. S novou právní legislativou, všeobecně známým nařízením GDPR, ale přibyly firmám nové povinnosti.</p><p>Fakt, že 20 % společností ukládá citlivá data zákazníků i zaměstnanců mimo svoji vlastní infrastrukturu – na veřejném cloudu, BYOD zařízeních nebo SaaS aplikacích – klade ještě vyšší nároky na to, jak je s nimi zacházeno. Nejnáročnějším úkolem je v tomto případě zajištění jejich ochrany.</p><p>86 % firem uvádí, že má alespoň nějakou formu zabezpečení dat a odpovídající předpisy. Všeobecné zásady ochrany osobních údajů však samy o sobě nejsou zárukou, že bude zpracování dat probíhat podle regulí a bezpečně.</p><p>Společnosti by proto měly používat bezpečnostní řešení, která mohou ochránit data napříč celou infrastrukturou – včetně cloudu, všech zařízení a aplikací. Proškolení všech zaměstnanců, kteří pracují s osobními daty, a IT odborníků by mělo být samozřejmostí.<br></p>0
Existuje spojitost mezi útoky malwarů NotPetya a Industroyer, stojí za nimi stejná skupinahttps://www.antivirus.cz/Blog/Stranky/existuje-spojitost-mezi-utoky-malwaru-notpetya-a-industroyer-stoji-za-nimi-stejna-skupina.aspxExistuje spojitost mezi útoky malwarů NotPetya a Industroyer, stojí za nimi stejná skupina<p>​Společnost ESET objevila důkazy, které spojují nechvalně proslulou kybernetickou skupinu TeleBots s Industroyerem, nejnebezpečnějším moderním malwarem zaměřeným na průmyslové řídicí systémy a viníkem masivního výpadku elektřiny v ukrajinské metropoli Kyjev v roce 2016. </p><p>Skupina TeleBots se „proslavila“ škodlivým kódem NotPetya, malwarem pro šifrování disků, který narušil globální obchodní transakce v roce 2017. Ten souvisel i s útokem skupiny BlackEnergy, který byl využit v roce 2015 a představoval jeden z prvních případů využití škodlivého kódu, jež způsobil výpadky elektrické energie na Ukrajině. Stalo se tak rok před zásahem „průmyslového“ malwaru Industroyer.</p><p>„Spekulace o spojitosti mezi Industroyerem a skupinou TeleBots se objevily krátce poté, co Industroyer zasáhl ukrajinskou rozvodnou síť,“ říká analytik společnosti ESET Anton Cherepanov, který vedl analytické týmy zaměřené na útoky ransomwarů Industroyer a NotPetya. „Neexistoval k tomu ale žádný pádný důkaz – až dosud.“</p><p>V dubnu 2018 narazila společnost ESET na novou aktivitu skupiny TeleBots: pokud o nasazení nového backdooru, který ESET detekuje jako Exaramel. Bližší analýzou tohoto škodlivého kódu dospěl ESET k závěru, že tento backdoor je zdokonalenou verzí hlavního backdooru šířícího Industroyer – což je první důkaz, který spojuje Industryoer se skupinou TeleBots.</p><p>„Objev Exaramelu potvrzuje, že skupina TeleBots je i v roce 2018 stále aktivní a útočníci neustále vylepšují své nástroje a taktiky,“ uzavírá Cherepanov. „Činnost této skupiny budeme nadále sledovat,“ slibuje.</p>0
Jak děti surfovaly o prázdninách? Vévodil rap, nakupování ale i zpravodajství nebo ochrana soukromíhttps://www.antivirus.cz/Blog/Stranky/jak-deti-surfovaly-o-prázdninach.aspxJak děti surfovaly o prázdninách? Vévodil rap, nakupování ale i zpravodajství nebo ochrana soukromí<p>Dva měsíce prázdnin jsou za námi a dětem opět začala škola. Nový školní rok s sebou přinesl debatu ohledně zákazu mobilních zařízení ve školních lavicích. Z komentářů a vyjádření odborníků i učitelů je vidět, že mobil s internetem může během hodin odvádět dětskou pozornost ale zároveň pomáhat při řešení úkolů a dopomoct k lepšímu pochopení učiva. Ať jste zastáncem jednoho nebo druhého názoru, je bezesporu, že dnešní mládež v podstatě vyrůstá v reálném a zároveň virtuálním prostředí. Odborníci ze společnosti Kaspersky Lab, která se zabývá kybernetickou bezpečností, se proto zaměřili na to, co děti na internetu dělaly v průběhu letních prázdnin. Zjistěte, co děti sledovaly, poslouchaly, nakupovaly nebo vyhledávaly na internetu.