Antivirus Blog
​​​​​​​​​​​​​​​​
blog o bezpečnosti

 

 

Zerologon: Kritická zranitelnost Windows ADhttps://www.antivirus.cz/Blog/Stranky/zerologon-kriticka-zranitelnost-windows-ad.aspxZerologon: Kritická zranitelnost Windows AD<p>​<strong>Na konci září byl publikován článek oznámující letos nejzávažnější zranitelnost postihující Active Directory v systémech Windows Server 2008 a novější s názvem Zerologon, které bylo přiděleno <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472">CVE-2020-1472</a>. </strong></p><p>Název zranitelnosti úzce souvisí s hlavním vektorem útoku, který zranitelnost zneužívá – jedná se o chybu v nastavení inicializačního vektoru (IV) při šifrování zpráv Netlogon Remote Protokolu (MS-NRPC), díky čemuž může interní útočník šifrování zcela prolomit a vydávat se za libovolný počítač v síti.</p><p>Dopad zranitelnosti je obrovský, díky čemuž se její závažnost v Common Vulnerability Scoring Systému (CVSS) vyšplhala až na kritických 10 z 10. Její úspěšné zneužití umožňuje útočníkovi, který je schopen navázat TCP spojení s doménovým řadičem (Domain Controller), eskalovat svá privilegia až na úroveň doménového administrátora, čímž dochází k celkové kompromitaci celé domény a všech systémů k ní připojených. Ve většině případů (pokud není doménový řadič dostupný veřejně z internetu) je tedy útok možné provést pouze z vnitřní sítě, čímž je šance jeho zneužití snížena. </p><p>V současné době se již pohybuje internetem několik skriptů, které úspěšně zranitelnost zneužívají (převážně jako důkazy konceptu), a na základě dat z některých honeypot systémů (systémů, které jsou úmyslně zranitelné a přístupné z internetu, u kterých jsou aktivně monitorovány pokusy o její zneužití) již několik hackerských skupin zranitelnost aktivně a automatizovaně zneužívá v globálním měřítku. </p><p>Microsoft oznámil dvě záplaty opravující chybu umožňující tuto zranitelnost. <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank">První záplata byla vydaná 11. srpna 2020</a> a byla označena jako kritická. Tato záplata opravuje chybu, která útok umožňuje a dovoluje útočníkovi autentizovat se za libovolný stroj v AD, a měla by být dostačujícím způsobem, jak zamezit jejímu zneužití. Z toho důvodu velmi doporučujeme záplatu aplikovat, a co nejdříve aktualizovat všechny doménové řadiče.</p><p>Druhá záplata je plánovaná na začátek příštího roku, a zabývá se vlastností protokolu RPC týkající se Podepisování a Pečetění RPC zpráv (RPC Signing and Sealing). Tato vlastnost, nastavená hodnotou v hlavičce každé zprávy, určuje, zda je komunikace mezi klientem a DC šifrovaná. Pouhým nastavením hodnoty hlavičky na 0 může útočník tuto vlastnost vypnout, a je mu umožněno posílat zprávy bez znalosti šifrovacího klíče. Tato záplata není kritická pro zamezení zranitelnosti, neboť pro její zneužití je nutné být autentizován vůči doménovému řadiči, čemuž je zamezeno první záplatou.</p><h2>Technické detaily</h2><p>Zranitelnost byla publikovaná ve <a href="https://www.secura.com/pathtoimg.php?id=2055" target="_blank">zprávě vydané v záři roku 2020 bezpečnostním výzkumníkem Tomem Tervoortem</a> ve jménu firmy Secura, která popisuje nedostatky v implementaci šifrování protokolu Netlogon Remote Protokol (MS-NRPC) a způsob, kterým se lze na základě jednoduchého útoku hrubou silou autentizovat vůči doménovému řadiči za libovolný stroj nacházející se v síti, včetně samotného doménového řadiče.</p><p>Protokol MS-NRPC je v prostředí AD používán k úkolům ohledně autentizace uživatelských a strojových účtů. Nejčastěji se jedná o přihlašování k serverům za použití NTLM protokolu, ale také například ke změně uživatelského hesla v doméně. </p><p>Zvláštností tohoto protokolu je, že nepoužívá klasické doménové autentizační mechanismy, jako například Kerberos, a místo toho využívá jiného postupu. Zjednodušeně, pro úspěšnou autentizaci si klient a server vymění náhodná čísla (challenges), které zkombinují s hashem uživatelského hesla, čímž je vytvořen společný šifrovací klíč. V momentě, kdy se klíč vygenerovaný klientem shoduje s klíčem vygenerovaným serverem je dokázáno, že klient zná uživatelovo heslo, a může tedy být autentizován.</p><p>Problém nastává ve způsobu, jakým je tvořen šifrovací klíč dokazující, že klient zná své heslo. Pro tvorbu klíče je použito šifrování AEC v relativně obskurním módu CFB-8, který je ještě nesprávně použit, neboť vždy obsahuje inicializační vektor ve tvaru 16-bitů nul (Inicializační vektor je jedním z hlavních mechanismů zajišťujících správnou funkci tohoto druhu šifer, a musí být vždy náhodný). Během výzkumu se ukázalo, že tato chyba způsobuje, že s nulovým IV, pro náhodně zvolený šifrovací klíč, se v jednom ze zhruba 256 případů data obsahující pouze nuly zašifrují jako pouze nuly (viz obrázek).</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Zerologon" src="/Blog/PublishingImages/Clanky/2020/zerologon-01.png" data-themekey="#" style="margin:5px;width:658px;" /> </p><p> <br>Zranitelnost Zerologon spoléhá na tuto vlastnost, a obchází výpočet výzvy klienta, kterou požaduje server pro dokázání, že klient zná správnou hodnotu šifrovacího klíče vypočteného pro tuto relaci. Hodnota, kterou server požaduje, je vypočítána zašifrováním zvoleného náhodného čísla (které si volí klient v předchozím kroku autentizace) za použití šifrovacího klíče vygenerovaného na základě obou náhodných čísel (od klienta a serveru). Vzhledem k výše popisované chybě šifrování je tedy možné tuto odpověď podvrhnout, neboť v případě, že si klient zvolí své náhodné číslo ve tvaru samých nul, bude zašifrovaná hodnota pro průměrně 1 z 256 šifrovacích klíčů rovna řetězci nul.</p><p>Útočníkovi tedy stačí proces přihlašování opakovat zhruba 256krát, dokud k tomuto jevu nedojde, čímž je úspěšně autentizován a získává možnost provádět akce týkající se uživatelského účtu, jako je například změna hesla.</p><p>Pro úspěšné dokončení útoku je nutné zneužití druhé části zranitelnosti, týkající se RPC Podepisování a Pečetění zpráv. Tato vlastnost určuje, zda bude zbytek komunikace mezi serverem a klientem šifrovaný (za použití šifrovacího klíče získaného v předchozím bodě), nebo zda bude komunikace probíhat bez šifrování. Součástí autentizačního handshaku je ale hlavička určená klientem, která umožňuje tuto vlastnost vypnout, čímž je útočníkovi (který nezná šifrovací klíč, neboť samotné přihlášení provedl bez jeho znalosti zneužitím první části zranitelnosti Zerologon), umožněno bez omezení posílat další požadavky na server, a pokračovat až k celkové kompromitaci serveru změnou hesla pro doménového administrátora.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Zerologon" src="/Blog/PublishingImages/Clanky/2020/zerologon-02.jpg" data-themekey="#" style="margin:5px;width:658px;" /> </p><h2>Oprava zranitelnosti</h2><p>Pro zamezení zneužití zranitelnosti je nutné aplikovat bezpečnostní záplaty na všechny servery Windows Server 2008 a novější, dle informací dostupných na <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</a>.<br></p><h3>Použité zdroje</h3><ul><li> <a href="https://www.secura.com/pathtoimg.php?id=2055" target="_blank">https://www.secura.com/pathtoimg.php?id=2055</a> </li><li> <a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472</a> </li><li> <a href="https://www.trendmicro.com/en_us/what-is/zerologon.html" target="_blank">https://www.trendmicro.com/en_us/what-is/zerologon.html</a> </li><li> <a href="https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/" target="_blank">https://nukib.cz/cs/infoservis/hrozby/1636-upozorneni-na-zranitelnost-zerologon/</a> </li><li> <a href="https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/" target="_blank">https://threatpost.com/zerologon-attacks-microsoft-dcs-snowball/159656/</a> </li><li> <a href="https://github.com/VoidSec/CVE-2020-1472" target="_blank">https://github.com/VoidSec/CVE-2020-1472</a> </li><li> <a href="https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/" target="_blank">https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/</a> </li><li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472" target="_blank">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472</a></li></ul><p> </p><div align="right"><table width="390"><tbody><tr><td width="100" align="center" valign="middle"> <img alt="Mikuláš Hrdlička, AEC" src="/Blog/PublishingImages/AEC-lidi/hacker-assessment-green.png" data-themekey="#" style="margin:5px;width:100px;height:120px;" /> </td><td width="290" align="left" valign="top"> <p> <strong>Mikuláš Hrdlička</strong><br>Cyber Security Specialist<br>AEC a.s.</p><p> <img src="/Blog/PublishingImages/AEC-lidi/aec-sroubovice-dna-assessment.png" data-themekey="#" alt="" style="margin:5px;width:150px;height:20px;" /> </p></td></tr></tbody></table></div>1
