Trendy v kybernetické bezpečnosti pro rok 2018, jak je vidí ESET.
2. 1. 2018
Trendy v kybernetické bezpečnosti pro rok 2018, jak je vidí ESET.

​Pro velké společnosti budou velkým rizikem jejich dodavatelé, kteří často pomíjí rizika internetových hrozeb.

Více bezpečnostních incidentů a rizik spojených s kybernetickými hrozbami očekává v novém roce 2018 společnost ESET. U společností, které budou nedostatečně chránit své IT infrastruktury, se zvýší rizika infiltrací a s nimi spojených škod. Velkým rizikem pro větší společnosti se mohou stát jejich dodavatelé z řad středních a malých firem, ve kterých se bezpečností problematice mnohdy nevěnuje dostatečná pozornost.

„Zatímco mnoho velkých společností se v současnosti zabývá otázkou kybernetické bezpečnosti a staví bezpečnostní týmy, které ji mají zajistit, řada malých firem, jež dodávají zboží a služby větším organizacím, toto riziko pomíjí. To z nich činí atraktivní cíl pro útočníky,“ říká Stephen Cobb, hlavní bezpečnostní analytik společnosti ESET, který předpověděl zvýšenou míru útoků na kritické infrastruktury v roce 2017.

Velkou bezpečnostní výzvou bude ochrana chytrých zařízení v rámci Internetu věcí. Každoročně zaznamenáváme dramatický nárůst počtu inteligentních zařízení připojených k internetu, jež lze zneužít například k masovým DDoS útokům, jako se to stalo již v průběhu roku 2017.

Během roku 2017 jsme byli svědky i opakovaných pokusů o narušení voleb v několika zemích světa. Jednotlivé státy by proto měly v roce 2018 investovat do preventivních opatření, jež by měla zajistit digitální bezpečnost těchto demokratických procesů.

Evropské nařízení o ochraně osobních dat, GDPR, které vstoupí v platnost v květnu 2018, nahradí dosavadní směrnici o ochraně údajů a zvýší právní tlak na ochranu osobních údajů. Jednotlivé společnosti a organizace, které shromažďují data, by měly vědět o rizicích, jež jsou spojena s uchováváním dat získávaných prostřednictvím internetu a o významných pokutách, které hrozí těm, jenž nezajistí dostatečnou ochranu osobních údajů.

„Přestože dostání legislativě GDPR bude pro řadu společností velice náročné, v konečném důsledku je to správný krok pro ochranu našich osobních údajů. Řada informací a dat, včetně těch citlivých, je v současné době mnohdy nedostatečně zabezpečena. GDPR firmy donutí udělat si v tomto pořádek a přispěje k prevenci před jejich neoprávněným schraňováním a zneužíváním,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.

Nedávná úspěšná spolupráce společnosti ESET s Microsoftem, Europolem a FBI vedla k zadržení počítačových zločinců, kteří byli zapojeni do šíření botnetu Gamarue. Koordinace tvůrců bezpečnostních produktů a orgánů činných v trestním řízení bude hrát stále důležitější roli a přispějí k tomu, že se internet stane bezpečnějším místem pro všechny s výjimkou kyberzločinců. Internetové hrozby by tak v příštím roce nemusely mít tak negativní důsledky pro uživatele, jak se to jeví z dnešního pohledu.

Podrobněji o bezpečnostních trendech pro rok 2018 informuje zpráva „Cybersecurity Trends 2018: Zpráva o nákladech na náš spojený svět“, kterou sestavili bezpečnostní experti společnosti ESET.

 

 

IT bezpečnost třetiny malých firem mají na starosti nezkušení zaměstnancihttps://www.antivirus.cz/Blog/Stranky/it-bezpecnost-tretiny-malych-firem-maji-na-starosti-nezkuseni-zamestnanci.aspxIT bezpečnost třetiny malých firem mají na starosti nezkušení zaměstnanci<p>Malé firmy s maximálně 50 zaměstnanci jsou pro kyberzločince velmi lákavý cíl. Zpracovávají totiž data svých zákazníků i zaměstnanců, která jsou pro hackery velmi zajímavým zbožím. Mohou pro ně být bohatým zdrojem financí, pokud se k nim dostanou a prodají na černém trhu, nebo využijí k vydírání prostřednictvím ransomwaru. Nová zpráva společnosti Kaspersky Lab vedle neustálého ohrožení malých firem kybernetickými hrozbami identifikovala ještě jedno riziko. Ředitelé společností s malým počtem zaměstnanců a omezenými rozpočty často svěřují kyberbezpečnost do rukou svých kolegů, kteří s ní nemají žádné zkušenosti. Činí tak až třetina malých firem. </p><p>Odborníci z Kaspersky Lab dlouhodobě monitorují hackerské aktivity zacílené na malé firmy a v nejnovějším reportu shrnují svá zjištění týkající se dopadů ransomwaru na jejich podnikání. Provedená analýza naznačuje, že pokud se společnosti stanou obětí ransomwaru jednou, útoky tímto vyděračským softwarem se budou neustále opakovat. Z malých firem, které se v průběhu posledních 12 měsíců staly obětí ransomwaru, se velká část následně potýkala s dalšími útoky. Dvě až tři infekce během jednoho roku tak zažilo až 37 % z nich.</p><p>Tato skutečnost může mít na podniky devastující efekt, protože odstávka výroby nebo znepřístupnění důležitých složek může vést k velkým finančním ztrátám nebo poškození reputace. Z dat Kaspersky Lab, která dostala od společností, které se staly obětí ransomwaru, vyplynulo, že jich více než čtvrtina (27 %) přišla o přístup k důležitým složkám na několik týdnů. </p><p>„Ransomware patří mezi nejvážnější hrozby současnosti, kterým musejí firmy čelit. Úspěšné pokusy mají na firmy značný negativní dopad bez ohledu na jejich velikost. Malé firmy jsou ale vůči těmto útokům náchylnější, protože často ve svých řadách nemají specialistu, který by se po odborné stránce postaral o kybernetické zabezpečení firemních počítačů a systémů,“ upozorňuje Sergey Martsynkyan, vedoucí B2B produktového marketingu ve společnosti Kaspersky Lab. </p><p>Malé firmy se mohou o svoji kybernetickou bezpečnost postarat i v případě, že nemají IT zaměstnance, kteří by se této oblasti věnovali. Nabízí se speciální řešení vyvinutá s ohledem na potřeby malých firem. Toto řešení pomáhá firmám následujícím