</p><p>Údaje o online aktivitách pocházejí z anonymizovaných statistik, které se týkaly navštívených stránek na počítačích s operačními systémy Windows a Mac nebo mobilních zařízeních s OS Android a iOS. Sledovaným obdobím byl červen až polovina srpna 2018. Statistiky pocházejí z produktu Kaspersky Lab, který zahrnuje modul rodičovské ochrany (Parental Control) a ze samostatné aplikace Kaspersky Safe Kids.</p><p>Letošní léto se u dětí neslo ve znamení sledování videí a poslouchání hudby. Na stránkách s tímto obsahem totiž strávily více času než na sociálních sítích. Velké oblibě se těšil především Youtube a kanál youtubera a bloggera PewDiePie, který je celosvětovou hvězdou. Spoustu času také děti strávily sledováním seriálů na Netflixu. Menší děti pak s oblibou zapnuly kanály jako je Nickelodeon, Cartoon Network a Disney channel. Neutuchající oblibě se i toto léto těšil animovaný hrdina SpongeBob.</p><p>Hudbu děti nejčastěji poslouchaly na streamovacích službách jako jsou Spotify, Soundcloud a iTunes. Žánrem tohoto léta byl u dětí rap. Rapování vévodilo i statistikám vyhledávaných hesel v online vyhledávačích, protože se děti nejčastěji zajímaly o rappera XXXTentacion. Jeho nešťastná smrt v červnu pravděpodobně přispěla k tomu, že XXXTentacion byl u dětí nejvyhledávanějším pojmem a nejhranějším interpretem.</p><p>Pozitivní je pohled na statistiky návštěv zpravodajských webů, kde je vidět narůstající zájem o portály jako jsou BBC, CNN nebo BuzzFeed. Ani letošní fotbalové mistrovství světa v Rusku nenechalo děti chladné a přimělo je vyhledávat si aktuální výsledky a novinky ze stadionů. Samozřejmě nesmíme zapomenout ani na počítačové hry, které si udržely svoji popularitu. Děti po celém světě si zamilovaly hru Fortnite, kde proti sobě v groteskním světě stojí stovka hráčů, kteří sbírají vzácné vybavení a snaží se zůstat jako poslední naživu. Na druhé místo tak vytlačila loňskou hitovku PUBG, možná i díky tomu, že v sobě kombinuje i stavitelské herní prvky známé ze hry Minecraft. </p><p>Data ukazují, že se děti na internetu nejenom baví, ale také nakupují, a to převážně chytré mobily a oblečení. Na předních příčkách online obchodů se umístily Ebay, Amazon, Aliexpress, ASOS a H&M. Nejžádanějšími nebo lépe řečeno nejvyhledávanějšími značkami byly Nike, Adidas, Supreme, Gucci a Vans. Z mobilních zařízení pak iPhony a Samsungy z řady Galaxy. </p><p>„Statistiky, které máme před sebou nám ukazují, o co se dnešní děti a mladiství po celém světě zajímají. Rodičům proto doporučujeme používat řešení rodičovské kontroly nejen pro to, že mohou zablokovat přístup dětí na rizikové stránky, ale také proto, že získají přehled o jejich zálibách a zájmech. Programy, jako je ten od Kaspersky Lab, poskytují rodičům pravidelné přehledy o online aktivitách dětí. Samozřejmě ale neuvádí žádné soukromé nebo citlivé informace. Osobně si myslím, že povědomí rodičů o tom, co dělají jejich děti na internetu, může přispět k lepšímu vzájemnému vztahu, komunikaci v rodině a případně i zabránit kyberšikaně nebo sextingu,“ říká Anna Larkina, analytička ze společnosti Kaspersky Lab. </p><p>Kromě hudby nebo počítačových