V České republice rostl počet ransomwarových útoků o 69 %, souvisí to i s koronavirovou pandemiíhttps://www.antivirus.cz/Blog/Stranky/v-ceske-republice-rostl-pocet-ransomwarovych-utoku-o-69-procent-souvisi-to-i-s-koronavirovou-pandemii.aspxV České republice rostl počet ransomwarových útoků o 69 %, souvisí to i s koronavirovou pandemií<ul><li> <strong>V USA došlo za poslední 3 měsíce téměř ke zdvojnásobení počtu ransomwarových útoků a jedná se nyní o nejčastější cíl, následují Indie, Srí Lanka, Rusko a Turecko </strong></li><li> <strong>Celosvětově se zdvojnásobilo procento zdravotnických organizací napadených ransomwarem</strong></li></ul><p> <br>Check Point Research varuje před nárůstem ransomwarových útoků. Podle nejnovější analýzy došlo v uplynulých 3 měsících v průměru k 50% nárůstu počtu ransomwarových útoků ve srovnání s první polovinou roku 2020. V České republice došlo ve třetím čtvrtletí k nárůstu počtu ransomwarových útoků o 69 % oproti druhému kvartálu. Podobně je na tom například i Švýcarsko s růstem ransomwarových útoků o 71 %. Ještě větší vlnu zažívají v Německu (růst o 145 %), ve Španělsku (160 %) nebo ve Švédsku (250 %). Naopak v Itálii rostl počet vyděračských útoků jen o 6 % a ve Francii o 36 %. Ransomware zašifruje data v systému oběti a za jejich opětovné zpřístupnění požadují kyberzločinci výkupné. Vzhledem ke koronavirové pandemii je každý útok na nemocnice a zdravotnická zařízení kritický a například v USA je oblast zdravotnictví nejvíce zasaženým sektorem. Check Point se proto bude věnovat zabezpečení nemocnic i na <a href="https://virtual-czech.checkpoint.com/" target="_blank">virtuální konferenci Check Point: </a>.</p><p>Výzkumný tým kyberbezpečnostní společnosti Check Pointu upozorňuje na výrazný nárůst ransomwarových útoků v uplynulých 3 měsících. Check Point vychází například z dat ze systému pro analýzu hrozeb Threat Cloud, který využívá stovky milionů senzorů po celém světě, které doplňují AI enginy a exkluzivní výzkumná data týmu Check Point Research.</p><h2>Z analýzy například vyplývá:</h2><ul><li>Průměrný denní počet ransomwarových útoků se v posledních 3 měsících zvýšil o 50 % ve srovnání s první polovinou roku </li><li>Procento zdravotnických organizací zasažených ransomwarem se zdvojnásobilo </li><li>Hlavní ransomwarové hrozby jsou Maze a Ryuk </li><li>Top 5 zemí podle počtu ransomwarových útoků za poslední 3 měsíce: <br>1. USA (nárůst o 98,1 %) <br>2. Indie (nárůst o 39,2 %) <br>3. Srí Lanka (nárůst o 436 %) <br>4. Rusko (nárůst o 57,9 %) 5. <br>Turecko (nárůst o 32,5 %)</li></ul><p> <br>Pavel Krejčí, Security Engineer ve společnosti Check Point, vysvětluje, proč k nárůstu dochází zrovna nyní:<br>„Ransomware letos bohužel trhá rekordy, což souvisí i s koronavirovou pandemií. Organizace musely rychle zareagovat a umožnit zaměstnancům pracovat z domova, ale v IT systémech to vytvořilo řadu hluchých míst. Poslední tři měsíce ukázaly alarmující nárůst ransomwarových útoků a pokud se na to podíváme blíže, vidíme tři hlavní důvody:<br> <br><strong>1. Sofistikovanější útoky</strong>, jako je dvojité vydírání. Hackeři stále častěji nejdříve ukradnou velké množství citlivých informací a poté zašifrují databáze oběti. Následně hrozí zveřejněním těchto informací, pokud nebude zaplaceno výkupné. Na organizace to tak vytváří další tlak, aby splnily požadavky hackerů.<br><strong>2. Ochota platit.</strong> Hackeři záměrně volí takovou výši výkupného, které jsou cíle ochotnější zaplatit. Oběti se pak často rozhodnou raději jednoduše zaplatit, místo aby řešily problémy s obnovením IT systémů. Cíle jsou navíc ochotnější platit, aby se zabránily dalším komplikacím vzhledem k náročné ekonomické době, ve které žijeme kvůli koronaviru. Zaplacení výkupného bohužel vytváří začarovaný kruh: Čím více útoků uspěje, tím častěji podobné hrozby hackeři využívají.<br><strong>3. Návrat Emotetu. </strong>Emotet se po pětiměsíční pauze vrátil na první místo v Indexu hrozeb a stal se nejpoužívanějším škodlivým kódem k útokům na podnikové sítě. Emotet je pokročilý, modulární trojan a má schopností šířit se sám. Původně se jednalo o bankovní trojan, ale v poslední době se používá zejména pro distribuci dalších škodlivých kódů. Kyberzločinci provozující Emotet prodávají data o infikovaných obětech distributorům ransomwaru, a protože zařízení obětí jsou již infikovaná, jsou zranitelnější vůči dalším útokům.<br> <br>Obávám se, že v dalším roce se situace ještě zhorší. Organizace se musí připravit na další nárůst ransomwarových útoků a brát hrozbu velmi vážně.“</p><h2>Jak se mohou organizace před ransomwarem chránit?</h2><ul><li><a href="https://www.aec.cz/cz/produkty-a-sluzby/Stranky/skoleni-bezpecnosti.aspx">Školení a vzdělání uživatelů </a>je důležitou součástí ochrany. Je zásadní, aby zaměstnanci uměli poznat potenciální ransomwarový útok. Mnoho kybernetických útoků začíná cíleným e-mailem, který neobsahuje malware, ale snaží se pomocí sociálního inženýrství přimět uživatele ke kliknutí na škodlivý odkaz. Právě proto je vzdělávání uživatelů považováno za jednu z nejdůležitějších prvků obrany organizací. </li><li>Průběžné zálohování dat by mělo být součástí rutinního každodenního procesu, který zabrání ztrátě dat a umožní obnovení v případě poškození nebo selhání disku. Funkční zálohy mohou také pomoci organizacím zotavit se z ransomwarového útoku. </li><li><a href="https://www.aec.cz/cz/vms">Záplatování systémů </a>je klíčovou součástí obrany proti ransomwarovým útokům, protože kyberzločinci hledají nekryté zranitelnosti, které se následně snaží zneužít. Organizace musí zajistit, že všechny systémy budou mít k dispozici nejnovější opravy, a minimalizuje se tak počet potenciálně zranitelných míst.</li></ul><p><br>Více informací najdete na blogu kyberbezpečnostní společnosti Check Point:<br><a href="https://blog.checkpoint.com/2020/10/06/study-global-rise-in-ransomware-attacks/" target="_blank">https://blog.checkpoint.com/2020/10/06/study-global-rise-in-ransomware-attacks/</a><br><a href="https://blog.checkpoint.com/2020/10/12/how-to-avoid-the-dangerous-wave-of-ransomware-attacks/" target="_blank">https://blog.checkpoint.com/2020/10/12/how-to-avoid-the-dangerous-wave-of-ransomware-attacks/</a><br></p>0
5G přináší inovace, ale láká i hackery a kyberzločincehttps://www.antivirus.cz/Blog/Stranky/5g-prinasi-inovace-ale-laka-i-hackery-a-kyberzlocince.aspx5G přináší inovace, ale láká i hackery a kyberzločince<p>​<strong>Jak rychlé je vaše připojení k internetu? Pravděpodobně se jedná o zlomek až 10gigabitové rychlosti, kterou slibuje 5G. Pro srovnání je to více než 100x vyšší rychlost než nabízí současné mobilní 4G a 10x rychlejší než v současnosti nejrychlejší domácí optické připojení k internetu. Film ve 4K byste v 5G síti stáhli během několika sekund. 5G zkrátka otevře dveře do nové éry. K dispozici bude obrovské množství aplikací, služeb a zařízení, jejichž cílem bude usnadnit, zefektivnit a zlepšit náš život. </strong></p><p>Autonomní vozidla, telemedicína, chytré zemědělství, chytrá výroba i řada dalších, dnes jen obtížně představitelných aplikací. Předpokládá se, že přes 5G bude připojeno až desítky miliard zařízení, což umožní nepřeberné možnosti sledování čehokoli v reálném čase, ať už budete chtít zkontrolovat, kde se nachází vaše kočka, nebo budete chtít vyhodnotit data z nositelných zdravotnických zařízení. Osobní a nákladní automobily mezi sebou budou moci komunikovat a zlepšit navigaci v reálném čase a zabránit tak potenciálním nehodám. Zlepší se telemedicína a vzdálená chirurgie, samozřejmostí bude automatizace a použití robotů v průmyslových odvětvích.</p><p>5G přinese zásadní výhody, takže není překvapením, že organizace a vlády po celém světě závodí o co nejrychlejší nasazení těchto sítí a řešení, která přinesou nové funkce a inovace. Má to však háček. Zcela propojený svět, který slibuje 5G, dává také zločincům a hackerům téměř nekonečné možnosti při kyberútocích a narušení bezpečnosti, což může vést až k tragickým následkům, varuje kyberbezpečnostní společnost Check Point.</p><h2>Je důvod se 5G sítí obávat?</h2><p>Check Point také upozorňuje, že obavy spojené s bezpečností 5G nejsou přehnané, zvláště když vezmeme v úvahu typy útoků a hrozeb, které jsme viděli za poslední tři roky, tedy ještě před příchodem 5G sítí:</p><ul><li>Ransomwarový útok na německou nemocnici vedl k úmrtí pacientky. </li><li>Začátkem letošního roku došlo k hacknutí izraelské úpravny vody s cílem přimíchat do pitné vody další chlór, aby byla toxická. </li><li>Botnet Mirai infikoval více než milion IoT zařízení, takže jej bylo možné použít jako DDoS zbraň, která dokáže vyřadit z provozu téměř jakoukoli internetovou službu. </li><li>Hackeři ukázali, jak lze na dálku převzít kontrolu nad chytrým autem. </li><li>Kritické zranitelnosti byly objevené v domácích IoT zařízeních, jako je Alexa nebo chytré žárovky, což hackerům umožnilo špehovat uživatele nebo ovládat jiná domácí zařízení.</li></ul><p><br>„Malware, krádeže online identity, krádeže dat a další kybernetické útoky na organizace, kritickou infrastrukturu, zdravotnická zařízení a spotřebitele jsou nyní tak běžné, že už nikoho ani nepřekvapí. Ale miliardy zařízení se superrychlým připojením k internetu přinesou další zásadní rizika pro síťové a cloudové infrastruktury, aplikace a samotná zařízení. Navíc v dosud nevídaném měřítku a na to je potřeba se připravit,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.