Rubrika: Kyberbezpečnost

Analýza: intenzita jednotlivých DDoS útoků na české firmy v únoru rostla, nejvíce útoků míří z Ruska

Počet DDoS útoků na české firmy v únoru klesl, zvýšila se ale intenzita jednotlivých útoků. Po několika měsících se totiž opět objevily útoky s intenzitou vyšší než 150 Gbps. U průměrného útoku je přitom tato hodnota přibližně desetkrát menší. Zároveň již druhý měsíc po sobě nejvíce útoků míří z Ruska. Stále pak platí trend, že útočníci napadající servery provozující služby či internetové stránky více hledají úplně nové cesty svých DDoS útoků a prodlužují dobu jejich trvání. Vyplývá to z pravidelné měsíční analýzy statistik provozu služeb FlowGuard české společnosti ComSource, která se zaměřuje na kyberbezpečnost a síťovou infrastrukturu.

„I když celkový počet klesl, rostla intenzita jednotlivých útoků. V únoru jsme po několika měsících klidu několikrát zaznamenali útoky s intenzitou přesahující 150 Gbps. Běžně jsou přitom tyto hodnoty na úrovni do přibližně 30 Gbps. Navíc se výrazně zvýšil podíl útoků využívajících protokol UDP. Ty jsou obvykle založené na vytváření dotazů na běžné aplikační služby, u kterých je požadovaná odpověď zpravidla mnohem větší než původní dotaz. Útočník pak podvrhne místo své IP adresy adresu cíle útoku a všechny odpovědi těchto služeb tak směřují na nic netušící cíl, který se zahltí nadměrným provozem,“ říká Jaroslav Cihelka, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

Posledních několik měsíců roste podíl útoků přímo na aplikační vrstvě. To útočníkům umožňuje efektivně zvýšit dopad útoků a servery provozující služby jednodušeji zahltit i menší intenzitou síťového provozu. V kombinaci se zranitelností méně obvyklých internetových protokolů to ukazuje na nutnost zabezpečení nových míst v rámci firemní IT infrastruktury.

Podle přehledu DDoS útoků zachycených službami FlowGuard společnosti ComSource v únoru překročil počet zemí, ze kterých na firmy a instituce v České republice útoky mířily, hodnotu 200. Nejvíce útoků bylo z Asie, ta kralovala i žebříčku intenzity útoků. Tento kontinent si tak v uplynulém měsíci prohodil místo s Evropou. Z pohledu zemí bylo druhý měsíc po sobě nejvíce útoků z Ruska, nejintenzivnější útoky pak směřovaly z Vietnamu. Celkový objem odfiltrovaného škodlivého provozu v únoru oproti předchozímu měsíci vzrostl, což souvisí s velkou intenzitou jednotlivých útoků.

O FlowGuard

Detekční zařízení FlowGuard vzniklo v laboratořích společnosti ComSource. Funguje na principu rozpoznání potenciální hrozby již v toku dat mířících na síť a jeho vyčištění od nežádoucího provozu. Organizacím pomáhá detekovat všechny druhy DDoS útoků. Blokuje data z podezřelých zdrojů, a přitom nezasahuje do běžného provozu jejich sítě. Díky strojovému učení FlowGuard neustále zvyšuje svou efektivitu a naddimenzovaná kapacita čistícího centra zaručuje spolehlivost v každé situaci.

O společnosti ComSource

Společnost ComSource se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje od roku 2010. Poskytuje vysoce profesionální služby a dodává ta nejlepší infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích. Díky vlastní laboratoři ComSource vyvinul a dále rozvíjí i vlastní řešení a služby. Nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. ComSource má CSIRT tým, je aktivním členem AFCEA a projektu FENIX. Společnost má své pobočky v Praze, Písku a v Bratislavě.

