Robert Šuman | |
Vedoucí pražského detekčního a analytického týmu společnosti ESET | |
  | APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje. Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO. Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu. Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny - Group Policy - ve službě Active Directory u postižených organizací. |
Jakub Souček | |
Team Coordinator & Malware Analyst společnosti ESET | |
 | V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků - dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 %, což je v tomto kontextu ohromující číslo. Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 %. Velkou část tohoto nárůstu má na svědomí právě RansomHub, nový gang fungující v modelu RaaS. Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům. Gang RansomHub se objevil přibližně ve stejné době, kdy se orgánům činným v trestním řízení podařilo v mezinárodní operaci Cronos narušit aktivity gangu LockBit. Dynamicky se proměňující ransomwarové prostředí samozřejmě není dobrou zprávou pro firmy a instituce, které se této neustále přítomné hrozbě musí přizpůsobovat, zvlášť pokud spadají do oblasti kritické infrastruktury. Reakci lze vidět i v legislativní oblasti, kde v České republice na boj s touto hrozbou klade důraz například i nový Zákon o kybernetické bezpečnosti. |
02.04.25-ST Změny v ekosystému ransomwarových gangů | |
Martin Skýpala | |
Produktový manažer české pobočky společnosti ESET | |
 | Na rozdíl od jiných řešení, která jsou založena na službě Windows Volume Shadow Copy, nemohou být zálohy, které nová funkce Obnova po útoku ransomwarem vytvoří, zneužity útočníky. Funkce má vlastní chráněné úložiště, kde útočníci nemohou soubory modifikovat, poškodit ani smazat. Tím se aktivně řeší jeden z nejčastějších nedostatků běžných záloh během útoku ransomwarem. Jediným skutečným omezením funkce je velikost disku a limit velikosti jednoho souboru do 30 MB. Administrátoři, kteří s platformou ESET PROTECT pracují, by proto měli určit, které typy souborů přidat do filtru funkce, aby je zahrnula během své činnosti do vytvoření zálohy. |
Jakub Souček | |
Team Coordinator & Malware Analyst společnosti ESET | |
| Útoky ransomwarem se stávají stále sofistikovanějšími. Útočníci se snaží narušit každý aspekt bezpečnostní stability, kterou firma má. Klíčovým prvkem těchto útoků je zašifrování, které zablokuje firmě přístup k jejím podnikovým systémům, naruší její procesy s významnými dopady do jejích nákladů, a nakonec ji nutí zaplatit za dešifrování jejích systémů. V roce 2024 útočníci dokonce poprvé požadovali za zpřístupnění dat rekordní částku 100 milionů dolarů. Útočníci jdou tak daleko, že cílí i na zálohy systémů, které mažou nebo poškozují. Běžnou součástí útoků ransomwarem jsou i škodlivé kódy, které se snaží vypnout bezpečnostní řešení. Nenechávají nic náhodě. Obnova je pak často nemožná a náklady na odstranění následků útoku se zvyšují. S tím, jaký vývoj v případě ransomwaru sledujeme, je tak stále reálnější hrozbou pro firmy a organizace bez ohledu na jejich velikost. Alarmujícím trendem roku 2024 byl např. celosvětový rapidní růst útoků na sektor zdravotnictví a je bohužel možné, že tento trend bude pokračovat i v roce 2025. |
Matěj Havránek | |
Výzkumný analytik pražské pobočky společnosti ESET | |
 | Útočníci z DeceptiveDevelopment v rámci falešného pracovního pohovoru od svých obětí požadují, aby absolvovali test programování. Mají např. přidat funkce do existujícího projektu. Soubory určené ke splnění tohoto úkolu jsou obvykle umístěny v soukromých repozitářích na GitHubu nebo na jiných podobných platformách. Nadšený kandidát na zajímavou pracovní pozici se ale v tomto případě setká se soubory obsahujícími malware. Jakmile soubor s projektem stáhne a spustí, dojde ke kompromitaci jeho zařízení. Aby se útočníci dostali ke svým potenciálním obětem, vytvářejí falešné profily náborářů na sociálních sítích nebo zneužívají již existující profily. Geograficky své oběti nerozlišují a případy jejich aktivit evidujeme celosvětově. Několik desítek případů jsme zachytili také v České republice. Snaží se zacílit na co největší počet lidí, aby tím zvýšili pravděpodobnost zisku finančních prostředků a informací. |