způsobem:</p><ul><li>Snadné použití. Jakýkoliv zaměstnanec může řešení nainstalovat a ovládat, a to i přes to, že nemá odborné IT bezpečnostní znalosti. </li><li>Ovládání na dálku. Uživatelé mohou monitorovat a spravovat zabezpečení odkudkoliv díky online konzoli. To je ideální především pro firmy, které nemají jedno stálé sídlo, anebo které používají spoustu zařízení. </li><li>Ochrana počítačů i serverů. Funkce System Watcher, která je dostupná pro Windowsové serverové složky i počítače, chrání citlivá firemní data. Je například schopná zablokovat exploity nebo potlačit aktivity škodlivých aplikací. </li><li>Ochrana mobilních zařízení. Řešení Kaspersky Small Office Security ochrání zaměstnance i když pracují z domova nebo ze zahraničí. Řešení také nabízí možnost zaměření mobilu nebo tabletu, pokud by došlo k jeho odcizení nebo ztrátě. Pokud se zařízení dostane do nesprávných rukou, je možné k němu zablokovat přístup nebo dokonce na dálku vymazat jeho obsah.</li></ul>
Zero-day exploit v OS Microsoft Windowshttps://www.antivirus.cz/Blog/Stranky/zero-day-exploit-v-os-microsoft-windows.aspxZero-day exploit v OS Microsoft Windows<p>Technologie Automatic Exploit Prevention společnosti Kaspersky Lab, která je součástí téměř každého jejího produktu, detekovala sérii cílených kybernetických útoků. Ty se prostřednictvím nového druhu malwaru snažily zneužít dosud neznámé zero-day zranitelnosti v operačním systému Microsoft Windows. Útočníci chtěli tímto způsobem získat trvalý přístup k systémům uživatelů na Blízkém východě. Firma Microsoft tuto zranitelnost včera zazáplatovala.</p><p>Útok prostřednictvím zero-day zranitelnosti představuje jednu z nejnebezpečnějších kybernetických hrozeb. Jeho podstatou je totiž zneužití zranitelnosti, která dosud nebyla objevena, a tudíž ani opravena. Pokud si jí jako první všimnou kyberzločinci, vytvoří exploit, který jim obrazně řečeno otevře celý napadený systém. Tento scénář se často opakuje u hackerských skupin využívajících pokročilé trvalé hrozby (APT) a byl použit i v tomto případě. </p><p>Objevený exploit v Microsoft Windows se do systému oběti dostal prostřednictvím backdooru v PowerShellu. Ten po své iniciaci získal potřebná oprávnění k nainstalování v systému oběti. Kód malwaru byl velmi kvalitní a napsán tak, aby umožnil zneužití co možná největšího množství zařízení s Windows.</p><p>V průběhu letošního léta zaútočili kyberzločinci prostřednictvím této hrozby na necelý tucet různých organizací na Blízkém východě. Odborníci mají podezření, že původci těchto útoků mohou mít souvislost se skupinou FruityArmor. Napovídá tomu PowerShell backdoor, který byl v minulosti prokazatelně použit právě touto skupinou. Okamžitě po zjištění této hrozby o ní Kaspersky Lab informovala Microsoft.</p><p>„V případě zero-day zranitelností je velmi důležité aktivně monitorovat současný vývoj kybernetických hrozeb. Naše nepřetržitá analýza kyberbezpečnostního prostředí nám umožňuje nejen odhalovat nové útoky a předpokládat možné oběti různých kyberzločinných skupin, ale také poznáváme, jaké technologie tito zločinci používají. Plodem této práce jsou detekční technologie, které nám umožňují předcházet útokům, tak jako se stalo v tomto případě,“ říká Anton Ivanov, bezpečnostní odborník z Kaspersky Lab.</p><p>Aby uživatelé předcházeli zero-day exploitům, doporučují odborníci z Kaspersky Lab následující opatření:</p><ul><li>Vyvarujte se softwarům, které jsou známé pro častý výskyt zranitelností, nebo které byly použity v nedávných útocích. </li><li>Ujistěte se, že software který používáte je pravidelně aktualizován. Bezpečnostní řešení s možností „vyhodnocení zranitelností“ a Patch managementem vám mohou pomoci tyto procesy zautomatizovat.</li></ul><p> <br>Více informací se dozvíte na <a href="https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/" target="_blank">blogu Securelist.com</a>.<br></p>
Odborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turlahttps://www.antivirus.cz/Blog/Stranky/odbornici-z-kaspersky-lab-zmapovali-aktivity-ruskojazycne-hackerske-skupiny-turla.aspxOdborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turla<p>Odborníci z Kaspersky Lab objevili spojitost mezi dvěma ruskojazyčnými hackerskými skupinami Turla (známé také jako Snake nebo Uroburos) a Sofacy (uváděné také jako Fancy Bear a APT28). Na základě dlouhodobého monitoringu jejich aktivit si v nejnovější verzi malwaru KopiLuwak, vyvinutého skupinou Turla, všimli řady podobností s kódem použitým před měsícem skupinou Sofacy v jejich kampani Zebrocy. Podobné části kódu sloužily k šíření zákeřných aktivit. Odborníci si také všimli nápadně se shodujících cílů hackerů – jejich oběti z řad vládních a armádních subjektů pocházejí převážně ze střední Asie.</p><p>Svá zjištění minulý čtvrtek zveřejnili odborníci z týmu Kaspersky Lab GReAT v souhrnné zprávě, která se věnuje aktivitám kyberzločinné skupiny Turla. </p><p>KopiLuwak (název odkazuje ke vzácnému druhu kávy) byl poprvé objeven v listopadu 2016. Jednalo se o dokumenty, které obsahovaly malware a povolená makra umožňující spuštění nového škodlivého Javascriptového kódu, který byl zamaskovaný a určený pro systémovou nebo síťovou špionáž. Novou variantu malwaru KopiLuwak zaznamenali odborníci v polovině tohoto roku, kdy se objevily nové oběti v Sýrii a Afghánistánu. Hackeři ze skupiny Turla tentokrát použili novou spear-phishingovou metodu šíření malwaru využívající Windowsové složky s koncovkou .LNK. Bezpečnostní analýza odhalila, že soubory .LNK obsahovaly PowerShell, který měl dekódovat a iniciovat zhoubný obsah malwaru KopiLuwak. Právě tento PowerShall byl téměř identický s tím, který byl o měsíc dříve použit v kampani Zebrocy.