Nový malware napodobuje finanční instituce a láká na výhodné půjčky

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novým vishingovým malwarem, který se dosud zaměřoval na oběti v Jižní Koreji, ale podobných podvodů bude přibývat po celém světě a i čeští uživatelé by si tedy na tyto nebezpečné triky měli dávat pozor. Malware FakeCalls napodobuje mobilní aplikace finančních institucí a nabízí falešné půjčky s nízkými úrokovými sazbami. Jedná se o podvod, jehož cílem je vylákat z obětí informace o platebních kartách. Jakmile si uživatel podvodnou aplikaci stáhne a projeví zájem o půjčku, kyberzločinci zavolají na telefonní číslo oběti a vydávají se za zástupce finanční instituce.

Těmto útokům se říká vishing, což je zkratka pro hlasový phishing. Cílem je oklamat oběť, aby si myslela, že opravdu hovoří se zaměstnancem banky. Protože si oběť myslí, že používá oficiální aplikaci, nemá důvod nevěřit výhodné nabídce. Kyberzločinci si v tomto momentě mohou připravit další podklady, aby oběť co nejefektivněji zmanipulovali.

V okamžiku, kdy ke konverzaci skutečně dojde, je neznámé telefonní číslo kyberzločinců nahrazeno opravdovým číslem banky, aby vše působilo ještě věrohodněji. Jakmile útočníci získají důvěru oběti, pokusí se vylákat informace o platební kartě, které údajně potřebují, aby mohli potvrdit nárok na (falešnou) půjčku.

Obětem zároveň nemusí volat jen přímo kyberzločinci, ale malware dokáže také přehrát předem nahranou zvukovou stopu imitující pokyny z banky. Do různých vzorků malwaru je vloženo několik zpráv odpovídajících různým finančním organizacím.

Velmi nebezpečná je i další funkce, prostřednictvím které umí malware FakeCalls nahrávat audio a video z kamery zařízení a vše odesílat na řídící servery.

Hackeři při vývoji malwaru kladli velký důraz na maskování a použili několik unikátních antidetekčních technik. Check Point objevil více než 2 500 vzorků malwaru FakeCalls, které využívaly různé kombinace napodobování finančních organizací a maskovacích technik.

„Hlasový phishing je stále běžnější a vydávat se za finanční instituce je poměrně efektivní. Malware FakeCalls je navíc multifunkční a může kromě primárního cíle krást i soukromá data z infikovaného zařízení, se kterými potom mohou útočníci dále pracovat. Kyberzločinci se při vývoji malwaru zaměřili i na technické detaily a implementovali několik unikátních maskovacích technik. Triky použité v tomto malwaru mohou používat i další škodlivé kódy a podvodné aplikace,“ říká Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Bezpečnostní tipy:

  1. Neposkytujte telefonicky žádné osobní údaje.
  2. Dávejte si při rozhovoru pozor na neobvyklé pauzy.
  3. Dávejte si pozor na neznámá telefonní čísla a banku vždy raději kontaktujte napřímo sami.
  4. Požádejte volajícího, aby ověřil svou totožnost a uvedl například webovou adresu dané organizace.
  5. V automatických zprávách na nic neklikejte a ani neodpovídejte na žádné výzvy, protože kyberzločinci mohou váš hlas nahrát.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls/

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Nová verze umělé inteligence GPT-4 usnadňuje vytváření phishingových podvodů a nebezpečných kódů, i z amatérů může udělat kyberzločince

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, analyzoval možnosti nové verze umělé inteligence GPT-4. Z prvotních průzkumů vyplývá, že existují různé scénáře, které by kyberzločinci mohli využít pro zvýšení efektivity při vytváření podvodů, hrozeb a útoků, a to i bez technických znalostí.

Novou verzi lze snadno použít například k vytváření phishingových zpráv, napodobujících e-maily od banky, nebo podvodných zpráv zaměstnancům. Snadno lze vytvořit také malware, který bude krást a odesílat pdf dokumenty, nebo kód pro stažení a spuštění malwaru. Konkrétní příklady najdete níže.

GPT-4 má sice některá omezení a ochranná opatření, která mají blokovat snahu o zneužití a vytváření podvodů a nebezpečných kódů, ale většinu z nich lze poměrně jednoduše obejít. Check Point bude GPT-4 i nadále testovat a v dalších dnech zveřejní podrobnější analýzu.

