Jakub Souček

Team Coordinator & Malware Analyst společnosti ESET

Doposud byl s AI spojován ransomwarový gang FunkSec, který se netajil tím, že využívá AI při vývoji. PromptLock posouvá integraci AI mnohem dále, a škodlivý kód generuje automaticky v průběhu útoku, což představuje zásadní změnu v principu využívání AI. Generovaný kód může být například obtížnější odhalit.

Jelikož se zatím jedná spíše o funkční ukázku, bude zajímavé sledovat, jestli se některá z aktivních ransomware skupin rozhodne podobný postup aplikovat.

Spolupráce soukromého a veřejného sektoru v boji proti kybernetické kriminalitě je naprosto klíčová, jak dokazuje i dlouholetá účast ESETu na společných operacích. Tento rok se dokonce jednalo o dva souběžné zásahy, a to proti botnetu Danabot a infostealeru Lumma Stealer, na kterých se významnou mírou podíleli experti z českých poboček.

Nedávná návštěva centrály Europolu nám tak ukázala, že CIEP je unikátní cesta, jak oboustrannou spolupráci posunout ještě dále a zefektivnit a zintenzivnit tak zásahy proti kyberkriminálníkům.

Naše týmy expertů jsou denně v přímém kontaktu s kybernetickými hrozbami a efektivní spolupráce s orgány činnými v trestním řízení pomáhá maximalizovat dopad našich expertních znalostí v konkrétních akcích.

V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků - dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 %, což je v tomto kontextu ohromující číslo. Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 %. Velkou část tohoto nárůstu má na svědomí právě RansomHub, nový gang fungující v modelu RaaS.

Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům. Gang RansomHub se objevil přibližně ve stejné době, kdy se orgánům činným v trestním řízení podařilo v mezinárodní operaci Cronos narušit aktivity gangu LockBit.

Dynamicky se proměňující ransomwarové prostředí samozřejmě není dobrou zprávou pro firmy a instituce, které se této neustále přítomné hrozbě musí přizpůsobovat, zvlášť pokud spadají do oblasti kritické infrastruktury.

Reakci lze vidět i v legislativní oblasti, kde v České republice na boj s touto hrozbou klade důraz například i nový Zákon o kybernetické bezpečnosti.

Útoky ransomwarem se stávají stále sofistikovanějšími. Útočníci se snaží narušit každý aspekt bezpečnostní stability, kterou firma má. Klíčovým prvkem těchto útoků je zašifrování, které zablokuje firmě přístup k jejím podnikovým systémům, naruší její procesy s významnými dopady do jejích nákladů, a nakonec ji nutí zaplatit za dešifrování jejích systémů. V roce 2024 útočníci dokonce poprvé požadovali za zpřístupnění dat rekordní částku 100 milionů dolarů.

Útočníci jdou tak daleko, že cílí i na zálohy systémů, které mažou nebo poškozují. Běžnou součástí útoků ransomwarem jsou i škodlivé kódy, které se snaží vypnout bezpečnostní řešení. Nenechávají nic náhodě. Obnova je pak často nemožná a náklady na odstranění následků útoku se zvyšují.

S tím, jaký vývoj v případě ransomwaru sledujeme, je tak stále reálnější hrozbou pro firmy a organizace bez ohledu na jejich velikost. Alarmujícím trendem roku 2024 byl např. celosvětový rapidní růst útoků na sektor zdravotnictví a je bohužel možné, že tento trend bude pokračovat i v roce 2025.

Českých uživatelů jsme se letos ptali také na jejich oblibu známého čínského internetového tržiště Temu, které se stalo v posledních měsících předmětem mnoha diskusí o bezpečnosti a o kvalitě zboží, které nabízí. Zkušenost s nákupem na Temu má podle našeho průzkumu zhruba třetina dotázaných (32 %), z nichž 7 % uvedlo, že zde nakupuje často. Je nicméně také zajímavé, že čtvrtina dotázaných uváděla, že jim nakupování na Temu nepřijde bezpečné (23 %), nebo že tam nenakupují kvůli tomu, že jim zboží nepřijde kvalitní (24 %).

Především v případě nákupní aplikace Temu vždy uživatele upozorňujeme, aby zvážili její používání. Mnoho lidí je přesvědčeno, že jejich data přece nikoho nebudou zajímat. Bohužel tomu tak není. Data každého z nás mohou dále sloužit např. k vytváření agresivní cílené reklamy nebo ke zneužití identity, a to nejen v případě využívání konkrétně této nákupní aplikace.

Temu může nicméně údaje o uživateli a o zařízení sdílet se třetími stranami, např. se svými přidruženými společnostmi, a pokud tyto přidružené společnosti sídlí v Číně, bude nakládání s daty uživatelů podléhat tamější legislativě.

Nevíme, jak jsou data u těchto společností dále zpracovávaná, a nemusí s nimi být nakládáno v souladu s evropskými principy a standardy zpracování dat.