</p><p>Analytici dále zjistili, že se obě skupiny zajímají o podobné cíle. Mezi ně patří význační političtí činitelé, včetně vládních výzkumných a bezpečnostních subjektů, diplomatické mise nebo vojenské aktivity soustředěné ve střední Asii. </p><p>Ve své zprávě odborníci poskytují bližší informace o praktikách skupiny Turla, které podporují jejich hypotézu, že hackeři využili Wi-Fi sítě k šíření svého malwaru Mosquito. Dále objevili nové verze vyspělé kyberšpionážní sítě Carbon, které hackeři obvykle aplikovali pouze na vybrané cíle, o něž měli obzvláštní zájem. Na základě svých analýz předpokládají, že hackeři budou tento nástroj i nadále přetvářet a využívat i v roce 2019. V tomto roce kyberzločinci ze skupiny Turla útočili na cíle na Blízkém Východě, v severní Africe, západní i východní Evropě, střední a jižní Asii i v Americe.</p><p>„Turla je jedna z nejstarších, nejpokročilejších a velmi nebezpečných hackerských skupin. Naše analýza ukazuje, že se snaží neustále vyvíjet a vylepšovat své metody a nástroje. Snaží se ve vší tichosti útočit na cíle převážně na východě. Proto by se před touto ruskojazyčnou skupinou měly mít na pozoru především společnosti z této části světa,“ říká Kurt Baumgartner, člen kyberbezpečnostního týmu GReAT společnosti Kaspersky Lab.</p><h3>Aby se firmy nestaly obětí cílených hackerských útoků, měly by se řídit následujícími doporučeními:</h3><ul><li>Používat účinná firemní bezpečnostní řešení, která zahrnují technologie chránicí před cílenými útoky. Například řešení Kaspersky Threat Management and Defense využívá technologie analyzující síťové anomálie, které v síti zaznamenají a zastaví cílené útoky. Bezpečnostním týmům také poskytuje plnou viditelnost síťových komponent napříč celou infrastrukturou a umožňuje automatickou reakci na napadení. </li><li>Firemním IT bezpečnostním odborníkům zajistěte přístup k nejnovějším informacím o vývoji kybernetických hrozeb. I nástroje jako jsou indikátory napadení (IOC), detekční pravidla YARA nebo zprávy o aktuálních hrozbách zlepší ochranu podniku před aktivitami hackerů. </li><li>Ujistěte se, že jsou dobře nastavené celofiremní procesy aktualizací systémů a softwarů. </li><li>Pokud zaznamenáte indikátory cíleného útoku, zvažte pomoc třetí strany, která vám umožní proaktivně detekovat pokročilé hrozby a zkrátí dobu nutnou na reakci.</li></ul><p><br>Detailnější informace o aktivitách hackerské skupiny Turla se dozvíte na <a href="https://securelist.com/shedding-skin-turlas-fresh-faces/88069/" target="_blank">blogu Securelist.com</a>.<br></p>
Čína využila mikročipy ke špionáži amerických společnostíhttps://www.antivirus.cz/Blog/Stranky/cina-vyuzila-mikrocipy-ke-spionazi-americkych-spolecnosti.aspxČína využila mikročipy ke špionáži amerických společností<p>​Bloomberg zveřejnil článek “<a href="https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies" target="_blank">The Big Hack: How China Used a Tiny Chip to infiltrate America’s Top Companies</a>", který podrobně popisuje útok na americké servery pomocí infiltrace dodavatelského řetězce výrobců hardwaru vložením špionážního čipu do základní desky používané v tisících počítačích v amerických organizacích, od Amazonu po Apple. Čipy prý mohly komunikovat s operátory a stahovat škodlivý kód do infikovaných serverových operačních systémů. Vládním agenturám a technologickým společnostem trvalo více než tři roky tento útok odhalit a jedinou možností nápravy je odstranění infikovaných systémů.</p><p>Ovšem příběh Bloombergu odmítlo několik zúčastněných stran, viz <a href="https://threatpost.com/apple-amazon-strongly-refute-server-infiltration-report/137950/" target="_blank">https://threatpost.com/apple-amazon-strongly-refute-server-infiltration-report/137950/</a>.</p><p>"Popsaná kauza je typickým příkladem kyberútoku 5. generace - masivní, sofistikovaný, multivektorový útok (hardware, internet, OS - všechny vektory zaměřené na útok na data). Útok znovu potvrzuje, že hrozby jsou daleko nebezpečnější a vyvinutější, než si mnoho lidí vůbec uvědomuje. Podobným příkladem byla i kauza "Faxploit" s útokem na podnikové sítě pomocí faxových zranitelností," říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. </p><p>"Podobným útokům je ale možné předcházet pomocí komplexního zabezpečení perimetru v reálném čase a dobrou spoluprací mezi vládními agenturami a kybernetickým průmyslem. Takové řešení může zkrátit dobu reakce z let, jak je popsáno v příběhu Bloombergu, na minuty nebo dokonce sekundy, a může poskytnout skutečnou a účinnou prevenci. Check Point je v tomto směru průkopníkem a taková řešení nabízí," dodává Šafář.</p><p>Tento incident je znovu příkladem bezpečnostního rizika vyplývajícího z nárůstu využití digitálních platforem, zejména cloudových služeb. IaaS cloudové služby postrádají mechanismy komplexního zabezpečení perimetru pro ochranu kritických dat.</p>
Hacknutý Facebookhttps://www.antivirus.cz/Blog/Stranky/hacknuty-facebook.aspxHacknutý Facebook<p>V pátek 28. září Facebook oznámil bezpečnostní incident a odhlásil 90 milionů lidí z jejich účtů. Možná i vy jste byli mezi nimi a museli pracně vzpomínat na své heslo. S největší pravděpodobností jste ovšem tento incident zaznamenali i v případě, že tomu tak nebylo, neboť o hacknutém Facebooku se psalo a stále píše dost. Jak to probíhalo, o co se jednalo, a máte se bát?