„Už dříve jsme upozorňovali, že ChatGPT zneužívají hackeři a je potřeba si na tuto novou vlnu hrozeb dávat pozor. Proto jsme také rychle analyzovali nejnovější verzi GPT-4. Nová platforma se sice na mnoha úrovních jednoznačně zlepšila, ale zároveň vidíme mnoho scénářů, které by mohli využít i technicky méně zdatní kyberzločinci. Hackeři by mohli vzhledem k rychlé reakci ChatGPT4 překonávat jednoduše technické problémy při vývoji a vylepšování malwaru. ChatGPT4 může, stejně jako prakticky všechny průlomové technologie, sloužit dobrým i špatným účelům. Umělá inteligence hraje stále významnější roli v kybernetické obraně i útocích a očekáváme, že hackeři se budou GPT-4 snažit intenzivně využít,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies.

Další informace najdete i v předchozích analýzách výzkumného týmu Check Point Research:

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Ukrajinské vládní subjekty čelí špionážním útokům, krádeže dat hrozí i českým organizacím

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého čelily v únoru ukrajinské vládní subjekty zvýšenému náporu špionážních kyberútoků.

I když mezi říjnem 2022 a únorem 2023 počet kyberútoků na ukrajinské organizace klesl o 44 %, je Ukrajina i nadále oblíbeným terčem kyberzločinců. Hackeři například šíří e-maily napodobující zprávy od společnosti Ukrtelecom JSC. Příloha ve formátu .rar ovšem obsahuje nebezpečný trojan Remcos, který hackerům umožňuje krást v infikovaném počítači data a spouštět další příkazy. Ze vzorců chování a z analýzy incidentů vyplývá, že probíhající útoky souvisí s kybernetickými špionážními operacemi.

„Přestože počet politicky motivovaných útoků na Ukrajinu klesl, zůstává i nadále kybernetickým bojištěm. Od začátku rusko-ukrajinské války je hacktivismus hlavním motivem řady hackerských skupin a většina z nich dává přednost destruktivním útokům, jako je DDoS, aby získaly co největší publicitu. Nejnovější kampaň ale používá tradičnější způsob útoku, pomocí phishingových podvodů se snaží získat informace o uživatelích a vylákat citlivá data. Je důležité, aby všechny organizace a státní orgány dodržovaly při práci s e-maily doporučené bezpečnostní postupy a používaly preventivní bezpečnostní technologie, které eliminují hrozby. Každopádně je potřeba nestahovat přílohy bez jejich předchozího prověření, neklikat na odkazy v těle e-mailu a zkontrolovat adresu odesílatele, zda neobsahuje nějaké neobvyklé znaky nebo chyby,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika v únoru patřila opět mezi nebezpečné země, obsadila 24. pozici. Naopak Slovensko se nadále řadí mezi bezpečnější země, druhý měsíc za sebou se umístilo na 73. příčce. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v únoru Qbot, který měl dopad na 7 % organizací. FormBook na druhé příčce zasáhl 5 % společností a Top 3 uzavírá Emotet s dopadem na 4 % organizací.

  1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
  2. ↑ FormBook – krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  3. ↑ Emotet – pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan, ale také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly, stejně jako v lednu, malwary Hiddad a AhMyth.

  1. Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. Hiddad malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
  3. AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 47 % organizací. Následovala zranitelnost „Web Server Exposed Git Repository Information Disclos“ s dopadem na 46 % společností, Top 3 pak uzavírá zranitelnost „Apache Log4j Remote Code Execution“ s dopaden na 45 % organizací.

  1. ↑ Web Servers Malicious URL Directory Traversal – úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  1. ↓ Web Server Exposed Git Repository Information Disclosure úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Backdoor Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů, i nadále výrazně ohrožuje české organizace, přesto klesl z 1. místa až na 3. pozici. V únoru totiž masivně útočil malware GuLoader, který dokáže stahovat a šířit velmi nebezpečné hrozby. Pokud tedy pronikne do podnikové sítě, může způsobit značné a těžko předvídatelné škody. Znovu vzrostly také útoky zlodějského malwaru FormBook, protože krádeže cenných data jsou velmi lukrativní. České organizace musí věnovat maximální pozornost i zabezpečení IoT zařízení. Malware Mirai totiž napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům.