</p><h2>5G přináší výhody, ale i bezpečnostní výzvy</h2><p>Jaké jsou tedy konkrétní bezpečnostní výzvy, které 5G sítě a zařízení představují? Zatímco silnější šifrování dat v 5G a lepší ověřování uživatelů sítě jsou vítaná vylepšení oproti 4G technologii, nová rizika se skrývají zejména ve dvou hlavních oblastech:</p><p><strong>1. Nedostatečná kontrola přístupu a viditelnost hrozeb</strong> - Zařízení jsou přímo připojená k internetu prostřednictvím poskytovatelů služeb. S nástupem 5G zařízení v kancelářích, továrnách a nemocnicích bude riziko útoků prudce stoupat, protože komunikace do a z těchto zařízení obejde podnikovou síť a její bezpečnostní kontroly. Podobně zaměstnanci, kteří používají 5G mobilní zařízení pro přístup ke cloudovým podnikovým prostředkům, zvýší riziko ztráty dat a narušení bezpečnosti.<br><strong>2. Snadno přístupná a zranitelná zařízení </strong>- Desítky miliard chytrých zařízení budou připojeny k 5G sítím a pouze malá část z nich má jakékoli bezpečnostní funkce nad rámec hesla. Existuje mnoho způsobů, jak mohou být tato zařízení kompromitována a použita ke špehování nebo k zahájení útoků. Nedávný průzkum společnosti Check Point navíc ukázal, že 90 % organizací má ve svých sítích neschválená stínová IoT zařízení, která jsou v mnoha případech připojena do podnikové sítě bez vědomí IT nebo bezpečnostních týmů.</p><p>Výsledkem je, že zatímco 5G způsobí revoluci v připojení a komunikaci, ve srovnání se stávajícími sítěmi je také zranitelnější vůči útokům. Otázkou tedy je, jak organizace zajistí bezpečné využití 5G technologií, aby se minimalizovalo riziko zranitelností a útoků na sítě i zařízení.</p><p>„Je potřeba jiný přístup k bezpečnosti. 5G propojí uživatele a aplikace napříč mobilními zařízeními, koncovými body, sítěmi, cloudem a IoT, takže je nezbytná pokročilá prevence hrozeb k ochraně všech typů aktiv bez ohledu na jejich umístění. To vyžaduje konsolidovanou bezpečnostní architekturu, která funguje napříč všemi platformami, využívá jednotné informace o hrozbách a zabrání známým i neznámým hrozbám v proniknutí do podnikové sítě a zařízení. Bezpečnostní řešení musí být zároveň i flexibilní, aby zvládlo obrovské objemy dat a vysokou rychlost 5G sítí,“ dodává Petr Kadrmas.</p><p>V 5G sítích budou miliardy IoT zařízení, včetně lékařských a průmyslových zařízení, inteligentních budov, chytrých automobilů atd. Vzhledem k obrovským objemům a rozmanitosti produktů, z nichž mnohé budou mít extrémně omezené nebo nulové možnosti zabezpečení, potřebují organizace snadný způsob nasazení a správy zabezpečení na jakémkoli typu zařízení.</p><p>Řešením může být nanobezpečnost, tedy použití mikro pluginů, které budou fungovat na jakémkoli zařízení nebo operačním systému v jakémkoli prostředí. Softwaroví mikroagenti budou řídit veškerý provoz do a ze zařízení a připojí se ke konsolidované bezpečnostní architektuře, aby bylo možné ochranu vynutit.</p><p>5G propojí svět a umožní inovace napříč průmyslem, zemědělstvím, zdravotnictvím, sociální péčí a dalšími odvětvími. Konektivita bude ale také lákat hackery a zločince, kteří se budou snažit zneužít novou technologii ve svůj vlastní prospěch. Organizace proto musí nasadit agilní ochranu, která bude odpovídat schopnostem 5G sítí, aby bylo možné plně a bezpečně využít potenciál 5G.</p><p>Pokud se chcete dozvědět více o bezpečnosti IoT, ale také o bezpečné vzdálené práci v době koronavirové, zabezpečení nemocnic před kyberútoky nebo o ochraně finančních společností a cloudových a mobilních prostředí, pak se zaregistruje na <a href="https://virtual-czech.checkpoint.com/">konferenci Check Point </a>, která proběhne 11. 11. 2020 od 9:00. <br></p>0
Hackeři se při phishingových útocích nejčastěji vydávají za Microsofthttps://www.antivirus.cz/Blog/Stranky/hackeri-se-pri-phishingovych-utocich-nejcasteji-vydavaji-za-microsoft.aspxHackeři se při phishingových útocích nejčastěji vydávají za Microsoft<ul><li><h3>Check Point zveřejnil zprávu Q3 Brand Phishing Report, která ukazuje, za jaké značky se hackeři nejčastěji vydávali při snaze ukrást osobní informace, cenná data a přihlašovací údaje. </h3></li><li><h3>Microsoft poskočil z 5. místa na 1. příčku nejčastěji napodobovaných značek při phishingových útocích; 19 % všech phishingových útoků v červenci, srpnu a září bylo maskováno za Microsoft. </h3></li><li><h3>44 % všech phishingových podvodů bylo doručeno e-mailem, následovaly webové stránky (43 %) a mobilní zařízení (12 %).</h3></li></ul><p> <br> <strong>Check Point Research zveřejnil zprávu „Q3 Brand Phishing Report“ zaměřenou na phishingové útoky ve 3. čtvrtletí 2020. Z reportu vyplývá, jaké značky kyberzločinci nejčastěji napodobovali při pokusech o krádeže osobních dat nebo platebních údajů.</strong></p><p>Ve 3. čtvrtletí byl nejčastěji zneužívanou značkou při phishingových podvodech Microsoft. 19 % všech phishingových útoků se týkalo právě tohoto výrobce, což je významný nárůst oproti druhému čtvrtletí, kdy se umístil na 5. příčce s podílem 7 %. Vzestup souvisí s koronavirovou pandemií, útočníci se totiž snaží zneužít velkého počtu zaměstnanců, kteří během pandemie COVID-19 pracují na dálku. Poprvé se v roce 2020 do Top 10 dostalo i DHL a hned obsadilo druhé místo. Lidé nyní častěji využívají zásilkové služby, takže kyberzločinci parazitují i na tomto trendu.</p><p>Nejčastěji jsou při phishingových útocích zneužívané značky technologických společností, následují bankovní instituce a sociální sítě. Reflektuje to chování uživatelů, kteří během koronavirové pandemie využívají technologie pro vzdálenou práci, čelí finančním změnám a aktivněji využití sociální sítě.</p><p>„Hlavním terčem hackerů jsou při phishingových útocích uživatelé pracující na dálku, což je vzhledem k aktuální situaci globální pracovní trend. Mnoho zaměstnanců podobně pracuje poprvé v životě, ale ani organizace ani zaměstnanci často nejsou připraveni čelit pokročilým kyberútokům, které tuto skutečnost zneužívají. Hackeři cítí příležitost a napodobují Microsoft ve snaze zmást uživatele při využívání pracovních technologií. Očekáváme, že snaha o zneužívání značky Microsoft bude pokračovat i v dalším roce. Buďte proto obezřetní a neklikejte bezhlavě na e-maily a jejich přílohy a odkazy. Zejména pokud dostanete e-mail, který se tváří jako zpráva od Microsoftu nebo Googlu,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point.</p><p>Při phishingových útocích se kyberzločinci snaží zneužívat známé značky a napodobovat jejich webové stránky, včetně URL adresy a designu stránek. Odkaz na podvodný web šíří kyberzločinci e-mailem nebo textovou zprávou, popřípadě na stránky přesměrují uživatele z jiných webových stránek či podvodných mobilních aplikací. Podvodný web také často obsahuje formulář určený k odcizení přihlašovacích údajů, platebních dat nebo jiných osobních informací.</p><h2>Nejčastěji zneužívané značky ve phishingových podvodech ve 3. čtvrtletí 2020</h2><p>Seřazeno podle počtu phishingových útoků:<br><strong>1. Microsoft</strong> (19 % všech phishingových pokusů zneužívajících nějakou známou značky) <br> <strong>2. DHL</strong> (9 %)<br><strong>3. Google</strong> (9 %)<br><strong>4. PayPal </strong>(6 %)<br><strong>5. Netflix </strong>(6 %)<br><strong>6. Facebook</strong> (5 %)<br><strong>7. Apple</strong> (5 %)<br><strong>8. WhatsApp</strong> (5 %)<br><strong>9. Amazon</strong> (4 %)<br><strong>10. Instagram</strong> (4 %)</p><h2>Nejčastější způsoby šíření phishingových kampaní</h2><p>Během 3. čtvrtletí 2020 byl phishing nejčastěji šířen e-maily (44 % útoků), těsně následoval webový phishing. Nejčastěji zneužívanými značkami byly při e-mailových phishingových útocích Microsoft, DHL a Apple.</p><h3>E-mailový phishing (44 % všech phishingových útoků ve 3. čtvrtletí 2020)</h3><p>1. Microsoft<br>2. DHL<br>3. Apple</p><h3>Webový phishing (43 % všech phishingových útoků ve 3. čtvrtletí 2020)</h3><p>1. Microsoft<br>2. Google<br>3. PayPal</p><h3>Mobilní phishing (12 % všech phishingových útoků ve 3. čtvrtletí 2020)</h3><p>1. Whatsapp<br>2. PayPal<br>3. Facebook</p><h2>Phishingové e-maily napodobující Microsoft</h2><p>V polovině srpna Check Point odhalil phishingové e-maily, který se pokouší krást přihlašovací údaje k účtům Microsoft. Útočníci se pokoušeli nalákat oběti ke kliknutí na škodlivý odkaz, který uživatele přesměruje na podvodnou přihlašovací stránku „Microsoftu“.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Microsoft phishing" src="/Blog/PublishingImages/Clanky/2020/phishing-microsoft.png" data-themekey="#" style="margin:5px;width:658px;" /> </p><h2>Phishing maskovaný za Amazon </h2><p>V průběhu září Check Point odhalil phishingové e-maily, které byly údajně odeslány společností Amazon a pokoušely se ukrást uživatelům přihlašovací údaje a další informace. E-mail oznamoval, že uživatelský účet byl deaktivován kvůli příliš velkému počtu chybných přihlášení, a nasměroval uživatele na podvodný web Amazon, na kterém byl uživatel vyzván k zadání fakturačních údajů.</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Amazon phishing" src="/Blog/PublishingImages/Clanky/2020/phishing-amazon.png" data-themekey="#" style="margin:5px;width:658px;" /> </p><p style="text-align:center;"> <img class="maxWidthImage" alt="Amazon phishing" src="/Blog/PublishingImages/Clanky/2020/phishing-amazon-2.png" data-themekey="#" style="margin:5px;width:658px;" /> </p><h2>Jak se chránit před phishingem? Přinášíme několik základních bezpečnostních tipů:</h2><p><strong>1. Všímejte si detailů.