</p><h2>Průběh</h2><p>V neděli 16. září si technici společnosti na monitoringu všimli podezřelého nárůstu aktivity uživatelů a začali se touto anomálií zabývat. V úterý 25. září pak zjistili, že se jedná o útok na aktivní relace uživatelů pomocí dosud neznámé zranitelnosti. Ve středu informovali příslušné úřady, jak GDPR přikazuje, ve čtvrtek opravili danou zranitelnost a začali odhlašovat ovlivněné i potencionálně ovlivněné uživatele. V pátek pak vydali oficiální vyhlášení na svých stránkách. Dle facebooku se útok dotkl 50 milionů účtů a dalších 40 milionů pak bylo odhlášeno preventivně, neboť se nedalo vyloučit, že se také staly obětmi. </p><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2018/aec-facebook-hacked.jpg" alt="" style="margin:5px;" /> </p> <h2>Co se stalo</h2><p>Během útoku byly ukradeny pouze identifikátory aktuálních relací, ne uživatelská hesla. To je důvod, proč byly napadené účty odhlášeny, neboť při odhlášení se tyto identifikátory zneplatní a již není možnost je využít pro přístup k danému účtu. Zároveň se bez znalosti hesla nedají obnovit a napadené účty už by měly být nyní již v bezpečí. Stejně tak, pokud jste nebyli odhlášeni a chcete si být jisti vaší bezpečností, stačí se odhlásit a znovu přihlásit na každém zařízení.  Prověřit nedávnou aktivitu na svém účtu a zjistit, zda neproběhlo podezřelé přihlášení, můžete přes Nastavení a „Zabezpečení a přihlašování“. V okně „Kde jste přihlášeni“ uvidíte aktivitu na účtu.</p><p>Kolik soukromých informací stihli útočníci zcizit a jak s nimi naloží dál, to zůstává otázkou. Na základě dosavadního vyšetřování byly z účtů údajně stahovány pouze základní informace o profilu, jako jméno, místo bydliště a podobné, nedotkli se však zveřejněných příspěvků, či soukromých zpráv a účty nebyly zneužity aktivním způsobem (například přidáváním příspěvků).</p><p>Ačkoli údajně méně než 10% zasažených uživatelů bylo z Evropské Unie, může být tento incident vyhodnocen jako porušení obecného nařízení o ochraně osobních údajů (GDPR). Vzhledem k tomu, že ústředí pro Evropu má Facebook v Irsku, zabývá se případem aktuálně Ireland’s Data Protection Commission (Irská komise pro ochranu údajů). V tom nejhorším případě hrozí Facebooku pokuta až 1.6 mld $. </p><h2>Jak dlouho to trvalo</h2><p>Jak se dá z oficiálních prohlášení odvodit, útok byl detekován již 16. září a až ve čtvrtek 27. září byla zranitelnost opravena. Aktivní masivní útok tedy mohl trvat i více než 11 dní. Nicméně toto je útok, který byl detekován, neboť ovlivnil mnoho uživatelských účtů. Všechny tři zranitelnosti, jejichž kombinace vedla k možnosti zcizení relace, byly na Facebooku přítomné již od července roku 2017. Zůstaly tedy nepovšimnuty „hodnými hackery“ více než rok a mohly být po celou tuto dobu zneužívány v menším měřítku.</p><h2>Oprava</h2><p>Facebook tvrdí, že již ve čtvrtek 27. září, tedy ještě před samotným ohlášením incidentu, chybu opravil. Pravdou je, že již není možné útok provést, nicméně slovo „opravil“ je poněkud přehnané. Uživatelskou relaci bylo možné ukrást zřetězením tří zranitelností, přičemž prvním krokem bylo využití funkce „View as“ na vlastním profilu, v češtině „Zobrazit jako“, která umožňovala zkontrolovat, jak se váš profil zobrazuje jiným uživatelům. Oprava chyby pak spočívala v dočasném odstranění této funkcionality; na svém profilu ji aktuálně nenajdete. Předpokládáme však, že po důkladném prošetření a opravě bude do profilů opět přidána.</p><h2>Technické detaily</h2><p>Pro ty, které to zajímá, přidáváme i technické detaily útoku, respektive popis tří zranitelností, které dohromady vedly k možnosti zcizit relaci. Zjednodušený popis je převzat přímo z oficiálního vyjádření Facebooku:</p><h3>Zobrazit jako</h3><p>Tlačítko „zobrazit jako“ umožňovalo zobrazit svůj profil z pohledu jiného uživatele. Prohlížení profilu v tomto módu by mělo být pouze pasivní, nicméně bug v jedné z funkcí umožňoval nahrát v tomto módu video. Tou funkcí byla možnost popřát vám všechno nejlepší k narozeninám, to okýnko, které vám vždy připomíná, že někdo z přátel slaví narozeniny a měli byste mu popřát vše nejlepší. V náhledu by údajně nemělo být, nicméně zůstávalo zobrazeno.</p><h3>Video uploader</h3><p>Nová verze video uploaderu obsahovala bug, který při uploadu vygeneroval přístupový token se stejnými právy jako mobilní aplikace a vložil ho do html kódu. Právě tato chyba je ta, která byla v kódu přítomná od července roku 2017. </p><h3>Zobrazit jako a video upload</h3><p>V momentě, kdy byl upload videa přes přání k narozeninám využit v módu „zobrazit jako“, vygeneroval při nahrání videa platný přístupový token. Ovšem platný ne pro váš uživatelský účet, nýbrž pro účet, který jste vybrali pro „zobrazit jako“.</p><p>Tímto způsobem bylo možné získat přístup k účtům vašich přátel a z nich pak k účtům jejich přátel a tak dále. Jak to tak často bývá, ty nejzávažnější chyby nejsou technicky náročné a k jejich nalezení a zneužití není potřeba velká technická znalost. Spíše všímavost, postřeh a v mnoha případech také štěstí. <br></p><div align="right"><table style="width:320px;"><tbody><tr><td align="center" valign="middle" style="width:72px;"> <img alt="Adéla Haníková" src="/Blog/PublishingImages/AEC-lidi/adela-hanikova-2016-02.jpg" style="margin:5px;width:75px;" /> </td><td width="250" align="left" valign="top"><p> <strong style="color:#6773b6;"><span style="color:#6773b6;">Adéla Haníková</span></strong><br>Security Specialist</p><p> <strong style="color:#6773b6;"><span style="color:#6773b6;">AEC a.s.</span></strong><br>Security Assessment Division</p></td></tr></tbody></table></div>
