Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

V souvislosti s probíhající válkou jsme detekovali i několik nových malwarových útoků typu wiper, u kterých se domníváme, že motivem pro útočníky nebyla vidina finanční odměny, jak to u malwarových útoků bývá.

Útočníci se tentokrát zaměřovali na konkrétní organizace s cílem zhoršit jejich schopnost reagovat.

Stále denně registrujeme desítky případů po celém světě. U běžných uživatelů se nejčastěji jedná o počítače se zastaralými a neaktualizovanými operačními systémy, což je bohužel dlouhodobý problém. Setkáváme se s ním nadále i v Česku, jakkoli už to jsou jen poměrně ojedinělé případy. Jakmile útočníci jednou proniknou do systému, útok si tím připraví a pak většinou vyčkávají na vhodnou příležitost, aby celou akci spustili.

V případě využívání chyb legitimních nástrojů a softwaru je samozřejmě mnohem složitější včas rozpoznat, že byl systém takto infiltrován. Je to velmi aktuální téma, jak také ukázala zranitelnost Log4j v závěru roku 2021 a obavy společností a organizací po celém světě, které ji doprovázely.

V případě WannaCry byl hlavním vektorem šíření e-mail. Uživatelé, a to i ve své roli zaměstnance ve firmě, by tak měli věnovat pozornost obsahu zprávy, pokud ji obdrží od neznámého odesílatele. V takovém případě by nikdy neměli otevírat e-mailovou přílohu a klikat na odkazy.

Důležité je také aktualizovat operační systém a všechny programy na nejvyšší dostupné verze, které právě často obsahují opravy chyb z verzí předešlých.

Skupinu ALPHV sledujeme zhruba od listopadu 2021. Skutečnost, že poměrně nová skupina dokázala napadnout a ochromit kritickou infrastrukturu ve vyspělé evropské zemi, opět dokazuje, jak se kybernetické útoky rychle vyvíjejí a ochrana před nimi je závod s časem.

I když v tuto chvíli nemáme o útoku více podrobností, lze předpokládat, že k proniknutí do systémů došlo již před nějakým časem. Útočníci velmi detailně hledají zranitelnosti v systémech, které jim otevřou cestu k útoku.

I z toho důvodu nelze další incidenty vyloučit ani v České republice. BlackCat se navíc prodává jako RaaS - Ransomware as a Service, a může si ho tak pořídit jakákoli jiná útočná skupina.

Ochranou je především podrobné a dlouhodobé monitorování datových toků v síti a dobře nastavené bezpečnostní nástroje.

Ovladače v operačním systému Windows musí být digitálně podepsané certifikátem. Tím se výrazně zvyšuje zabezpečení systému, protože je nejde pozměnit ani vyměnit. Bohužel i toto zabezpečení mohou útočníci zneužít. Na základě dlouhodobého sledování známe případy ovladačů, které jsou sice podepsané, ale jejich zranitelnosti dávají útočníkům možnost k průniku do systému. Dopady zranitelností ovladačů jádra systému Windows se mohou ze své podstaty dotýkat velkého množství uživatelů, a to i těch v Česku.

Uživatelé jednoduše mohou používat specializované programy umožňující podvádění při hraní počítačových her nebo mít nainstalovaný starý ovládač k tiskárně, který je tímto způsobem zneužitelný. Výrobci software, které jsme na základě našich nálezů kontaktovali, byli neuvěřitelně aktivní a ochotně námi zjištěné nedostatky opravovali.

Společnost Microsoft se sama zaměřuje na posílení operačního systému Windows zevnitř a v neposlední řadě se i dodavatelé bezpečnostních řešení snaží přijít s dalšími způsoby, jak takové ovladače odhalit a zmírnit tak dopady jejich zneužití.

Kybernetické útoky vždy korespondují s tím, jak roste využívání digitálních zařízení. Na základě toho lze v roce 2022 počítat např. s nárůstem zero-day zranitelností a jejich zneužití k distribuci tzv. zero-day malwaru. Cílem budou hlavně operační systémy Windows a macOS, služby MS Exchange, Azure AD a webové prohlížeče MS Edge, Mozilla Firefox či Chromium.

Mobilní telefony pomalu dohánějí v každodenním používání notebooky a stolní počítače a uživatelé si čím dál více zvykají jejich prostřednictvím nakupovat nebo provádět finanční transakce. Neočekáváme tak, že by objem hrozeb pro platformu Android v budoucnosti klesal.