Spyware, který se zaměřuje na odcizení hesel uložených v prohlížečích, je v České republice dlouhodobě nejvážnější hrozbou. Tento typ škodlivého kódu se šíří infikovanými e-maily v českém i anglickém jazyce. S takto odcizenými údaji útočníci obchodují.
Cílem kybernetických útoků jsou nadále hesla
Nejčastěji detekovaným malwarem byl Spy.Agent.AES. V minulých měsících analytici společnosti ESET zachytávali pravidelné kampaně této hrozby mířené proti České republice. Přestože v únoru žádná výraznější kampaň neproběhla, udržel si prvenství v detekčním přehledu. Šíří se infikovanými přílohami e-mailů. Ačkoliv Spy.Agent.AES utočí hlavně v cizích jazycích, tak stále funguje česká varianta s přílohou typu „kopie platby09886673.exe“. „Spy.Agent.AES je takzvaný password stealer, tedy trojský kůň, který odcizí přihlašovací údaje uložené v prohlížečích. Ukradená data posílá útočníkům, kteří s nimi obchodují na černém trhu. Nejcennější hesla mohou mít hodnotu až několik tisíc korun,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET.
Mohlo by vás zajímat: 2020: Generali vykázala solventnostní poměr na úrovni 224 %
Zvyšuje se podíl spyware Formbook
Druhou nejčastější hrozbou je trojský kůň Formbook. Tento měl hned několik kampaní mířených proti českým uživatelům. „V telemetrických datech vidíme výkyvy 5., 9., 18. a 25. února. V těchto dnech tedy útočníci rozesílali větší množství spamu, v jehož příloze se skrýval malware Formbook. Pokud by podobně silné kampaně pokračovaly i v březnu, je možné že se právě Formbook stane nejčastěji detekovaným malwarem v České republice,“ popisuje Jirkal.
Formbook je dalším typem spyware. Podobně jako Spy.Agent.AES se zaměřuje na odcizení přihlašovacích jmen a hesel uložených v prohlížečích. Obě hrozby mají společné také to, že je lze zakoupit na černém trhu jako službu. „Lze si pronajmout škodlivý kód, místo na serveru, a dokonce i distribuci. Kybernetický zločin je tímto dostupný i pro méně technicky zdatné útočníky,“ vysvětluje Jirkal. „Společné mají také šíření v e-mailových přílohách. Kód Formbooku se šíří nejčastěji v příloze s názvem „Credit Card & Booking details.exe“, což naznačuje, že e-mail se snaží předstírat rezervaci dovolené. Podobná strategie je v současné době velmi překvapivá.“
Mohlo by vás zajímat: Britský trh a pojištění podle kilometrů. Jaký je aktuální vývoj?
Přibylo pokusů o nelegální těžbu kryptoměn
Pomyslný bronz získal v únorovém přehledu další spyware – trojský kůň Fareit. Stejně jako předchozí hrozby se šíří e-maily a zaměřuje se na odcizení hesel z prohlížečů. V únoru rekordně stoupala hodnota kryptoměn a zejména pak bitcoinu, který překročil hodnotu 50 tisíc dolarů. S rostoucí hodnotou přibývá také pokusů o nelegální těžbu nebo jiné podvodné obohacení. „Na čtvrtém místě naší statistiky se umístil CoinMiner.ARV, jedná se o těžební trojský kůň. Tento malware si uživatelé stáhnou sami z podezřelých zdrojů v domnění, že se jedná o spolehlivý nástroj k těžbě alternativních kryptoměn. Může dokonce i uživatelům něco málo vydělat, ale v pozadí těží kryptoměny útočníkům od všech uživatelů, kteří si malware stáhli,“ dodává Jirkal. „Před podobnými podvody se musíme mít na pozoru. Dokud bude cena bitcoinu vysoká, budou různé podvody rizikem,“ vysvětluje analytik ESETu.