Nástroje pro vzdálenou správu mohou zneužít kyberzločincihttps://www.antivirus.cz/Blog/Stranky/nastroje-pro-vzdalenou-spravu-mohou-zneuzit-kyberzlocinci.aspxNástroje pro vzdálenou správu mohou zneužít kyberzločinci<p>Nástroje pro vzdálenou správu představují pro průmyslové sítě vážné riziko. V rámci svých průmyslových počítačových systémů (ICS) je má nainstalovaných bezmála třetina (31,6 %) firem. Ve většině případů zůstávají tyto nástroje bez většího využití nepovšimnuté. Z pravidla ale jen do té doby, než IT bezpečnostní odborníci zjistí, že jejich prostřednictvím hackeři nainstalovali ransomware nebo software pro těžbu kryptoměn. V řadě případů RAT (remote admonistration tools) nástroje umožnily hackerům přístup k citlivým firemním informacím nebo dokonce financím. Této problematice se ve své čerstvé analýze věnovali odborníci ze společnosti Kaspersky Lab. </p><p>Nástroje pro vzdálenou správu jsou legitimní softwarová řešení, která umožňují třetím stranám získat vzdálený přístup do firemních počítačů. Většinou je využívají zaměstnanci průmyslových podniků k tomu, aby šetřili prostředky a čas. Mnohdy je ale zneužívají i kyberzločinci, kteří jejich prostřednictvím získávají tajný přístup do napadených počítačů.</p><p>RAT nástroje jsou podle reportu uveřejněného speciálním týmem Kaspersky Lab ICS CERT velmi rozšířené napříč všemi odvětvími. Nainstalované jsou na takřka třetině ICS počítačů, které chrání produkty Kaspersky Lab. Ještě zajímavější je zjištění, že každý pátý RAT nástroj je automaticky součástí ICS softwaru. Kvůli tomu jsou velmi těžko detekovatelné systémovými administrátory, a tudíž i velmi lákavé pro kyberzločince. </p><h3>Podle analýzy Kaspersky Lab využívají kyberzločinci nástroje pro vzdálenou správu především k následujícím dvěma zákeřným aktivitám:</h3><ul><li>Získání neoprávněného přístupu do firemní sítě. </li><li>Infikování sítě malwarem, který umožní průmyslovou špionáž, sabotáž nebo zablokování počítačů ransomwarem a případné finanční zisky. Prostřednictvím malwaru a napadené sítě mohou také získat <a href="https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/" target="_blank">přímý přístup</a> k firemním financím.</li></ul><p> <br>Nejnebezpečnější je na RAT nástrojích jejich schopnost získat vysoká administrátorská oprávnění v rámci napadených systémů. V praxi to může znamenat, že jejich prostřednictvím mohou hackeři získat neomezený přístup ke složkám a ovládacím prvkům v celé infrastruktuře průmyslového podniku. Následky takové aktivity se pak často negativně projeví na finanční situaci podniku i na stabilitě výroby. Získání těchto oprávnění většinou předchází útoky hrubou silou, kdy se kyberzločinci snaží získat přístupové heslo zkoušením všech možných kombinací. I když jsou útoky hrubou silou nejoblíbenějším způsobem získání přístupu k RAT nástrojům, kyberzločinci také občas zneužívají skryté zranitelnosti v těchto softwarech.</p><p>„Spousta organizací podceňuje rizika spojená se softwary pro vzdálenou správu, i když jsou přítomné ve velké části systémů. V nedávné době jsme například zaznamenali útoky na firmu z automobilového odvětví, kde byl na jednom z počítačů nainstalován RAT software. Po dobu několika měsíců docházelo kvůli tomuto nástroji k opakovaným útokům různými variantami malwaru. V některých týdnech musela naše řešení blokovat až dva pokusy týdně. Kdyby tato firma nepoužívala naše řešení, mohla se potýkat s dalekosáhlými problémy. To ale neznamená, že by nyní všechny společnosti měly začít mazat RAT softwary ze svých systémů. Ve skutečnosti jsou to velmi užitečné aplikace, které šetří čas i peníze. Pokud je ale zaměstnanci využívají, měli by jim IT bezpečnostní administrátoři věnovat zvýšenou pozornost,“ komentuje Kirill Kruglov, bezpečnostní odborník v týmu ICS CERT společnosti Kaspersky Lab.</p><h3>Odborníci z Kaspersky Lab ICS CERT firmám doporučují tato opatření, aby minimalizovaly rizika spojená s nástroji pro vzdálenou správu:</h3><ul><li>Proveďte audit používaných aplikací a systémů pro vzdálenou správu napříč průmyslovou sítí. Odstraňte všechny RAT nástroje, které nevyužíváte. </li><li>Zjistěte, které nástroje pro vzdálenou správu jsou v síti jen proto, že byly součástí ICS softwaru. Pokud nejsou nutné pro průmyslové procesy firmy, zajistěte jejich odstranění. </li><li>Monitorujte a zaznamenávejte všechna přihlášení prostřednictvím těchto aplikací. Vzdálený přístup by měl být v základním nastavení zakázán a povolen pouze na základě žádosti (a pouze po omezenou dobu).</li></ul><p><br>Celou zprávu týmu ICS CERT společnosti Kaspersky Lab si přečtete na tomto <a href="https://ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics/" target="_blank">odkazu</a>.   <br></p>
Doba asociální. Tři čtvrtiny lidí upřednostňují mobil před kontaktem s ostatnímihttps://www.antivirus.cz/Blog/Stranky/doba-asocialni-tri-ctvrtiny-lidi-uprednostnuji-mobil-pred-kontaktem-s-ostatnimi.aspxDoba asociální. Tři čtvrtiny lidí upřednostňují mobil před kontaktem s ostatními<p>​Tři čtvrtiny lidí raději předstírají „zaneprázdněnost“ na svém chytrém mobilu, než by se bavili s jinými. </p><p>Díky chytrému telefonu s internetem můžeme být neustále ve spojení s desítkami přátel. Pro spoustu lidí ale také mobil představuje nástroj, díky němuž se mohou v různých společenských situacích vyhnout kontaktu s ostatními. Nejnovější <a href="https://www.kaspersky.com/blog/stay-tuned-report/" target="_blank">průzkum</a> společnosti Kaspersky Lab tento aktuální trend lidského chování potvrdil – tři čtvrtiny lidí (75 %) se přiznaly, že používají svá zařízení k předstírání zaneprázdněnosti, když s někým nechtějí mluvit.</p><p>Představte si, že v baru čekáte na svého partnera. Všude okolo je plno lidí, popíjejí drinky a živě se baví. Co budete dělat vy? Zapředete hovor s někým, koho vidíte poprvé v životě? Nebo vytáhnete z kapsy mobil a budete projíždět různé stránky a sociální sítě do té doby, než přijde vaše druhá polovička? Je vám příjemnější konverzovat nebo jen navazovat oční kontakt s cizími lidmi, nebo raději hledíte do zářícího displeje?</p><p>Ve většině případů platí druhá situace. Daleko jednodušší, než navázat nezávaznou společenskou komunikaci je sáhnout po mobilu a předstírat zaneprázdněnost. Průzkum Kaspersky Lab zjistil, že 72 % lidí se takto ve společnosti chová v situacích, kdy neví, co dělat. Mobil ke svému rozptýlení používáme i ve chvílích, kdy se nesnažíme stranit kolektivu. 