 

Top malwarové rodiny v České republice – únor 2023
Malwarová rodina Popis Dopad ve světě Dopad v ČR
GuLoader GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. 2,49 % 8,42 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 4,60 % 8,42 %
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. 7,18 % 5,94 %
Emotet Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 3,90 % 2,72 %
SnakeKeylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 1,08 % 2,72 %
Tofsee Tofsee je backdoor trojan, který byl poprvé odhalen v roce 2013. Tofsee je víceúčelový nástroj, který lze použít k DDoS útokům, rozesílání spamu nebo třeba těžbě kryptoměn. 1,51 % 2,48 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,61 % 2,48 %
AveMaria Malware AveMaria je RAT (Remote Access Trojan), který umožňuje vzdáleně ovládat počítač oběti a krást informace. 0,97 % 2,23 %
Pony Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. 0,52 % 1,73 %
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,20 % 1,49 %
Mirai Mirai je IoT malware, který napadá zranitelná zařízení internetu věcí, jako jsou webové kamery, modemy nebo routery, a používá je k masivním DDoS útokům. Botnet Mirai byl poprvé objeven v září 2016 a rychle se stal nebezpečnou zbraní, která byla použita například k DDoS útoku na společnost Dyn zajišťující významnou část internetové infrastruktury Spojených států nebo k paralyzování Liberijské republiky. 0,79 % 1,49 %

 

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Predikce vývoje kybernetických hrozeb na rok 2023: S rozmachem počítačové kriminality se objevují nové směry útoků a nové typy hrozeb

Společnost Fortinet® (NASDAQ: FTNT), přední světový dodavatel širokého spektra integrovaných a automatizovaných kyberbezpečnostních řešení, oznámila predikce vývoje kybernetických hrozeb pro rok 2023. Počítačová kriminalita přichází nyní na chuť metodám pokročilých perzistentních hrozeb a kyberzločinci hledají způsoby, jak ve velkém měřítku využívat nové technologie jako zbraně, aby způsobili ještě větší škody. Nejvíce znepokojujícím trendem, který společnost loni pozorovala v celém kybernetickém prostředí a u kterého očekává, že bude pokračovat i v budoucnu, je všudypřítomnost hrozeb. Jejich rostoucí množství, rozmanitost a důmyslnost – od ransomwaru ve formě služby (RaaS) po nové útoky na netradiční cíle, jako jsou edge zařízení a virtuální města – bude udržovat bezpečnostní týmy ve střehu v roce 2023 i dalších letech.

Nové trendy v oblasti počítačových hrozeb v roce 2023 a dalších letech

Raketový růst CaaS: Vzhledem k úspěchu kyberzločinců s RaaS Fortinet předpokládá, že se prostřednictvím dark webu objeví ve formě služby řada dalších typů útoků. Vedle prodeje ransomwaru a dalších nabídek malwaru touto formou se dočkáme také nových předpřipravených kriminálních řešení.

Praní špinavých peněz a strojové učení: Společnost Fortinet také předpokládá, že praní špinavých peněz získá posilu v podobě automatizace. Příprava kampaní na nábor bílých koní býval časově náročný proces. Předpokládá se, že kyberzločinci začnou k cílení náboru užívat strojové učení (ML), což jim pomůže lépe identifikovat potenciální bílé koně a zároveň zkrátí dobu potřebnou k jejich nalezení. Postupně se může objevit i praní špinavých peněz ve formě služby (LaaS), které by se mohlo rychle stát součástí rostoucího portfolia CaaS.

Vlna počítačové kriminality v deep webu: Novější online destinace, jako jsou virtuální města, která využívají technologie rozšířené reality (AR), virtuální reality (VR) a smíšené reality (MR), sice nabízí uživatelům zcela nové možnosti, ale zároveň otevírají dveře bezprecedentnímu nárůstu počítačové kriminality. Fortinet očekává, že tento prostor povede k nové vlně počítačové kriminality – od krádeží virtuálního zboží a aktiv po potenciální zneužití biometrie.