</strong> Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám.<br><strong>2. Sdílejte s rozvahou.</strong> Obecně platí, že nesdílejte více, než je nezbytně nutné, a to bez ohledu na web. Společnosti nepotřebují vaše číslo sociálního zabezpečení ani rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám.<br><strong>3. Smažte podezřelé e-maily.</strong> Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelý e-mail smažte bez otevírání a klikání na odkazy.<br><strong>4. Neklikejte na přílohy.</strong> Neotvírejte přílohy v podezřelých nebo podivných e-mailech - zejména přílohy Word, Excel, PowerPoint nebo PDF.<br><strong>5. Ověřte odesílatele. </strong>U každého e-mailu zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem e-mailu? Obsahuje e-mailová doména nějaké překlepy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele.<br><strong>6. Neodkládejte aktualizace.</strong> V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.</p><p>Pokud se chcete dozvědět více o bezpečnosti IoT, ale také o bezpečné vzdálené práci v době koronavirové, zabezpečení nemocnic před kyberútoky nebo o ochraně finančních společností a cloudových a mobilních prostředí, pak se zaregistruje na největší českou kyberbezpečnostní událost roku, konferenci Check Point <SECURE>, která proběhne 11. 11. 2020 od 9:00. Více informací najdete na stránce: <a href="https://virtual-czech.checkpoint.com/" target="_blank">https://virtual-czech.checkpoint.com</a></p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>0
Polovina průmyslových firem věří, že IoT zlepší jejich kyberbezpečnosthttps://www.antivirus.cz/Blog/Stranky/polovina-prumyslovych-firem-veri-ze-iot-zlepsi-jejich-kyberbezpecnost.aspxPolovina průmyslových firem věří, že IoT zlepší jejich kyberbezpečnost<p> <strong>Od probíhající digitalizace průmyslové infrastruktury si 55 % organizací slibuje, že internet věcí jako jeden z klíčových aspektů tohoto procesu změní stav ochrany průmyslových řídicích systémů (ICS). Podle nedávného reportu společnosti Kaspersky jsou kybernetická rizika spojená s IoT pro 20 % firem kritickým problémem, který musí řešit. Účinná řešení proti hrozbám namířeným na internet věcí zatím ale nejsou široce rozšířena.</strong></p><p>Průmyslové podniky pokračují v implementaci digitalizace a standardů Průmyslu 4.0, a to i přes zpomalení trhu v důsledku koronavirové pandemie. Konzultační firma McKinsey & Company ve svém reportu uvádí, že 90 % výrobních firem a dodavatelských společností plánuje investovat do talentů z oboru digitalizace. Jejich výzkum také ukazuje, že společnosti, které se do těchto projektů rozhodly investovat, se během krize cítí sebejistěji.</p><p>Rostoucí počet digitalizačních projektů, jako je průmyslový internet věcí, zároveň zvyšuje povědomí o souvisejících rizicích. U každé páté společnosti (20 %) se útoky na IIoT již staly jedním z hlavních problémů v oblasti kybernetické bezpečnosti. V souvislosti s útoky na IIoT se tak setkaly s úniky dat (15 %) nebo útoky na dodavatelský řetězec (15 %). Řešení takovýchto incidentů stále častěji vyžaduje zapojení nejen IT týmu, ale i bezpečnostních odborníků. Téměř polovina dotázaných podniků uvedla, že u nich v tomto roce pracuje specialista na IT zabezpečení, který se věnuje iniciativám na ochranu digitalizovaných OT systémů (44 %).</p><p style="text-align:center;"> <img class="maxWidthImage" alt="Kaspersky Industrial Cybersefurity report" src="/Blog/PublishingImages/Clanky/2020/ICS-Report-2020_Infographic.jpg" style="margin:5px;width:658px;height:931px;" /> </p><p>Report ale také ukázal, že zdaleka ne všechny firmy jsou připraveny čelit hrozbám proti IoT. Pouze 19 % společností už implementovalo aktivní monitorování sítě a provozu a 14 % zavedlo detekci anomálií v síti. Právě tato řešení přitom umožňují bezpečnostním týmům sledovat anomálie a škodlivou aktivitu v systémech IoT.</p><p>„Míra implementace propojených zařízení a inteligentních systémů v rámci průmyslových podniků bude i nadále stoupat. Spolu s ní by se ale mělo navyšovat i zabezpečení těchto systémů. Ochrana by proto měla být nedílnou součástí IIoT systémů, být jejich jádrem, které zamezí jakékoliv možnosti útoku. Spolu s ochranou provozu by tak tyto technologie zaručovaly celkové zabezpečení systému,“ komentuje Grigory Sizov, bezpečnostní odborník ze společnosti Kaspersky.</p><p>Celý report společnosti Kaspersky si můžete přečíst na tomto <a href="https://ics.kaspersky.com/the-state-of-industrial-cybersecurity-2020/" target="_blank">odkazu</a>.</p>0
On-line konference Check Point <SECURE>https://www.antivirus.cz/Blog/Stranky/online-konference-check-point-secure.aspxOn-line konference Check Point <SECURE><p><strong>Počet kyberútoků na české organizace se drží nad evropským průměrem, Check Point poradí s ochranou na virtuální konferenci. </strong></p><p>Letošní rok přinesl nové kyberbezpečnostní výzvy. Koronavirová pandemie změnila způsob práce, vzdělávání a celkově styl našich životů. Za poslední půl rok navíc čelily české společnosti v průměru 484 kyberútokům týdně na jednu organizaci, přičemž evropský průměr je za stejné období pouze 349 kyberútoků.</p><p>Kyberbezpečnostní společnost Check Point Software Technologies chce proto pomoci organizacím napříč všemi obory pochopit nové kybernetické hrozby a rizika. Chystá proto největší českou kyberbezpečnostní událost roku, <a href="https://virtual-czech.checkpoint.com/">virtuální konferenci Check Point </a>, která proběhne 11. 11. 2020 od 9:00. Na konferenci vystoupí české i světové špičky v kybernetické bezpečnosti a seznámí posluchače s dopady globální pandemie na IT i s tím, jak se organizace mohou připravit a čelit souvisejícím rizikům.</p><p>Exkluzivním hostem bude Gil Shwed, zakladatel a CEO společnosti Check Point a vynálezce prvního firewallu (FireWall-1), který v úvodní části upozorní na rychlost vývoje technologií a nutnost zabezpečit vše, včetně IoT zařízení, i to, že je potřeba se připravit na novou generaci ochrany, nanobezpečnost.</p><p>Účastníci si budou moci vybírat z bohatého programu a navštívit hned tři virtuální sály: manažerský, technický a případové studie.</p><p>Jony Fischbein, Chief Information Security Officer, Check Point, ukáže, co obnáší správa bezpečnosti v elitní kyberbezpečnostní společnosti. V manažerském sále se mohou účastníci těšit i na novinky v zabezpečení cloudových a mobilních prostředí, na zranitelnosti a slabiny IoT zařízení nebo na kyberbezpečnostní vize a trendy. V technickém sále budou připravené praktické ukázky a tipy pro bezpečnou vzdálenou práci nejen v době koronavirové pandemie, chybět nebudou ani ukázky konkrétních řešení a workshop věnovaný ochraně IoT/SCADA systémů.</p><p>Silná témata budou v sekci případových studií, kde budou připravené bezpečnostní příběhy úspěšných organizací: Alza.cz, Česká spořitelna, Krajská nemocnice Tomáše Bati Zlín, Student Agency a Vodafone Czech Republic.</p><p>Vzhledem k nárůstu a sofistikovanosti kybernetických hrozeb by žádná organizace neměla na Check Point <SECURE> chybět.</p><p>Více informací a registrační formulář najdete na stránce <a href="https://virtual-czech.checkpoint.com/">https://virtual-czech.checkpoint.com</a>.<br></p>0
Spyware GravityRAT útočí na Android, Mac OS i Windowshttps://www.antivirus.cz/Blog/Stranky/spyware-gravityrat-utoci-na-android-mac-os-i-windows.aspxSpyware GravityRAT útočí na Android, Mac OS i Windows<p>​<strong>Společnost Kaspersky identifikovala doposud neznámý vzorek spywaru útočícího na Android. Tento škodlivý modul byl vložen do cestovatelské aplikace určené pro uživatele z Indie. Podrobnější analýza odhalila, že by mohl mít souvislost s GravityRAT, špionážním Remote Access Trojanem (RAT), který byl již dříve aktivní na území Indie. Jeho tvůrci se z něj zároveň s největší pravděpodobností snažili udělat multiplatformní nástroj – kromě útoků na operační systémy Windows je nyní schopný útočit i na Android a Mac OS.  </strong></p><p>V roce 2018 uveřejnili odborníci na kybernetickou bezpečnost přehled vývoje hrozby označené GravityRAT. Tento nástroj byl použit v útocích proti indickým vojenským cílům. Z dat společnosti Kaspersky vyplývá, že je tato kampaň aktivní přinejmenším od roku 2015, přičemž se zaměřuje hlavně na operační systém Windows. Před pár lety se ale situace změnila. Skupina totiž začala útočit i na zařízení s operačním systémem Android.</p><p>Nově identifikovaný modul je této změny důkazem, ale zároveň se objevila řada důvodů, proč nepřipomínal typický vzorek spywaru pro Android. Například je nutné pro spuštění škodlivých funkcí vybrat konkrétní aplikaci. Škodlivý kód se zároveň nezakládá na kódu dříve známých spywarových aplikací. Proto se odborníci z Kaspersky rozhodli porovnat modul s již známými rodinami APT hrozeb.</p><p>Analýza použitých C&C adres odhalila několik dalších škodlivých modulů souvisejících s tvůrci GravityRAT. Celkem bylo objeveno více než 10 verzí GravityRAT, které se na první pohled tváří jako legitimní aplikace, jako jsou například aplikace pro bezpečné sdílení souborů (chránicí uživatelská zařízení před šifrováním trojskými koňmi) nebo přehrávače médií. Společně umožnily tyto moduly skupině proniknout do zařízení s Windows, MacOS a Android.</p><p>Výčet funkcí tohoto škodlivého softwaru byl ve většině případů standardní a pro spyware typický. Moduly jsou schopné získat data ze zařízení, seznamy kontaktů, e-mailové adresy, záznamy hovorů a SMS zprávy. Některé trojské koně také vyhledávaly soubory s příponami .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .dockx a .opus.</p><p>„Naše investigace ukázala, že aktér stojící za GravityRAT neustále investuje do svých špionážních kapacit. I kvůli chytrému maskování a rozšířenému portfoliu OS, na které mohou útočit, se obáváme, že brzy v regionu APAC uvidíme další útoky tímto malwarem. Zároveň toto zjištění také podtrhává současný trend, kdy kyberzločinci nemusí nutně vyvíjet nový malware, ale vylepšovat již existující,“ komentuje Taťána Shishkova, bezpečnostní odbornice společnosti Kaspersky.</p><p>Bližší informace se o této hrozbě dozvíte na blogu <a href="https://securelist.com/gravityrat-the-spy-returns/99097/" target="_blank">Securelist</a>.<br></p>0