46 % lidí brouzdáním v mobilu každý den jednoduše zabíjí čas a 44 % slouží jako každodenní rozptýlení.</p><p>Po mobilu ovšem nesaháme pouze v případech, kdy cítíme potřebu rozptýlení, ale i v situacích, kdy musíme vyřešit určitý úkol, ale nechceme navazovat kontakt s ostatními lidmi. Typickou situací by mohlo být zeptání se kolemjdoucích na cestu nebo telefonické objednání taxi. V současnosti ale téměř třetina lidí (31 %) tyto záležitosti řeší prostřednictvím internetových stránek nebo aplikací. Je to pro ně snazší než mluvit s jinými lidmi. </p><p>I vzhledem k tomu, že nám chytrá zařízení pomáhají s každodenními problémy nebo sociálně nepříjemnými situacemi, jsme na jejich fungování čím dál závislejší. Pokud tedy přestanou z jakéhokoliv důvodu fungovat, může jejich absence způsobit až panické stavy. Třetina lidí (34 %) se proto například obává toho, že by přišli o zdroj zábavy, pokud by ztratili přístup ke svému chytrému zařízení. 12 % se dokonce obává, že nebudou schopni předstírat zaneprázdněnost, pokud se jejich zařízení porouchá. </p><p>„Používání chytrých zařízení má na nás daleko větší vliv, než bychom si mohli na první pohled myslet. Samozřejmostí se už stal internet v kapse, který nám pomáhá s každodenními starostmi – s vyřizováním pracovních e-mailů, nakupováním, vyhledáním dopravy nebo ubytování a podobně. Chytrá zařízení jsou ale pro řadu lidí důležitá i ve společenských situacích, kdy si nejsou jistí nebo neví, jak se chovat. Proto je velmi důležité, aby elektronika fungovala tak, jak má a byla neustále po ruce,“ komentuje Dmitry Aleshin, odborník ze společnosti Kaspersky Lab.</p><p> <img src="/Blog/PublishingImages/Clanky/2018/grafika-pripojeni.jpg" alt="" style="margin:5px;width:650px;" /> </p><p> <br> </p>
Roste počet útoků bankovních trojanůhttps://www.antivirus.cz/Blog/Stranky/roste-pocet-utoku-bankovnich-trojanu.aspxRoste počet útoků bankovních trojanů<p>Check Point  zveřejnil nejnovější Celosvětový index dopadu hrozeb, podle kterého došlo v srpnu k výraznému nárůstu útoků využívajících bankovní trojan Ramnit. Ramnit za několik posledních měsíců zdvojnásobil svůj celosvětový dopad v důsledku rozsáhlé kampaně, která ze strojů obětí dělá škodlivé proxy servery.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se i nadále drží mezi bezpečnějšími zeměmi a v srpnu jí patřila až 125. příčka, což je posun ještě o 5 míst z červencové 120. pozice. Přesto v České republice velmi výrazně útočil malware CoinHive těžící kryptoměnu Monero. Na prvním místě se v Indexu hrozeb nově umístila Etiopie, která zaznamenala výrazný posun z 59. příčky. Vůbec největší posun mezi nebezpečné země zaznamenal Pákistán, který se posunul o 71 míst na 26. pozici. Naopak Arménie se nejvýrazněji posunula mezi bezpečnější země, když klesla z 20. příčky na 85. pozici.</p><p>Během srpna se Ramnit posunul v Indexu hrozeb na 6. místo a stal se nejrozšířenějším bankovním trojanem. Celkově se použití bankovních trojanů od června více než zdvojnásobilo.</p><p>„Stejně jako před rokem i letos v létě kyberzločinci pod vidinou rychlých zisků častěji využívali k útokům bankovní trojany,“ říká Daniel Šafář, Country Manager CZR regionu ve společnosti Check Point. „Hackeři si velmi dobře uvědomují, jaké útoky mají největší šanci na úspěch a cíleně používají bankovní trojany právě v letním období. Znovu se ukazuje, jak jsou hackeři rafinovaní při snaze získat peníze.“</p><p>„Pro ochranu před bankovními trojany a dalšími útoky je důležité, aby podniky používaly vícevrstvou kyberbezpečnostní strategii, která zajistí ochranu před známými škodlivými kódy i před zcela novými hrozbami,“ dodává Šafář.</p><p>CoinHive zůstává nejčastěji použitým malwarem k útokům na organizace, dopad měl po celém světě na 17 procent z nich. Dorkbot a Andromeda se v celosvětovém žebříčku umístily na druhém a třetím místě, oba škodlivé kódy měly dopad na 6 procent společností.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ CoinHive</strong> – CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.<br><strong>2. ↑ Dorkbot</strong> - IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.<br><strong>3. ↑ Andromeda</strong> - Modulární bot používaný především jako backdoor pro šíření dalšího malwaru na infikovaných systémech, ale může být upraven pro vytvoření různých typů botnetů.</p><p>Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vévodil v srpnu bankovní trojan Lokibot, následovaly škodlivé kódy Lotoor a Triada.</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Lokibot </strong>- Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.<br><strong>2. Lotoor</strong> - Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.<br><strong>3. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada umí také zfalšovat URL odkazy uložené v prohlížeči.</p><p>Check Point také analyzoval nejčastěji zneužívané kyberzranitelnosti a zjistil, že kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost CVE-2017-7269, která měla celosvětově dopad na 47 % organizací. Druhá zranitelnost OpenSSL TLS DTLS Heartbeat Information Disclosure měla dopad na 41 % organizací po celém světě. CVE-2017-5638 na třetím místě ovlivnila 36 % společností.</p><h2>Top 3 - zranitelnosti:</h2><p> <strong>1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269</strong>) - Odesláním požadavku na Microsoft Windows Server 2003 R2 prostřednictvím služby Microsoft Internet Information Services 6.0 může vzdálený útočník spustit libovolný kód nebo způsobit odmítnutí podmínek služby na cílovém serveru. Patch je k dispozici od března 2017.