Mazací malware: Použití mazacího malwaru není u konce. Zatímco běžnou realitou je propojování červů s mazacím malwarem, a dokonce ransomwarem pro maximální dopad, problémem do budoucna bude komoditizace mazacího malwaru a jeho širší dostupnost pro kybernetické zločince. Malwaru, který vyvinuly a nasadily například státní složky, by se mohly zhostit zločinecké skupiny a uplatnit jej v rámci modelu CaaS. Vzhledem k dnešní organizované povaze počítačové kriminality by lépe dostupný mazací malware v kombinaci se správným exploitem mohl v krátké době způsobit rozsáhlé škody.

Jak chránit podnik s ohledem na vývoj hrozeb

Držet krok s objemem a tempem hrozeb může být těžké, ale lepší pozici v obraně proti nim umožňuje fakt, že taktiky, které kyberzločinci užívají k provedení útoků, jsou známé.

Díky databázi MITRE ATT&CK je možné lépe pochopit životní cyklus útoku a chránit sítě. Segmentace sítě má také zásadní význam pro ochranu podniků před kyberzločinci. Segmentace zabraňuje šíření útoků po síti a napadení nechráněných zařízení. V případě útoku také zajišťuje, že se malware nemůže rozšířit do vašich dalších systémů.

Nejdůležitějším krokem je podle společnosti Fortinet zavedení široké, integrované a automatizované kyberbezpečnostní platformy typu mesh. Kybernetická bezpečnostní opatření se obvykle zavádí po jednom, typicky v reakci na nový problém. Ale soubor nesourodých jednoúčelových řešení v dnešním bezpečnostním prostředí nefunguje, jak by bylo potřeba. Zásadní je konsolidace a integrace do jediné kyberbezpečnostní platformy, zejména s ohledem na stoupající všudypřítomnost všech typů hrozeb, jimž jsou vystaveny podniky všech velikostí a ve všech odvětvích.

Fortinet dále doporučuje využití linkové sandboxové služby, která je dobrým výchozím bodem pro ochranu před sofistikovaným ransomwarem a mazacím malwarem. Umožňuje chránit před postupem útoků v reálném čase. Dokáže zajistit, že do koncových bodů zapojených do kyberbezpečnostní platformy budou doručeny pouze neškodné soubory.

Z hlediska připravenosti na možné útoky bude důležitější než kdy dříve hledat náznaky nových útočných metod z vně podniku. Klíčové pro externí posouzení stavu zabezpečení, vyhledávání a nápravu problémů a pro získání informací o aktuálních a bezprostředních hrozbách ještě před útokem, budou služby pro plánování obnovy po havárii (DRP).

O společnosti Fortinet

Společnost Fortinet (NASDAQ: FTNT) svým posláním kdekoliv chránit lidi, zařízení, aplikace a data umožňuje digitální svět, kterému můžeme vždy důvěřovat. Proto si největší světové podniky, poskytovatelé služeb a vládní organizace vybírají společnost Fortinet, aby bezpečně urychlily svou digitální cestu. Platforma Fortinet Security Fabric poskytuje širokou, integrovanou a automatizovanou ochranu napříč celým digitálním prostorem útoků a zabezpečuje kritická zařízení, data, aplikace a připojení od datového centra přes cloud až po domácí kancelář. Společnost Fortinet se umístila na prvním místě v žebříčku nejvíce dodaných bezpečnostních zařízení na světě a více než 510 000 zákazníků důvěřuje společnosti Fortinet při ochraně svého podnikání. A Network Security Expert (NSE) Training Institute, iniciativa Fortinet Training Advancement Agenda (TAA), nabízí jeden z největších a nejrozsáhlejších vzdělávacích programů v oboru, aby kybernetická školení a nové kariérní příležitosti byly dostupné pro každého. Další informace naleznete na stránkách http://www.fortinet.com, v blogu Fortinet nebo na stránkách FortiGuard Labs.