Mobilní stalkerware během září oslabil o čtvrtinuhttps://www.antivirus.cz/Blog/Stranky/mobilni-stalkerware-behem-zari-oslabil-o-ctvrtinu.aspxMobilní stalkerware během září oslabil o čtvrtinu<h3>Nejběžnější hrozbou pro platformu Android v uplynulém měsíci byly špehovací aplikace. Google proti nim začne více bojovat. </h3><p><br><strong>Nejběžnější hrozbou pro české uživatele zůstal stalkerware, tedy malware, který umožní sledovat majitele napadeného telefonu bez jeho vědomí. Podle aktuálních dat a pravděpodobně i díky snahám bezpečnostních firem a oficiálního obchodu Google Play počet detekcí klesal. Vyplývá to z analýzy a pravidelné statistiky kybernetických hrozeb společnosti ESET.</strong></p><p>V průběhu září zaznamenali analytici snížení počtu útoků pomocí stalkerware. Počet detekcí této hrozby klesl o 25 %.</p><p>„Za oslabením této snahy vidím výrazný tlak bezpečnostních společností a Googlu, jakožto vývojáře systému Android. V září společnost ohlásila změnu programových zásad pro vývojáře pro aplikační obchod Google Play,“ popisuje Martin Jirkal, vedoucí analytického oddělení z české pobočky firmy ESET.  „Nepochybně je to dobrý krok, který vývojáře škodlivých aplikací na nějaký čas zpomalí. Úplný zánik mobilního stalkerware ale očekávat nelze. Přinejmenším bude i nadále dostupný mimo oficiální obchod.“</p><p><a href="https://support.google.com/googleplay/android-developer/answer/10065487" target="_blank">Nové podmínky</a> platí od října. Tvůrci aplikací nesmějí například prezentovat své řešení jako aplikace určené ke špehování, maskovat ani skrývat sledovací funkce, musí být možné aplikace zřetelně identifikovat pomocí jedinečné ikony.</p><h2>Mobilní telefon v rukou stalkera</h2><p>Nejčastější hrozbou pro české uživatele zůstal stalkerware Cerberus. Jedná se o aplikaci z neoficiálního zdroje, která slouží ke sledování a ovládání telefonu na dálku. Vývojáři ji propagují jako nástroj pro případ krádeže a službu rodičovské kontroly. Pomocí SMS příkazů tato aplikace dokáže například zapnout Wi-Fi, přečíst SMS, smazat některé údaje či sledovat polohu.</p><p>„Zároveň je možné tuto aplikaci skrýt v systému, což společně se vzdálenými příkazy odporuje pravidlům oficiálního obchodu. Proto aplikaci oficiální cestou stáhnout nelze,“ vysvětluje Jirkal.</p><p>Hrozbou byla, stejně jako v předchozích měsících, také předinstalovaná sada nástrojů Guardian. Tyto sledovací nástroje jsou součástí předinstalovaných aplikací v levných telefonech z Asie.</p><p>Novinkou ve statistice nejběžnějších hrozeb je malware Traca, jedná se o knihovnu funkcí, které dokáží sledovat zařízení. </p><p>„Z telemetrie vidíme, že tvůrci malware se tuto knihovnu snaží skrývat. Knihovny jako je tato obecně slouží vývojářům mobilních aplikací. Obsahují jakési šablony pro různé funkce. Například si tak lze stáhnout kód pro vyskakovací upozornění a ten jen upravit. V tomto případě jde o vzory pro sledovací funkce. Tvůrci Tracy zneužívají legitimní GPS platformu Traccar,“ vysvětluje Jirkal.</p><p>V minulosti analytici ESETu zachytili tuto škodlivou knihovnu například v aplikacích Namierz, GPS IntTel Track nebo Traccar Client. Některé verze navíc sledovaly i další údaje – například sportovní výkony z jiných aplikací či jaké hry uživatel hraje.</p><h2>Uživatele ochrání obezřetnost</h2><p>Většinu mobilního malware si uživatel do zařízení stáhne sám z neoficiálního zdroje, zpravidla v rámci nějaké škodlivé aplikace, která má na první pohled zcela legitimní funkci. </p><p>„Za oficiální zdroj aplikací lze považovat výhradně obchod Google Play. Jeho správci dlouhodobě aktivně pracují na co nejkvalitnějším zabezpečení a eliminaci všech potenciálních rizik.  Přesto bych doporučil uživatelům, aby si do svých telefonů nainstalovali i spolehlivý bezpečnostní program, který odhalí i hrozby při prohlížení internetu, v e-mailech a další,“ uzavírá Jirkal.</p><h2>Nejčastější kybernetické hrozby pro platformu Android v České republice za září 2020:</h2><p>1. Application.Android/Monitor.Cerberus (3,17 %)<br>2. Application.Android/Monitor.Traca (1,72 %)<br>3. Application.Android/Monitor.Guardian (1,67 %)<br>4. Trojan.Android/Agent.BPO (1,65 %)<br>5. Application.Android/Monitor.Androidlost (1,58 %)<br>6. Trojan.Android/Agent.CAM (1,29 %)<br>7. Trojan.Android/Agent.BZF (1,22 %)<br>8. Trojan,Android/TrojanDropper,Agent,CJM (1,20 %)<br>9. Trojan.Android/Spy.SmsSpy.PD (1,18 %)<br>10. Trojan.Android/TrojanDropper.Agent.FRE (1,13 %)<br></p>0
YouTube, Facebook, WhatsApp – často používané zaměstnanci i často zneužívané hackeryhttps://www.antivirus.cz/Blog/Stranky/youtube-facebook-whatsapp-casto-pouzivane-zamestnanci-i-casto-zneuzivane-hackery.aspxYouTube, Facebook, WhatsApp – často používané zaměstnanci i často zneužívané hackery<p>​<strong>YouTube, Facebook, služby od Googlu a WhatsApp patří mezi zaměstnanci malých a středních firem k nejpoužívanějším webovým službám, které navštěvují v pracovní době. Některé z těchto aplikací přitom zločinci velmi často zneužívají ke svým nebezpečným aktivitám, jako je phishing. Aplikace v tomto výčtu se však liší od těch, které jsou ze strany zaměstnavatelů na seznamu zakázaných služeb na firemních zařízeních. </strong></p><p>Je nezbytné, aby organizace měly přehled o relevantních hrozbách a o tom, jak mohou kyberzločinci proniknout do firemních zařízení – například prostřednictvím phishingu a cloudových služeb. Webové služby se totiž s narůstající oblibou stanou atraktivnějším cílem kyberzločinců. Jako příklad uveďme aplikaci TikTok, která v průběhu pár let získala obrovskou popularitu. Postupem času ji zaplavili falešné účty a podvodníci, kteří získávají nové dovednosti. Ochrana před jejich podvody je zásadní jak pro zabezpečení osobních uživatelských účtů, tak i firemních dat a zařízení.</p><p>Podle anonymizovaných statistik z produktů Kaspersky, které zákazníci sdílejí na základě dobrovolného souhlasu, patří mezi top pět webových služeb, které zaměstnanci nejčastěji používají na pracovních zařízeních, platforma pro sdílení videí, sociální síť, e-mailové služby a messenger. Konkrétně jde o YouTube, Facebook, Google Drive, Gmail a WhatsApp.</p><p>Jedná se bohužel o stejné webové služby, které jsou velmi často zneužívány k phishingu a dalším škodlivým aktivitám. Analýza společnosti Kaspersky poukázala na pět aplikací, které jsou nejčastějším cílem phishingových útoků: Facebook (4,5 milionu phishingových pokusů), WhatsApp (3,7 milionu), Amazon (3,3 milionu), Apple (3,1 milionu) a Netflix (2,7 milionu). Veškeré služby pod značkou Google, jako je YouTube, Gmail nebo Google Disk přilákaly 1,5 milionu phishingových pokusů. Při porovnání obou těchto výčtů aplikací tak dojdeme k závěru, že jsou oblíbené aplikace bohužel často terčem hackerských útoků.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:33px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Nejpoužívanější služby</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Nejčastěji blokované služby</span></h3></td><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" style="text-align:center;"><h3> <span style="color:#ffffff;">Služby nejčastěji zneužívané v rámci phishingu</span></h3></td></tr><tr><td class="ms-rteTable-default">YouTube</td><td class="ms-rteTable-default">Facebook</td><td class="ms-rteTable-default">Facebook</td></tr><tr><td class="ms-rteTable-default">Facebook</td><td class="ms-rteTable-default">Twitter</td><td class="ms-rteTable-default">WhatsApp</td></tr><tr><td class="ms-rteTable-default">Google Drive</td><td class="ms-rteTable-default">Pinterest</td><td class="ms-rteTable-default">Amazon (všechny služby)</td></tr><tr><td class="ms-rteTable-default">Gmail</td><td class="ms-rteTable-default">Instagram</td><td class="ms-rteTable-default">Apple (všechny služby včetně iCloud)</td></tr><tr><td class="ms-rteTable-default">WhatsApp</td><td class="ms-rteTable-default">LinkedIn</td><td class="ms-rteTable-default">Netflix</td></tr></tbody></table><p> <br>Ze statistik také vyplynulo, jaké webové aplikace jsou ve firmách nejčastěji na seznamu nepovolených služeb na firemních zařízeních. Top pět blokovaných aplikací zahrnuje pouze sociální sítě: Facebook, Twitter, Pinterest, Instagram a LinkedIn. K takovýmto nařízením firmy vedou různé důvody, například dodržování předpisů ochrany dat nebo soulad se specifickými požadavky organizace. I když na seznamu figuruje Facebook, který je u hackerů velmi oblíbený, nejsou v něm zahrnuty messengery nebo e-mailové služby. Důvodem je nejspíš jejich časté využívání pro pracovní účely.