<br><strong>2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)</strong> - V OpenSSL existuje zranitelnost umožňující přístup k informacím. Zranitelnost je způsobena chybou při zpracování TLS/DTLS heartbeat paketů. Útočník může využít tuto zranitelnost k odhalení obsahu paměti připojeného klienta nebo serveru.<br><strong>3. ↑ D-Link DSL-2750B Remote Command Execution</strong> – V routerech D-Link DSL-2750B byla zjištěna zranitelnost umožňující vzdálené spuštění libovolného kódu na zranitelném zařízení.</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Dominoval především malware CoinHive těžící kryptoměnu Monero, který měl ještě výrazně větší dopad, než byl celosvětový průměr. I na druhém a třetím místě nedošlo ke změně, jen oba škodlivé kódy ještě zvýšily dopad v ČR oproti červenci. Zároveň se do Top 10 vrátil Conficker, který v minulém roce dominoval, ale letos zatím kyberútočníci častěji preferují jiné nástroje.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="4" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – srpen 2018</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"><strong>Popis</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad ve světě</strong></td><td width="50" class="ms-rteTable-default"><strong>Dopad v ČR</strong></td></tr><tr><td class="ms-rteTable-default">Coinhive</td><td class="ms-rteTable-default">CoinHive je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele. CoinHive implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.</td><td class="ms-rteTable-default">17,00 %</td><td class="ms-rteTable-default">29,05 %</td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td><td class="ms-rteTable-default">3,85 %</td><td class="ms-rteTable-default">10,47 %</td></tr><tr><td class="ms-rteTable-default">Dorkbot</td><td class="ms-rteTable-default">IRC červ, který umožňuje vzdálené spuštění kódu operátorem a stahování dalšího malwaru do infikovaného systému. Jedná se o bankovní trójský kůň, jehož primární motivací je krást citlivé informace a zahajovat DoS útoky.</td><td class="ms-rteTable-default">6,20 %</td><td class="ms-rteTable-default">8,45 %</td></tr><tr><td class="ms-rteTable-default">Nivdort</td><td class="ms-rteTable-default">Nivdort je trojan, který cílí na platformu Windows. Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha. Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS. Nivdort ukládá své soubory do složky systémových souborů systému Windows. Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.</td><td class="ms-rteTable-default">2,98 %</td><td class="ms-rteTable-default">6,08 %</td></tr><tr><td class="ms-rteTable-default">Cridex</td><td class="ms-rteTable-default">Cridex je červ pro platformu Windows. Pokouší se krást data, jako jsou například informace o kreditní kartě. Může stáhnout a spustit další škodlivé soubory na infikovaném systému. Může se také šířit prostřednictvím vyměnitelných jednotek a po sdílených sítích.</td><td class="ms-rteTable-default">1,80 %</td><td class="ms-rteTable-default">5,41 %</td></tr><tr><td class="ms-rteTable-default">Jsecoin</td><td class="ms-rteTable-default">JavaScript těžící kryptoměny, který lze vložit do webových stránek.</td><td class="ms-rteTable-default">4,49 %</td><td class="ms-rteTable-default">5,41 %</td></tr><tr><td class="ms-rteTable-default">XMRig</td><td class="ms-rteTable-default">XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.</td><td class="ms-rteTable-default">3,97 %</td><td class="ms-rteTable-default">4,73 %</td></tr><tr><td class="ms-rteTable-default">Cryptoloot</td><td class="ms-rteTable-default">Malware zaměřený na těžbu kryptoměn využívá výkon procesoru nebo grafické karty uživatele pro těžbu kryptoměn. Cryptoloot je konkurence pro CoinHive a snaží se získat výhodu tím, že požaduje od webových stránek menší procento zisků.</td><td class="ms-rteTable-default">4,62 %</td><td class="ms-rteTable-default">4,05 %</td></tr><tr><td class="ms-rteTable-default">Ramnit</td><td class="ms-rteTable-default">Ramnit je červ, který infikuje a šíří se především prostřednictvím vyměnitelných disků a souborů nahraných do veřejných FTP služeb. Malware vytváří vlastní kopii pro infikování vyměnitelných nebo pevných ovladačů. Malware funguje také jako backdoor.</td><td class="ms-rteTable-default">4,12 %</td><td class="ms-rteTable-default">4,05 %</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td><td class="ms-rteTable-default">3,04 %</td><td class="ms-rteTable-default">3,72 %</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p><img src="/Blog/PublishingImages/Clanky/2018/180927_Check_Point_Threat_Map.jpg" alt="" style="margin:5px;width:650px;" /></p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>
Hackeři používají USB flash disky k útokům těžebním softwaremhttps://www.antivirus.cz/Blog/Stranky/hackeri-pouzivaji-usb-flash-disky-k-utokum-tezebnim-softwarem.aspxHackeři používají USB flash disky k útokům těžebním softwarem<p>Nejúspěšnějšími roznašeči malwaru mezi navzájem nepropojenými počítači jsou dlouhodobě USB flash disky. Ty v poslední době stouply v oblibě u hackerů i jako prostředek pro šíření škodlivých programů, jejichž prostřednictvím v napadených počítačích mohou těžit kryptoměny. Ačkoliv se množství i různorodost útoků prostřednictvím těchto nástrojů zatím drží při zemi, rok od roku narůstá. Tato a další zjištění přináší přehled společnosti Kaspersky Lab zaměřený na hrozby USB přenosných zařízení pro rok 2018.