Analýza vývoje malware za poslední čtvrtletí 2020

Koncem roku 2020 patřilo Česko mezi nejzranitelnější země v oblasti útoků na služby vystavené do internetu - odborníci proto doporučují se na jejich bezpečnost zaměřit. Objevily se také první spamy zneužívající vakcíny nebo nové postupy na vydírání infiltrovaných firem.

V závěru roku 2020 o pětinu ubylo e-mailových rizik. Nejvýraznější koncentrace škodlivých e-mailů zachytili analytici společnosti ESET v polovině listopadu a v prosinci, kdy útočníci zneužívali boom předvánočních akcí nebo Black Friday, který je zejména v anglofonních zemích velmi populární.

Malware se šířil infikovanými přílohami, ty útočníci vydávali za faktury, logistické dokumenty, potvrzení objednávek, notifikace z bank nebo za zprávy související s pandemií koronaviru.

V minulém čtvrtletí jsme zachytili první spamy, které jako vějičku používaly vakcínu - byly to např. e-maily s předmětem - Vakcína Pfizer: 11 věcí, které musíte vědět. Tyto zprávy šířily malware! V Česku zatím takové zprávy nejsou, ale lze očekávat nárůst podobných podvodů, alespoň do doby, než se lidé přestanou o toto téma zajímat.

Pokračoval klesající trend v objemu webových hrozeb. Celkově jich analytici detekovali o 23% méně. Mírné navýšení nastalo na konci listopadu, kdy útočníci zneužili období předvánočních nákupů.

V tomto období detekční nástroje ESETu blokovaly 8,5 milionů webových hrozeb denně, mezi tyto hrozby patřily zejména online podvody, stránky obsahující malware a phishing.

Útočníci stále častěji zneužívají homoglyfové útoky, u nichž analytici zachytili nárůst. Jde o techniku, kdy útočník zamění stejně vypadající nebo velmi podobné znaky, aby adresa webu vizuálně připomínala nějakou legitimní značku či stránku.

Využívají k tomu jiné znakové sady - např. cyrilici. Lidské oko rozdíl prakticky nepozná, ale počítač ano.

V Česku krade spyware hesla, v zahraničí vyhledává antivir

Pokles o pětinu zaznamenali analytici i v případě spyware, který dokáže odcizit nějaký typ uživatelských dat. V Česku se nicméně jedná o dlouhodobě dominantní hrozbu.

V Česku jsou cílem spyware především přihlašovací údaje uživatelů, například celosvětově nejvýraznější hrozba HoundRat sbírá spíše technické informace o daném zařízení, například typ verze operačního systému, typ prohlížeče, přítomnost antiviru a podobně. Tyto informace se útočníkům hodí především pro vytipování možných zranitelností a provádění dalších nelegálních aktivit.

Roste počet útoků na služby vzdáleného připojení

Experti stále pozorují rostoucí trend v útocích na služby pro práci na dálku, jako služby RDS (služby vzdálené plochy), VPN (virtuální privátní síť) brány, webové či poštovní servery - v praxi jde o nástroje, které umožňují pracovat na dálku.

Počet unikátních zařízení, která hlásily pokusy o prolomení služby RDS, vzrostl v minulém čtvrtletí o 17%. Zranitelné mohou být i VPN brány.

V loňském roce například útočníci využívali zranitelnost z roku 2019 v programu Pulse Secure Connect, což je renomovaná služba pro bezpečné VPN připojení. Na zmíněnou zranitelnost existuje od dubna 2019 bezpečnostní oprava.

Pokles ukazují data jen v době okolo Vánoc, tedy v době pracovního volna.

"Celkově jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik zajímavé. Svědčí o tom i nárůst detekcí ransomware a penetračních průniků. Je možné, že jen našli dost zranitelných míst. Apeloval bych proto na všechny instituce, aby zabezpečení bodů vystavených do internetu nepodceňovali. Podle dostupných dat útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na pravidelné aktualizace," říká Robert Šuman, vedoucí výzkumného pražského centra společnosti ESET.

Pokud se útočníkům podaří do sítě proniknout, zpravidla se pokusí ukrást maximum dat, které by bylo možné prodat či jinak zpeněžit, a následně ještě veškerá data zašifrovat a požadovat výkupné.

Tvůrci ransomware používají nové taktiky vydírání

Objem ransomware útoků klesal postupně v průběhu celého roku, ve čtvrtém čtvrtletí klesl o 4%. Naprostá většina z detekovaných kódů se šířila masově distribuovanými e-maily, objem masově šířených útoků však v průběhu roku klesl o 35%. Podle expertů mezi útočníky stoupá popularita cílených útoků. Nejčastějším ransomware po celém světě zůstal WannaCryptor (známý také jako WannaCry).

Nejvíce ransomware útoků jsme zachytili v Rusku, Turecku, Jižní Africe a jihovýchodní Asii. Nejčastěji se jednalo o ransomware WannaCry, který zneužívá několik let starou zranitelnost, na kterou existuje bezpečnostní aktualizace. Pečlivé aktualizace jsou nezbytnou prevencí těchto útoků.

V listopadu ukončila činnost skupina Maze, jedná se o nejvýraznějšího hráče na poli ransomware. Zástupci skupiny nijak nevysvětlili, proč se rozhodli odejít. Také v prohlášení vyvrátili, že by kdy existoval kartel Maze, což je ovšem v rozporu s používanými metodami skupiny. Mimo jiné skupina také v prohlášení zdůraznila význam ochrany dat a zabezpečení sítí.

Minulé čtvrtletí přineslo také novou metodu, jak na útok mohou útočníci upozornit: tou je tzv. print bombing, kdy všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné, a to včetně pokladních tiskáren na účtenky.

Další metodou nátlaku je telefonování zaměstnancům firmy, pokud mají útočníci dojem, že firma data obnovila ze záloh bez zaplacení výkupného.

Na konci roku rostl počet malware k těžbě kryptoměn

V listopadu začala opět růst hodnota bitcoinu, v reakci na to mírně přibylo detekcí podvodů a útoků, které s kryptoměnami souvisí. Například objem malware, který nelegálně těží kryptoměny na zařízení uživatele se zvýšil o 4%.

Ačkoli se může zdát, že malware těžící kryptoměny nepředstavuje vážnou hrozbu, není dobré jej podceňovat. Krom vytížení výpočetního výkonu počítače, v sobě může skrývat další nebezpečnější škodlivý kód.

V České republice se místo něj setkáváme spíše s falešnými investičními stránkami, případně s vyděračskými e-maily, které vyžadují platbu v bitcoinech.