Česká republika byla v lednu 5. nejnebezpečnější evropskou zemí, ukazuje kyberbezpečnostní analýza

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého se v lednu vrátil zlodějský malware Vidar, který útočil aktivně i v České republice a ještě zvýšil riziko krádeží dat.

„V lednu se infostealer Vidar šířil prostřednictvím falešných domén napodobujících společnost AnyDesk. Malware využíval napodobeniny URL adres různých populárních aplikací a přesměrovával uživatele na jednu IP adresu, která se vydávala za oficiální webovou stránku společnosti AnyDesk. Malware se maskoval jako legitimní instalační program a kradl citlivé informace, jako jsou přihlašovací údaje, hesla, data z kryptopeněženek a bankovní údaje,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Výzkumníci také odhalili rozsáhlou kampaň Earth Bogle, která na Blízkém východě a v severní Africe šířila malware njRAT. Útočníci používali phishingové e-maily s geopolitickou tematikou a lákali uživatele k otevření škodlivých příloh. Po stažení a otevření trojan infikoval napadené zařízení a kradl citlivé informace.“

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetím místě jsou zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v lednu znovu posunula mezi méně bezpečné země a patřila jí 23. pozice celosvětově, mezi evropskými zeměmi pak dokonce nelichotivá 5. příčka. Naopak Slovensko se posunulo o 6 míst směrem k bezpečnějším zemím na aktuálně 73. místo. První, tedy nejnebezpečnější, příčku obsadilo už několik měsíců po sobě Mongolsko.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v lednu Qbot, který měl dopad na 6 % organizací. LokiBot na druhé příčce zasáhl 5 % společností, stejně jako AgentTesla na třetím místě.

  1. ↔ Qbot – backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware a také vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně krade citlivé informace.
  2. ↑ LokiBot – zlodějský malware, který se šíří hlavně pomocí phishingových e-mailů a slouží ke krádeži různých dat, jako jsou e-mailové přihlašovací údaje a hesla ke kryptoměnovým peněženkám a FTP serverům.
  3. ↑ AgentTesla – pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na mobilní zařízení vládl bankovní trojan Anubis, následovaly malwary Hiddad a AhMyth.

  1. Anubis – bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. Hiddad malware pro Android, který se maskuje za známé aplikace v obchodech třetích stran. Hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním údajům uvnitř operačního systému.
  3. ↑ AhMyth – trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat zejména zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 46 % organizací. Následovala zranitelnost „HTTP Headers Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 39 % organizací.

  1. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. ↑ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Znovu zintenzivnily útoky backdooru Qbot, který může stahovat další škodlivé kódy a krást informace z infikovaných systémů. Naopak lehce oslabil zlodějský malware FormBook, který klesl z 1. místa na 3. příčku. Může to být ale způsobeno nárůstem útoků dalších infostealerů, jako jsou AgentTesla, Vidar, Pony a LokiBot. Uživatelé by proto měli být mimořádně opatrní a dávat si na zlodějské malwary pozor, protože jejich útoků neustále přibývá.

Top malwarové rodiny v České republice – leden 2023
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Qbot Qbot je backdoor patřící do rodiny Qakbot. Je schopen stáhnout další malware, vytváří spojení se vzdáleným HTTP serverem bez souhlasu uživatele, případně může krást citlivé informace. 6,50 % 7,36 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 4,69 % 5,58 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 3,96 % 5,58 %
Vidar Vidar je zlodějský malware pro operační systémy Windows. Poprvé byl detekován na konci roku 2018 a používá se ke krádežím hesel, údajů o kreditních kartách a dalších citlivých informací z webových prohlížečů a digitálních peněženek. Vidar se prodává na různých online fórech a používá se také ke stahování ransomwaru GandCrab. 2,14 % 5,08 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,21 % 3,30 %
Emotet Emotet je pokročilý modulární trojan schopný se sám šířit. Byl využíván jako bankovní trojan, nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 3,44 % 3,05 %
Pony Pony je infoStealer, který primárně krade přihlašovací údaje z infikovaných platforem Windows a odesílá je na řídící a velící server. Pony umožňuje útočníkům monitorovat systémové a síťové aktivity, stahovat a instalovat další malware a dokonce infikovat další počítače (funguje jako botnet). Vzhledem ke své decentralizované povaze může být Pony šířen mnoha způsoby. 0,56 % 3,05 %
GhOst Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. 0,75 % 2,79 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 3,46 % 2,54 %
LokiBot LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a protože pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. 5,50 % 1,78 %
GuLoader GuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla. 2,04 % 1,78 %