</p><p>S USB paměťmi se setkáváme již bezmála dvě desetiletí. Za tu dobu se s nimi setkal snad každý, snadností svého použití si získaly dobrou pověst, naopak ale sklízí kritiku za nízkou bezpečnost uchovávaných dat. Stal se z nich oblíbený reklamní předmět a častý pomocník v pracovním i běžném životě. I proto jsou stále v hledáčku kyberzločinců, kteří je využívají ke svým zákeřným aktivitám. Z přehledu Kaspersky Lab vyplývá, že zločinci ve spojení s USB disky používají konzistentní arsenal hrozeb. Top 10 hrozbám přenášeným USB flash disky, jak je zaznamenal systém Kaspersky Security Network (KSN), vévodí od roku 2015 malware Windows LNK. V žebříčku se také objevuje velmi známý exploit z roku 2010 „zranitelnost Stuxnet“ nebo CVE-2018-2568 a nově se na první pozice začínají tlačit minery kryptoměn.</p><p>Podle dat z KSN je velmi rozšířeným minerem na přenosných discích trojský kůň Trojan.Win32.Miner.ays/Trojan.Win64.Miner.all, který je známý od roku 2014. Po úspěšném stažení těžebního programu do počítače se skrytě nainstaluje a spustí. Miningový software je schopný stahovat z internetu požadavky, které mu následně umožňují odesílat jakékoliv výsledky na server útočníka. Aktuální data ze sítě Kaspersky Lab ukazují, že některé infekce jsou i mnoho let staré. Útočníci tak jejich prostřednictvím mohou negativně ovlivňovat výkon počítačů i řadu let.</p><p>Počet detekcí 64 bitových verzí těchto minerů každý rok o zhruba šestinu narůstá. Mezi lety 2016 a 2017 stouply o 18,42 %; pro období mezi roky 2017 a 2018 odborníci očekávají nárůst o 16,42 %. I na základě těchto údajů lze hodnotit, že šíření minerů prostřednictvím USB flash disků je velmi efektivní. </p><p>Rozvojové trhy, kde se USB disky velmi často používají v obchodním styku, jsou nejzranitelnější k infekcím přenášeným těmito médii. Nejpostiženějšími oblastmi tak jsou Asie, Afrika a Jižní Amerika. Ojedinělé případy se ale objevují i v evropských zemích a Severní Americe.</p><p>Tento rok 21. srpna odborníci Kaspersky Lab informovali o novém bankovním malwaru <a href="https://securelist.com/dark-tequila-anejo/87528/" target="_blank">Dark Tequila</a>, k jehož šíření kyberzločinci také použili USB zařízení. Tato hrozba útočila na uživatele v Mexiku přinejmenším od roku 2013. Malé USB disky podle jiného alarmující zjištění dokáží vyřadit z provozu celé výrobní linky v průmyslových podnicích. V první polovině tohoto roku totiž  přispěly k šíření 8 % útoků na průmyslové řídicí systémy.</p><p>„I když už v současnosti nejsou USB disky tak efektivními přenašeči malwarových infekcí jako tomu bývalo ještě před pár lety, zůstávají podle našich dat i nadále významným hráčem. Nejen, že jsou stále běžnou součástí pracovních aktivit mnoha společností a institucí, ale pozornost hackerů přitahují i svými bezpečnostními nedostatky, které internetoví piráti snadno zneužívají. Existují ale jednoduché kroky, jak ochránit svá data a počítače před hrozbami spojenými s USB disky. Jedním z nich je používání zašifrovatelných USB flashek, k jejichž obsahu se hackeři dostanou jen velmi obtížně, nebo využívání bezpečnostních řešení, která zkontrolují nezávadnost jejich obsahu,“ doporučuje Denis Parinov, anti-malwarový odborník ze společnosti Kaspersky Lab.</p><p>Celá zprávo o hrozbách spojených s USB disky je dostupná na <a href="https://securelist.com/usb-threats-from-malware-to-miners/87989/" target="_blank">blogu Securelist.com</a>.<br></p><p>​</p>
Nebezpečná aplikace QRecorder cílí na české uživatele a jejich internetové bankovnictvíhttps://www.antivirus.cz/Blog/Stranky/nebezpecna-aplikace-qrecorder-cili-na-ceske-uzivatele-a-jejich-internetove-bankovnictvi.aspxNebezpečná aplikace QRecorder cílí na české uživatele a jejich internetové bankovnictví<p><strong>Bezpečnostní analytici společnosti ESET upozorňují na na rizikovou aplikaci, která je ke stažení v oficiálním obchodě Google Play. Nástroj pro nahrávání hovorů QRecorder se po některé z posledních aktualizací stal pro uživatele hrozbou, která umožňuje útočníkům vzdálený přístup do bankovního účtu napadeného uživatele. Tuto hrozbu ESET detekuje již při instalaci aplikace jako Android/Spy.Banker.AIX. Nástroj QRecorder určený pro mobilní zařízení na platformě Android může mít jen v České republice na desítky tisíc uživatelů. </strong></p><p>„Podařilo se nám zachytit nástroj na nahrávání hovorů QRecorder. Na základě naší interní analýzy můžeme říci, že původně legitimní aplikace byla tzv. ztrojanizovaná. To znamená, že po jedné z posledních aktualizací se z QRecorderu stal tzv. trojský kůň. Ten umožňuje útočníkům stáhnout do chytrého telefonu s operačním systémem Android nebezpečný obsah, což se také děje,“ říká Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.</p><p>Z analýzy bezpečnostních specialistů společnosti ESET, která stále probíhá, prozatím vyplynulo, že malware v telefonu čeká na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě kterého vykoná požadovanou aktivitu. V první fázi škodlivý kód zjišťuje, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace. Následně je do telefonu stažen modul, který vytvoří neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímá přihlašovací údaje uživatele. Útočníci dále mají přístup do sms zpráv, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebrání, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí.</p><p>„Útočníci pomocí tohoto malware cílí primárně na uživatele z České republiky, Polska a německy mluvících zemí. Respektive cílí na každého, kdo má přednastavenou českou, polskou či německou jazykovou lokalizaci operačního systému Android. Cílení na české uživatele je přitom výjimečné,“ dodává Dvořák.</p><p>Způsob, jak se uživatel může bránit, není v tomto případě jednoznačný. Aplikace byla stažena z legitimního zdroje Google Play a dříve nepředstavovala žádné riziko. Kromě instalace bezpečnostního softwaru proto představuje jedinou cestu důsledná kontrola požadovaných oprávnění aplikace s ohledem na její primární a legitimní účel.<br></p>