</p><p>„Už si asi nedovedeme představit náš pracovní ani soukromý život bez různých webových služeb, sociálních sítí nebo messengerů. Díky nim jsme ve spojení s blízkými, kolegy, sdílíme jejich prostřednictvím nápady, obrázky a tak dále. Firmy by však neměly brát na lehkou váhu riziko, které tyto aplikace mohou představovat pro firemní zařízení a data. Měly by najít rovnováhu, co se týče šíře jejich využívání na firemních zařízeních, nastavit jasná pravidla a poskytnout zaměstnancům odborná školení v oblasti bezpečnosti na internetu,“ říká Taťána Sidorina, bezpečnostní odbornice ze společnosti Kaspersky.</p><ul><li>Firmy by proto měly zaměstnancům vysvětlit, jak rozpoznat falešné nebo nezabezpečené webové stránky a phishingové zprávy. Pracovníci by si měli osvojit i ověřování důvěryhodnosti stránek a na pochybných webech nezadávat přihlašovací či jiné citlivé údaje. </li><li>Společnosti by měly <a href="https://www.aec.cz/cz/security-academy">školit zaměstnance v oblasti IT bezpečnosti</a>. Toho lze dosáhnout i díky online výukovým programům, které se zaměřují na phishing, správu účtů a nastavování hesel, bezpečnost v e-mailové komunikaci, zabezpečení koncových zařízení nebo bezrizikovou práci na internetu. </li><li>Firmy by měly používat <a href="https://www.aec.cz/cz/av">účinné bezpečnostní řešení</a> chránicí před online hrozbami a poskytující ochranu koncovým zařízením, firemní síti a e-mailovým klientům.</li></ul> <br><br>0
Třetina mileniálů si myslí, že jsou pro hackery nezajímaví. Přitom průměrně tráví online přes 7 hodin denněhttps://www.antivirus.cz/Blog/Stranky/tretina-milenialu-si-mysli-ze-jsou-pro-hackery-nezajimavi-pritom-prumerne-travi-online-pres-7-hodin-denne.aspxTřetina mileniálů si myslí, že jsou pro hackery nezajímaví. Přitom průměrně tráví online přes 7 hodin denně<p> <strong>Průzkum společnosti Kaspersky ukázal, že většina mileniálů hledá v rámci svého digitálního života určitou komfortní zónu, v níž hraje kyberbezpečnost jednu z nejdůležitějších rolí. Přesto se ale více než třetina z nich (37 %) domnívá, že jsou pro kyberzločince neatraktivním cílem.</strong></p><p>Nejnovější globální report společnosti Kaspersky s názvem Propojenější než kdy dříve: jak si budujeme digitální komfortní zóny zkoumá, jak měníme své návyky s ohledem na maximální pohodlí umožněné moderními technologiemi. Jedním z hlavních zjištění je fakt, že mileniálové na jednu stranu kladou velký důraz na online bezpečnost, ve skutečnosti se ale na druhou stranu podle této teze neřídí. </p><p>Hodně mileniálů si myslí, že jsou pro hackery nezajímavým cílem, zároveň ale 36 % z nich uvádí, že by pro posílení svého digitálního bezpečí chtěli dělat více. Na pomyslném seznamu úkolů je však tato činnost pohřbena hluboko pod jinými aktivitami.</p><p>Protože současná situace přinutila mnoho lidí pracovat z domova, stal se domov technologickým centrem také pro mileniály. Ti nyní tráví na internetu v porovnání se začátkem roku bezmála o dvě hodiny více (1,8 hodiny) – čímž se jejich denní průměr zvýšil až na 7,1 hodin strávených online. Téměř polovina (49 %) v průzkumu uvedla, že si díky tomuto extra času na internetu více uvědomují rizika a nutnost ochrany spojené s digitálním světem. Mileniálové tráví většinu času na sociálních sítích, ale téměř dvě třetiny (61 %) tvrdí, že trend online randění z domova představuje pro jejich online bezpečnost problém. </p><p>Aby se před těmito problémy chránili, instaluje si polovina (52 %) generace Y aplikace pouze z oficiálních obchodů jako je Apple Store a Google Play. 49 % také nechává pravidelně proběhnout antivirovou kontrolu na každém ze svých zařízení, aby je tím chránili. Najdou se mezi nimi však také mazaní jedinci, kterých je dohromady 13 %, kteří se přiznali k používání sousedovy WiFi, aniž by o tom její majitel věděl.</p><p>„Rok 2020 je pro domácnosti po celém světě stran digitalizace přelomový. Vzhledem k tomu, že se na domácí pracoviště přesunula velká část populace, je naše závislost na digitálních technologiích obrovská. Proto jsme chtěli v průzkumu zjistit, jak moc tento rok ovlivnil naše chování a pocity v rámci digitálního světa a nakolik jsme pohodlní co se týče digitálních technologií. Není překvapením, že mileniálové vnímají důležitost digitální bezpečnosti a uvědomující si ji o to více, jak se stírají rozdíly mezi prací a domovem. Zjištění nám tak pomohou optimalizovat bezpečnost mileniálů a dalších uživatelů,“ říká Andrew Winton, vice prezident marketingu ve společnosti Kaspersky.</p><h2>Aby vaše zařízení a osobní údaje zůstaly na internetu chráněny, společnost Kaspersky mileniálům doporučuje:</h2><ul><li>Věnujte pozornost autenticitě webových stránek. Nenavštěvujte webové stránky, dokud si nejste jisti, že jsou legitimní a začínají na "https". Zkuste si najít recenze na weby, které se vám zdají podezřelé.</li> <li>Mějte přehled o svých online účtech, abyste měli povědomí o tom, které služby a webové stránky mohou ukládat vaše osobní údaje.</li><li>V nastavení svého smartphonu zablokujte instalaci programů z neznámých zdrojů a nainstalujte pouze aplikace z oficiálních obchodů s aplikacemi.</li></ul><p> <br>Další zjištění průzkumu Propojenější než kdy dříve: jak si budujeme digitální komfortní zóny získáte na tomto <a href="https://www.kaspersky.com/blog/digital-comfort-zone-report/" target="_blank">odkazu</a>.</p>0
MosaicRegressor – hrozba číhající ve stínu UEFIhttps://www.antivirus.cz/Blog/Stranky/mosaicregressor-hrozba-cihajici-ve-stinu-uefi.aspxMosaicRegressor – hrozba číhající ve stínu UEFI<p>​<strong>Odborníci ze společnosti Kaspersky odhalili pokročilou trvalou hrozbu (APT), která ke kyberšpionáži používá velmi ojedinělý druh malwaru známý jako firmware bootkit. Ten byl detekován monitorovací technologií UEFI / BIOS od Kaspersky, která je schopná detekovat známé i neznámé hrozby. Tato technologie objevila doposud neznámý malware v rozhraní Unified Extensible Firmware Interface (UEFI), které je nezbytnou součástí všech moderních počítačů. Kvůli tomu je velmi obtížné ji odhalit a zbavit se jí. Tento UEFI bootkit byl pro tento malware vytvořen na míru díky bootkitu Hacking Team, který unikl v roce 2015.</strong></p><p>UEFI firmware je nedílnou součástí počítače, která se spustí ještě před operačním systémem a dalšími nainstalovanými programy. Pokud dojde k jakémukoliv upravení UEFI firmwaru a vložení škodlivého kódu, dojde k jeho spuštění ještě před nastartováním operačního systému, čímž se stane v podstatě neviditelným pro bezpečnostní řešení. Firmware je navíc uložen na flash chipu odděleně od pevného disku, což z takového útoku dělá velmi nenápadnou a trvalou hrozbu. Infekce firmwaru tak v podstatě znamená, že bez ohledu na to, kolikrát byl operační systém přeinstalován, malware rozšířený bootkitem zůstává v zařízení téměř na vždy.</p><p>Odborníci ze společnosti Kaspersky objevili vzorky tohoto malwaru v kampaních, které šířily různé komplexní, několikastupňové modulární struktury známé jako MosaicRegressor. Ty byly použity ke špionáži a shromažďování dat, přičemž UEFI malware použili útočníci jako jednu z metod persistence pro tento nový a doposud neznámý malware.</p><p>Objevené části UEFI bootkitu vycházejí do značné míry z bootkitu „Vector-EDK“, který vyvinuli hackeři z Hacking Team. Zdrojový kód této sady unikl na internet v roce 2015, což s největší pravděpodobností umožnilo pachatelům snadno vytvořit vlastní software.</p><p>Popisované útoky byly odhaleny pomocí firmwarového skeneru Firmware Scanner, který je součástí produktů Kaspersky od začátku roku 2019. Tato technologie byla vyvinuta s cílem detekovat hrozby skrývající se v ROM BIOS včetně firmwaru UEFI.</p><p>I když nebylo možné přesně zjistit, jak došlo k infikaci počítače, která útočníkům umožnila přepsat originální firmware UEFI, odborníci z Kaspersky odvodili jednu možnost, jak by to bylo možné udělat. Jejich předpoklad se zakládá na informacích o VectorEDK, které unikly v dokumentech Hacking Teamu. Údaje naznačují, aniž by byly vyloučeny další možnosti, že k infekci mohlo dojít prostřednictvím fyzického přístupu k počítači oběti, konkrétně pomocí bootovatelného USB klíče, který obsahoval speciální aktualizační nástroj. Patchovaný firmware by pak usnadnil instalaci Trojan downloaderu – malwaru, který umožňuje stažení libovolného škodlivého programu, když je spuštěný operační systém.</p><p>Ve většině případů byly ale komponenty MosaicRegressor doručovány obětem mnohem méně sofistikovaným způsobem, jakým je spear-phishing, kdy byl dropper ukryt v archivu společně s decoy souborem. Vícemodulová struktura umožnila útočníkům skrýt svoji širší strukturu před možnou analýzou a umisťovat škodlivé komponenty pouze do cíleně vybraných počítačů. Prvním malwarem staženým do infikovaného zařízení je Trojan-downloader. V závislosti na tom, jaký další škodlivý malware tento program stáhne, dojde ke stažení nebo nahrání libovolných arbitrárních souborů z nebo na arbitrární URL adresy a ke shromažďování informací z napadeného počítače. </p><p>Na základě odhalených spojení mezi oběťmi byli odborníci schopni určit, že MosaicRegressor byl použit v sérii cílených útoků zaměřených na diplomaty a členy nevládních organizací z Afriky, Asie a Evropy. Některé z útoků obsahovaly spear-phishingové dokumenty v ruštině, zatímco jiné se týkaly Severní Koreje a sloužily jako návnada ke stažení malwaru.</p><p>Kampaň nelze s určitostí přiřadit žádné známé kyberzločinecké skupině.</p><p>„Použití uniklého zdrojového kódu třetí strany a jeho přizpůsobení novému pokročilému malwaru opět zdůrazňuje důležitost zabezpečení dat. Jakmile dojde k úniku softwaru – ať už jde o bootkit, malware nebo něco jiného – získávají kyberzločinci velkou výhodu. Díky volně dostupným nástrojům mohou vylepšovat a přizpůsobovat své sady nástrojů s menším úsilím a menší pravděpodobností odhalení,“ komentuje Igor Kuznětsov, bezpečnostní odborník týmu GReAT společnosti Kaspersky.</p><p>Více detailů o MosaicRegressor je dostupných na <a href="https://securelist.com/mosaicregressor/98849/" target="_blank">blogu Securelist</a>.<br></p>0