Nejčastější kybernetické hrozby v České republice za únor 2021:
- MSIL/Spy.Agent.AES trojan (15,44 %)
- Win32/Formbook trojan (13,11 %)
- Win32/PSW.Fareit trojan (3,93 %)
- BAT/CoinMiner.ARV trojan (2,25 %)
- Win32/Rescoms trojan (1,78 %)
- MSIL/Autorun.Spy.Agent.DF worm (1,64 %)
- MSIL/Spy.Agent.CJX trojan (1,62 %)
- DOC/Agent.FO trojan (1,44 %)
- Java/Adwind trojan (1,23 %)
- MSIL/NanoCore trojan (1,11 %)
Mohlo by vás zajímat: Pojistitelnost pandemického rizika II: Kritéria pojistitelnosti
Poštovní servery pod útoky
V České republice se nachází přibližně 500 poštovních serverů, které byly infikovány útočníky, kteří zneužili zranitelnosti Microsoft Exchange. Vyplývá to z dat společnosti ESET, která na základě aktuálních zjištění zásadně mění odhady rozsahu důsledků této situace. „Na základě našich dat vidíme, že Česká republika patří mezi globálně nejvíce zasažené země. Příčiny této situace spatřujeme mimo jiné ve velkém počtu serverů, které jsou takzvaně vystavené do internetu. Zároveň se v Česku fyzicky nachází poměrně významný počet IT infrastruktur řady globálních společností, což v konečném důsledku naši situaci ve srovnání s ostatními zeměmi zhoršuje,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
Přestože se pořadí v následujících dnech může změnit, důležitá je aktivita v oblasti nezbytných aktualizací jednotlivých organizací, které servery hostují. „Zde jsme v uplynulém týdnu viděli velký posun správným směrem. Počet serverů, které byly svými správci aktualizovány, se výrazně zvýšil a naprostá většina je již aktualizována. Na druhou stranu je zde značné procento těch, kteří z nějakého důvodu aktualizaci stále neprovedli. Zde bychom chtěli varovat, v tomto případě opravdu nelze otálet,“ říká Dvořák.
Mohlo by vás zajímat: Petr Pecina: Osobní setkání s klienty nic nenahradí
Klíčové je instalovat aktualizace s opravou
Pro tyto zranitelnosti vydal Microsoft bezpečnostní opravy již na začátku března. Podle odborníků je nezbytné instalovat o tyto opravy všechny dotčené servery, nejen ty vystavené do internetu. „Pokud už ke kompromitaci došlo, měli by administrátoři malware odstranit, změnit přístupové údaje a prověřit, zda na serveru nedošlo k dalším aktivitám útočníků. Incidenty jako tento jsou dobrou připomínkou, že komplexní aplikace, jako je Microsoft Exchange nebo SharePoint, by neměly být, pokud existuje jiná alternativa, vystaveny přímo do internetu,“ radí Dvořák.
Zranitelnost využívá několik útočných skupin
Na aktuálních útocích se podílí více než deset různých útočných skupin, které pravděpodobně využily nedávné chyby zabezpečení Microsoft Exchange k instalaci malwaru na e-mailové servery obětí. V některých případech se několik skupin zaměřovalo na stejnou oběť. Mezi nejznámějšími můžeme jmenovat například skupinu Winnti nebo Mikroceen. „V tomto případě se nejedná o typy útoků, které okamžitě ochromí chod organizace, jak tomu bývá v případě ransomware nebo podobných typů útoků,” popisuje Dvořák. „Napadeným organizacím hrozí eskalace infekce, jedná se vlastně o úspěšný penetrační průnik. To znamená, že útočníci budou dále v síti šířit svůj malware, hrozí také kompromitace e-mailové komunikace a zneužití dat v ní. Během víkendu se objevily také první ransomwary, které tuto zranitelnost zneužívají k zašifrování souborů,“ dodává.
Mohlo by vás zajímat: Podcast: Pandemie jako hollywoodský film. Nové zkoušky zkvalitní trh
Na začátku března vydal Microsoft pro poštovní servery Exchange Server 2013, 2016 a 2019 bezpečnostní záplaty opravující tyto zranitelnosti typu pre-autentizačního vzdáleného spuštění kódu (RCE). Tato technika umožňuje útočníkovi převzít kontrolu nad jakýmkoliv zranitelným serverem Exchange publikovaným své webové rozhraní do internetu, aniž by bylo nutné znát platné přihlašovací údaje.
Hackeři podle aktuálního zjištění deníku Aktuálně.cz napadli zdravotnické zařízení ministerstva vnitra, kterým protékají citlivé informace o příslušnících bezpečnostních složek. Útok je součástí operace, kdy útočníci po celém světě postupně udeřili na stovky tisíc subjektů. Americký softwarový gigant Microsoft za prvotního původce útoku označil čínskou vládní skupinu přezdívanou Hafnium a vydal bezpečnostní záplaty. Podle odhadů může být po celém světě více než čtvrt milionu obětí. Experti přitom varovali, že to je jen začátek a může přijít druhá, mnohem závažnější druhá vlna útoků. Vybudovaná „zadní vrátka“ mohou posloužit k tomu, aby se v počítačích stovek tisíc veřejných institucí i firem po celém světě útočníci dlouhodobě usídlili a tajně z nich získávali i citlivější informace než e-maily.
Komentáře
Přidat komentář