her se děti zajímaly i o stránky s obsahem pro dospělé. Pokud ale rodiče takové stránky zablokovali prostřednictvím speciálních řešení jako je Safe Kids, neměly děti šanci se na tyto stránky dostat. Poprvé za dobu, co Kaspersky Lab shromažďuje tyto statistiky, se děti zajímaly i o téma kybernetické ochrany a soukromí na internetu. Aktivně si například vyhledávaly informace o vyhledávači DuckDuckgo, který nesleduje uživatelovu aktivitu a neprodává osobní informace třetím stranám. Do vyhledávačů děti vyťukávaly také například heslo VPN, které odkazuje k virtuální privátní síti, která poskytuje chráněné propojení několika počítačů.</p><p>Modul rodičovské ochrany (Parental Control), který pomáhá rodičům chránit děti před nástrahami a hrozbami online světa, je součástí <a href="https://www.aec.cz/cz/av">mnoha řešení</a>. S jeho pomocí mohou rodiče zablokovat přístup na konkrétní webové stránky nebo aplikace, zakázat nakupování zboží online a podobně. </p><p><img src="/Blog/PublishingImages/Clanky/2018/internet-deti-leto-2018.png" alt="" style="margin:5px;width:650px;" /></p><p>Celou zprávu o prázdninových online aktivitách dětí si můžete přečíst na blogu <a href="https://securelist.com/kids-summer-threats/87678/" target="_blank">Securelist.com</a>.<br></p>0
Útočná kampaň pravděpodobně íránské vlády proti menšinám a opozicihttps://www.antivirus.cz/Blog/Stranky/utocna-kampan-pravdepodobne-iranske-vlady-proti-mensinam-a-opozici.aspxÚtočná kampaň pravděpodobně íránské vlády proti menšinám a opozici<p>​Check Point odhalil a analyzoval útočnou kyberkampaň “Domestic Kitten”, která je zaměřená proti íránským občanům. Jedná se o cílenou kampaň v podobě aplikace, kterou používá pravděpodobně íránská vláda k útokům na menšiny a opozici v Íránu, včetně příznivců ISIS, Kurdů a dalších. Podobné špionážní kampaně se používají proti jednotlivcům a skupinám, které teoreticky mohou ohrozit stabilitu íránského režimu. Check Point zjistil i přesný počet infekcí (obětí): 240. Většina z nich pochází z Íránu a několik málo z Afghánistánu, Iráku a Velké Británie. </p><p>K útokům je používána aplikace, která sice nabízí speciální brandovaný ISIS wallpaper, ale zároveň krade data. Například SMS zprávy, informace o telefonních hovorech, záložky, kontakty, fotografie, historii prohlížeče nebo informace o geografické poloze a hlasové záznamy okolí. Ačkoli množství infikovaných zařízení není velké, stejně jako u nedávných kyberútoků Hamasu, je klíčové, že se jedná o cílenou kampaň na přesně vytipovanou skupinu lidí ve snaze získat kontrolu a data. S ohledem na povahu cílů jsou shromažďované informace velmi cenné a budou v budoucnu nepochybně dále využity.</p><p>Přesná identita útočníků zůstává nepotvrzena, ale dosavadní zjištění, výběr cílů, povaha aplikace a útočná infrastruktura vedou k domněnce, že kampaň má íránský původ. Jak vyplývá i z rozhovorů se zpravodajskými odborníky, kteří jsou obeznámeni s politickou situací v této části světa, rozsáhlé sledování těchto skupin obyvatel provádí často právě íránské vládní subjekty, jako jsou například Islámské revoluční gardy (Islamic Revolutionary Guard Corps (IRGC)), ministerstvo spravedlnosti, ministerstvo vnitra a další.</p><p>Více informací najdete v analýze společnosti Check Point:<br><a href="https://research.checkpoint.com/domestic-kitten-an-iranian-surveillance-operation/" target="_blank">https://research.checkpoint.com/domestic-kitten-an-iranian-surveillance-operation/</a><br></p>0