ESET se podílel na globální operaci proti botnetu Trickbot, který infikoval více než milion počítačůhttps://www.antivirus.cz/Blog/Stranky/eset-se-podilel-na-globalni-operaci-proti-botnetu-trickbot-ktery-infikoval-vice-nez-milion-pocitacu.aspxESET se podílel na globální operaci proti botnetu Trickbot, který infikoval více než milion počítačů<h3>Trickbotem infikovaná síť počítačů krade přihlašovací údaje, v nedávné době rovněž šířila ransomware. ESET prováděl technickou analýzu, která umožnila uskutečnit celou operaci. </h3><p><br><strong>Analytici společnosti ESET se podíleli na celosvětové operaci, jejímž cílem bylo narušit aktivity botnetové sítě Trickbot. Ta od roku 2016 zahrnovala přes milion infikovaných počítačů. V rámci této operace se ESET ve spolupráci se společnostmi Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT a dalšími zaměřil na řídící servery Trickbotu. Experti z ESETu připravovali pro operaci technickou analýzu, statistická data a informace o doménách a IP adresách kontrolních (C&C) serverů. Trickbot se zaměřuje na odcizení přihlašovacích údajů z kompromitovaných počítačů, nedávno také bezpečnostní technici zachytili mechanismy určené ke škodlivějším typům útoků, jakým je zejména ransomware.</strong></p><p>Analytici společnosti ESET sledovali aktivity vývojářů Trickbotu od první detekce tohoto botnetu v závěru roku 2016. Jen v roce 2020 prozkoumal analytický systém ESETu, určený pro sledování botnetů, přes 125 000 škodlivých vzorků a stáhl a dešifroval přes 40 000 konfiguračních souborů, které využívaly různé moduly Trickbotu. Tato data poskytla vynikající náhled na různé kontrolní servery tohoto botnetu.</p><p>„Botnet je obecně označení pro síť infikovaných počítačů řízených z jednoho kontrolního, tzv. C&C serveru. Tuto síť útočníci používají k různým útokům na ostatní zařízení, například rozesílání spamu nebo tzv. DDoS útoky, které mohou ochromit a shodit vybrané weby. Setkáváme se ale s tím, že cílem mohou být i počítače, které jsou v botnetu. Uživatelé, jejichž zařízení v takové síti je, o tom zpravidla nemají ponětí,“ vysvětluje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.</p><p>„Během let, kdy jsme jej sledovali, jsme dostávali pravidelná hlášení o dalších zařízeních kompromitovaných Trickbotem. Tento postupný a trvalý růst z něj dělá jeden z největších a nejdéle aktivních botnetů. Trickbot je jednou z nejrozšířenějších skupin bankovního malware, která představuje celosvětovou hrozbu,“ dodává Šuman.</p><p>Tvůrci Trickbotu využívali různé metody pro jeho distribuci. Nedávno experti zachytili novinku, kdy Trickbot napadal systémy, které již předtím kompromitoval Emotet, jiný rozsáhlý botnet. V minulosti využívali většinou útočníci Trickbot jako bankovního trojského koně, který měl odcizit přihlašovací údaje z online bankovních účtů, a provést podvodné převody. Jeden z nejstarších pluginů umožnoval Trickbotu využívat techniku vkládání kódu do webových stránek. To malwaru umožňuje dynamicky měnit, co uživatel napadaného systému uvidí při návštěvě specifické webové stránky.</p><p>„Prostřednictvím našeho monitoringu tohoto malware jsme posbírali desítky tisíc různých konfiguračních souborů. Díky tomu jsme zjistili na jaké webové stránky se tvůrci Trickbotu zaměřili. Cílové URL adresy náleží v podstatě bez výjimky finančním institucím,“ dodává Šuman.</p><p>„Narušení funkce tohoto botnetu je velmi náročný úkol, protože má různé záložní mechanismy a je propojený s dalšími vysoce aktivními aktéry ve sféře kyberzločinců,“ uzavírá Šuman.</p><p style="text-align:center;"> <img src="/Blog/PublishingImages/Clanky/2020/trickbot-eset.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /></p><p style="text-align:center;"><em>Celosvětové detekce malware Trickbot mezi říjnem 2019 a 2020 | Zdroj: Telemetrická data ESET</em></p><p>Další technické detaily o Trickbotu najdete v magazínu <a href="https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/" target="_blank">WeLiveSecurity.com</a>.<br></p>0
Třetina útoků v Česku mířila v září na heslahttps://www.antivirus.cz/Blog/Stranky/tretina-utoku-v-cesku-mirila-v-zari-na-hesla.aspxTřetina útoků v Česku mířila v září na hesla<h3>Nejčastější útoky v září probíhaly v češtině. Experti varují před rizikovými e-maily. </h3><p><br><strong>Na začátku září probíhala kampaň využívající spyware, který získává hesla uložená v prohlížečích. Jedná se o dlouhodobě nejčastější hrozbu pro české uživatele. Tento i další spyware šířily prostřednictvím e-mailů v českém jazyce. Vyplývá to z analýzy a pravidelné statistiky kybernetických hrozeb společnosti ESET.</strong></p><p>Začátek školního roku se v oblasti internetových hrozeb projevuje podle expertů každý rok. V této době analytici detekují nárůst podvodných reklam, phishingu a spamu. Letošní září nebylo výjimkou. Prostřednictvím spamových kampaní se nejčastěji šířil spyware, tedy špionážní malware, který představuje v Česku dlouhodobě nejvýraznější hrozbu.</p><p>Na první příčce přehledu kybernetických hrozeb v Česku stanul trojský kůň Spy.Agent.CTW. Tento škodlivý kód v posledních měsících mířil primárně na Českou republiku, v srpnu cílené kampaně ustaly, ale nyní jsou útočníci opět aktivní.</p><p>„V druhém zářijovém týdnu jsme zachytili další masivní kampaň, která mířila na Česko. Kromě naší země se ale tvůrci tohoto malware zaměřují také na východní Evropu. Tento měsíc jsme poprvé zachytili útočné e-maily spojené s tímto malware v českém jazyce,“ popisuje vývoj Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.</p><p>Spy.Agent.CTW se zaměřuje na odcizení přihlašovacích údajů, především těch, které si uživatel uložil v prohlížeči. Je schopen vykrádat široké spektrum internetových prohlížečů, včetně Chrome, Firefox, Opera či Internet Explorer. Odcizené údaje mají pro útočníky velkou cenu na černém trhu a obchoduje se s nimi. </p><h2>Spyware se šířil e-maily v češtině</h2><p>Trojský kůň Spy.Agent.CTW se podle dat ESETu šířil v příloze s názvem „platební_faktura.exe”. Podle expertů soubory spustitelné ve Windows šíří malware v polovině incidentů. Útočníci své kampaně maskují za zprávy finančního charakteru, logistické dokumenty nebo například objednávky různých služeb či programů.</p><p>Stejným způsobem se k uživatelům dostával také druhý nejčastěji detekovaný malware – trojský kůň Spy.Agent.AES. Ten se šířil v e-mailu psaném českým jazykem s přílohou „kopie platby09886673.exe“. Kromě Česka byl analytiky společnosti ESET detekován ve větší míře zejména ve Španělsku, Turecku, Japonsku a Austrálii.</p><p>„Spyware útočníci neustále vyvíjejí. Například vytvářejí nové funkce, pro odcizení údajů i z jiných služeb nebo se snaží vytvořit maskovací mechanismy, aby se vyhnuli detekci. Například v srpnu jsme u malware Spy.Agent.AES objevili novou komponentu, která měla prověřit přítomnost antivirového produktu a firewallu. Je zřejmé, že útočníci do vývoje škodlivých kódů hodně investují, nedá se tedy očekávat, že by podobné útoky v nejbližší době ustaly,“ shrnuje Jirkal.</p><p>Do kategorie spyware spadá také Fareit, který byl třetí nejčastější hrozbou v Česku. V ojedinělých případech jej analytici detekovali v příloze e-mailů v českém jazyce s názvem „cenová poptávka 2019.pdf.exe“. Jedná se o starší kampaň z listopadu loňského roku. Jinak útočil spíše v anglicky psaných zprávách.</p><p>Stejně jako předchozí příklady spyware i Fareit se zaměřuje na odcizení hesel z prohlížečů nebo například FTP služeb.</p><h2>Ochrana? Správné zacházení s hesly</h2><p>E-mail patří mezi nejběžnější vektory pro distribuci malware. Šíří se jimi 92 % všech útoků. </p><p>„Pochopitelně nejlepší obranou je rozpoznat podezřelý e-mail a předejít tak zcela infikaci zařízení. Podezřelou přílohu dokáže také spolehlivě zastavit <a href="https://www.aec.cz/cz/av">bezpečnostní program</a>,“ doporučuje Jirkal. „V neposlední řadě bych také doporučil, aby uživatelé svá hesla spravovali správně, a tudíž nebylo možné je prostřednictvím těchto útoků vůbec ohrozit.“</p><p>Experti zejména nedoporučují ukládání hesel v prohlížečích. Namísto toho je bezpečnější používat pro uložení a správu hesel speciální k tomu určený program. Často bývá součástí i některých prémiových bezpečnostních programů.</p><p>Zároveň by si uživatelé měli tvořit silná a unikátní hesla. Nejčastěji se doporučují fráze složené z několika slov, které tvoří pro uživatele nějaký příběh. Optimálně by i tato fráze měly obsahovat velká a malá písmena, číslice a speciální znaky.</p><h2>Nejčastější kybernetické hrozby v České republice za září 2020:</h2><p>1. Trojan.MSIL/Spy.Agent.CTW (17,45 %)<br>2. Trojan.MSIL/Spy.Agent.AES (13,45 %)<br>3. Trojan.Win32/PSW.Fareit (3,02 %)<br>4. Trojan.VBA/Agent.SE (2,90 %)<br>5. Worm.MSIL/Autorun.Spy.Agent.DF (1,99 %)<br>6. Trojan.Win32/Formbook (1,80 %)<br>7. Backdoor.Win32/Rescoms (1,56 %)<br>8. Backdoor.Win32/Tofsee (1,50 %)<br>9. Backdoor.Win32/Agent.UAW (1,30 %)<br>10. Trojan.Win32/CrthRazy (1,19 %)<br></p>0