 

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Analýza: efektivita DDoS útoků na české firmy stoupá, i v lednu byla intenzita útoků nadprůměrně vysoká

Počet a zejména intenzita DDoS útoků na české firmy zůstaly i v lednu nadprůměrně vysoké, i když se celkové objemy oproti předcházejícím dvěma měsícům o něco snížily. Zároveň po několika měsících opět nejvíce útoků míří z Ruska. Výrazně pak roste efektivita útoků – jsou totiž zacílené přímo na aplikační vrstvu, která poskytuje koncovým uživatelům přístup k online službám. Útočníci napadající servery provozující služby či internetové stránky v posledních měsících také stále více hledají úplně nové cesty svých DDoS útoků a prodlužují dobu jejich trvání. Vyplývá to z pravidelné měsíční analýzy statistik provozu služeb FlowGuard české společnosti ComSource, která se zaměřuje na kyberbezpečnost a síťovou infrastrukturu.

„V poslední době je vidět výrazný nárůst efektivity DDoS útoků. Postupně se přesouváme od síťových k aplikačním útoků, tedy od hrubé síly k efektivitě. I když tak při útocích klesá objem škodlivých dat v síti, tak jsou útoky intenzivnější, protože jsou lépe zacílené. Navíc stále platí trendy posledních měsíců – využívání méně obvyklých internetových protokolů, které nejsou tak dobře zabezpečené, a prodloužení doby trvání útoků. Ty obvykle trvají minuty, maximálně hodiny – nyní se ale objevují i extrémní útoky trvající několik dní v kuse,“ říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

Útoky zaměřené přímo na aplikační vrstvu umožňují útočníkům efektivně zvýšit jejich dopad a servery provozující služby jednodušeji zahltit i menší intenzitou síťového provozu. Všechny nové trendy tak ukazují na nutnost zabezpečení nových míst v rámci firemní IT infrastruktury.

Podle přehledu DDoS útoků zachycených službami FlowGuard společnosti ComSource v lednu dosáhl počet zemí, ze kterých na firmy a instituce v České republice útoky mířily, hodnoty 195. Nejvíce útoků bylo z Evropy, ta kralovala i žebříčku intenzity útoků. Z pohledu zemí bylo poprvé od října opět nejvíce útoků z Ruska, nejintenzivnější útoky pak směřovaly také z Ruska, které se na první příčku vrátilo po více než roce. Celkový objem odfiltrovaného škodlivého provozu pak v lednu oproti předchozímu měsíci poklesl.

O FlowGuard

Detekční zařízení FlowGuard vzniklo v laboratořích společnosti ComSource. Funguje na principu rozpoznání potenciální hrozby již v toku dat mířících na síť a jeho vyčištění od nežádoucího provozu. Organizacím pomáhá detekovat všechny druhy DDoS útoků. Blokuje data z podezřelých zdrojů, a přitom nezasahuje do běžného provozu jejich sítě. Díky strojovému učení FlowGuard neustále zvyšuje svou efektivitu a naddimenzovaná kapacita čistícího centra zaručuje spolehlivost v každé situaci.

O společnosti ComSource

Společnost ComSource se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje od roku 2010. Poskytuje vysoce profesionální služby a dodává ta nejlepší infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích. Díky vlastní laboratoři ComSource vyvinul a dále rozvíjí i vlastní řešení a služby. Nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. ComSource má CSIRT tým, je aktivním členem AFCEA a projektu FENIX. Společnost má své pobočky v Praze, Písku a v Bratislavě.