Průmyslová kyber-špionáž – malware MontysThreehttps://www.antivirus.cz/Blog/Stranky/prumyslova-kyberspionaz-malware-montysthree.aspxPrůmyslová kyber-špionáž – malware MontysThree<p><strong>Odborníci společnosti Kaspersky odhalili sérii precizně zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od odborníků pojmenování „MontysThree“. Využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.</strong></p><p>Vládní subjekty, diplomaté a telekomunikační operátoři bývají preferovaným cílem hackerských APT skupin, protože disponují množstvím vysoce citlivých informací. Zacílené špionážní kampaně proti průmyslovým subjektům jsou mnohem vzácnější – ale stejně jako jakékoliv jiné útoky proti průmyslovým firmám mohou mít pro podnikání zničující důsledky. Proto odborníci z Kaspersky velmi rychle reagovali na objevení aktivity MontysThree. </p><p>K získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První – loader – se zpočátku šíří pomocí souborů RAR SFX (archivy schopné sebeextrakce), které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy. Jedná se tak o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému. K tomu využívá techniku známou jako steganografie.</p><p>Steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor (formát pro ukládání digitálních obrázků). Po zadání správného příkazu použije loader vlastní algoritmus k dešifrování obsahu z pixelového pole a spustí tak škodlivý program.</p><p>Hlavní část malwaru využívá k obejití bezpečnostních opatření systému řadu vlastních šifrovacích technik, konkrétně používá algoritmus RSA k šifrování komunikace s řídicím serverem a k dešifrování hlavních „úkolů“ malwaru. Mezi ně spadá vyhledávání dokumentů se specifickými příponami a v konkrétních firemních adresářích. MontysThree je speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.</p><p>Shromážděné informace a další komunikace s řídicím serverem jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program. Díky tomu může řídicí server nerušeně provádět příkazy.</p><p>MontysThree také používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití nástroje Quick Launch sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací, jako je například internetový prohlížeč.</p><p>Odborníkům z Kaspersky se nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou. </p><p>„MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů. Celkově se složitost útoku liší modul od modulu, i tak je ale nelze srovnat s nejpokročilejšími APT útoky. Hackeři však používají silné kryptografické standardy a přistupují k důvtipným opatřením, mezi které patří vlastní steganografie. Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.</p>0
ESET odhalil skupinu hackerů XDSpy, od roku 2011 kradla vládní dokumenty ve východoevropských zemíchhttps://www.antivirus.cz/Blog/Stranky/eset-odhalil-skupinu-hackeru-xdspy-od-roku-2011-kradla-vladni-dokumenty-ve-vychodoevropskych-zemich.aspxESET odhalil skupinu hackerů XDSpy, od roku 2011 kradla vládní dokumenty ve východoevropských zemích<h3>​Dosud neznámá skupina v posledních měsících zneužívala spearphishing s tématikou koronaviru. </h3><p> <br> <strong>Analytici bezpečnostní společnosti ESET odhalili hackerskou skupinu, která se od roku 2011 zaměřovala na zcizování citlivých dokumentů z několika východoevropských států. Skupina je označena jako XDSpy. Útočníci dokázali kompromitovat řadu tamních vládních institucí i soukromých společností. Podle dostupných informací nedošlo k úniku dat z České republiky.</strong></p><p>Skupina XDSpy operuje od roku 2011. Je vzácné, aby skupina kybernetických útočníků zůstala tak dlouho neodhalená. Skupině se doposud dařilo unikat pozornosti veřejnosti, až do varování od běloruského CERT týmu (tým zaměřený na rychlou reakci na kybernetické incidenty) z února 2020. V Česku takovýto <a href="https://nukib.cz/cs/kyberneticka-bezpecnost/vladni-cert/" target="_blank">vládní CERT</a> spadá pod Národní úřad pro kybernetickou a informační bezpečnost.</p><p>„Při analýze této hrozby jsme nenarazili na žádné části kódu, které by se podobali jiným rodinám malware ani jsme nezaznamenali žádné prvky síťové infrastruktury, které by skupina, kterou označujeme jako XDSpy sdílela s jinou APT skupinou. Proto usuzujeme, že je XDSpy je zcela nová dosud neznámá skupina útočníků,“ uzavírá Dvořák.</p><h2>Skupina i nadále zneužívá strach z koronaviru</h2><p>Operátoři XDSpy využívají ke kompromitaci svých obětí cílené phishingové e-maily. Některé obsahovaly přílohu, jiné jen odkaz na nebezpečný soubor. První vrstva škodlivého souboru nebo přílohy byl obvykle ZIP nebo RAR archiv, který obsahoval LNK soubor stahující škodlivý skript. Ten pak stahoval a instaloval XDDown, hlavní malware této skupiny. Na konci června 2020 operátoři změnili taktiku a začali zneužívat chybu zabezpečení v aplikaci Internet Explorer označenou jako CVE-2020-0968. Přitom byla tato chyba opravena již v dubnu 2020. V příloze zpráv se tak namísto archivu začal objevovat dokument ve formátu RTF. Ten po svém otevření stáhl HTML soubor zneužívající zmíněnou zranitelnost v tomto prohlížeči.</p><p>„Přinejmenším dvakrát v letošním roce útočníci z této skupiny připravili e-maily, které zneužívaly situace okolo pandemie koronaviru. A toto téma XDSpy zneužívá i nadále v probíhajících kampaních,“ dodává Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.</p><h2>Pokročilé útoky se nevyhýbají ani ČR</h2><p>„XDSpy klasifikujeme jako APT skupinu, tedy zločince, kteří se zaměřují na tvorbu pokročilých trvalých hrozeb. V praxi tyto skupiny stojí za kybernetickými útoky, jejichž cílem je dlouhodobě infiltrovat cílový systém a vytěžit strategické, utajované nebo neveřejné informace. Podobné útoky jsou nebezpečné právě kvůli tomu, jak pečlivě jsou připravované a jak pokročilé a adaptivní techniky využívají. APT skupiny se typicky zaměřují na státní úřady či jinak strategicky významné cíle,“ popisuje Dvořák.</p><p>Cíle skupiny XDSpy se nacházely ve východní a jihovýchodní Evropě. Šlo především o vládní subjekty, včetně armády, ministerstev zahraničních věcí, ale i soukromých společností.</p><p style="text-align:center;"> <em><img class="maxWidthImage" src="/Blog/PublishingImages/Clanky/2020/XDSpy-obeti.png" data-themekey="#" alt="" style="margin:5px;width:658px;" /><br>Přehled známých obětí skupiny XDSpy | Zdroj: telemetrická data ESET</em></p><p>Podobné útoky se nevyhýbají ani České republice. Jednou z celosvětově nejznámějších APT skupin je Sednit (známá také jako Sofacy), která v roce 2018 dokázala <a href="https://www.bis.cz/public/site/bis.cz/content/vyrocni-zpravy/2018-vz-cz.pdf.pdf" target="_blank">kompromitovat soukromé e-maily příslušníků Armády České republiky</a>. V roce 2017 odhalila BIS další ATP skupinu Turla, která měla nejméně rok <a href="https://www.bis.cz/public/site/bis.cz/content/vyrocni-zpravy/2017-vz-cz.pdf" target="_blank">přístup k 150 e-mailovým schránkám pracovníků Ministerstva zahraničí</a> České republiky.</p><h2>Obrana proti APT hrozbám</h2><p>Podle expertů je obrana proti podobným útokům složitá, nikoliv však nemožná. </p><p>„Podobné zločinecké skupiny jsou velmi dobře financované a členové skupiny mají vynikající odborné znalosti. Pokud se chcete ubránit, musíte na tom být finančně, znalostně i technologicky na podobné úrovni, jinak se vaše šance na úspěšnou obranu výrazně snižují“ popisuje problémy Dvořák.</p><p>Důležité tak je používat správné bezpečnostní technologie, mít správně nastavené bezpečnostní procesy a důsledně dbát na vzdělávání zaměstnanců. Například skupina XDSpy útočila prostřednictvím podvodných e-mailů, před těmi se dá přitom velice dobře chránit kombinací technických a vzdělávacích opatření. <a href="https://nukib.cz/cs/infoservis/doporuceni/1514-spear-phishing-a-jak-se-pred-nim-chranit/" target="_blank">Sadu ukázek a doporučení</a> týkajících se cílených phishingových útoků vydal Národní úřad pro kybernetickou a informační bezpečnost na jaře tohoto roku.</p><p>Technické detaily o spyware skupiny XDSpy najdete v magazínu <a href="https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/" target="_blank">WeLiveSecurity.com</a>. <br></p>0


Coalition Against Stalkerware 

AEC Endpoint Detection and Response

Petya ransomware


No More Ransom 

AEC Penetrační testy

Gooligan

Malware as a Service