Válka rok poté: Kyberútoky na Ukrajinu vystřídaly útoky na země NATO, ofenzivě čelí i Česká republika

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, analyzoval dopady rusko-ukrajinské války v kyberprostoru, od září 2022 sledujeme zásadní změnu útočných strategií. Postupně klesl počet kybernetických útoků na Ukrajinu (o 44 %), naopak sledujeme masivní kybernetické útoky na členské státy NATO, v některých případech se jedná až o 57% nárůst.

„Vidíme první velkou hybridní válku, která využívá kyberprostor jako jedno z bojišť. Válka přinesla vzestup hacktivismu a destruktivního malwaru a je stále složitější určit, jestli za některými kybernetickými aktivitami stojí národní státy, hacktivisté nebo kyberzločinci,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies

Nasazení destruktivního malwaru

Válka výrazně změnila také použití wiperů, které mají mazat data a celkově ničit a narušit provoz zasažených systémů. Dříve se wipery používaly jen ojediněle, v posledním roce ovšem vidíme velmi aktivní využití destruktivního malwaru.

Na začátku války došlo k dramatickému nárůstu kybernetických útoků, které proti Ukrajině vedli útočníci napojení na Rusko. V předvečer únorové invaze byly nasazeny tři wipery: HermeticWiper, HermeticWizard a HermeticRansom. K dalším útokům na ukrajinskou rozvodnou síť byla v dubnu 2022 použita nová verze nebezpečného malwaru Industroyer, který ochromil Ukrajinu už v roce 2016. Celkově bylo na Ukrajině za necelý rok použito nejméně devět různých wiperů. Řada z nich byla vyvinuta ruskými zpravodajskými službami a využívá pokročilé destruktivní a maskovací mechanismy.

Na Rusko napojená hacktivistická skupina From Russia With Love (FRwL) nasadila wiper Somnia proti ukrajinským cílům. CryWiper byl zase použit k útokům na ruské úřady a soudy. A těmito útoky se inspirovaly i další hackerské skupiny, které použily wipery i v dalších regionech. Skupiny napojené na Írán zaútočily na cíle v Albánii a po celém světě se šířil záhadný ransomware Azov, který byl ve skutečnosti destruktivním data wiperem.

Kyberútoky nedílnou součástí války

Check Point upozorňuje, že některé kyberútoky proti Ukrajině měly jen způsobit škody a narušit každodenní život a morálku civilního obyvatelstva. Jiné útoky byly naopak přesně cílené a měly pomoci dosáhnout taktických cílů a byly koordinovány s pozemním bojem. Útok na společnost Viasat, který začal několik hodin před pozemní invazí na Ukrajinu, měl za cíl narušit satelitní komunikaci a ochromit vojenské a civilní subjekty na Ukrajině. Útok využíval wiper AcidRain a ničil modemy a routery a odřízl přístup k internetu desítkám tisíc systémů. Další příklad takticky koordinovaného útoku je z 1. března 2022, kdy byla ruskými raketami zasažena kyjevská televizní věž a kyberútoky měly ještě zesílit dopady ofenzivy a znemožnit televizní vysílání.

„Tyto přesně cílené kyberútoky vyžadují pečlivou přípravu a plánování. Základem je získat přístup k cílovým sítím, což často vyžaduje i vytvoření speciálních nástrojů pro různé fáze útoku. Podobně jako u pozemní ofenzívy i v případě kybernetické války vše naznačuje, že se Rusové nepřipravovali na dlouhou kampaň. Od dubna 2022 jsme viděli změnu a odklon od přesných útoků s jasnými taktickými cíli, jako byl útok na Viasat. Nasazení nových nástrojů a wiperů, které bylo charakteristické pro počáteční fázi kampaně, bylo později nahrazeno rychlým využíváním aktuálních příležitostí s pomocí již známých útočných nástrojů a taktik, jako jsou CaddyWiper a FoxBlade. Cílem těchto útoků nebylo koordinovaně podpořit jiné operace, ale spíše způsobit fyzické i psychické škody ukrajinskému civilnímu obyvatelstvu,“ dodává Daniel Šafář.

Data kyberbezpečnostní společnosti Check Point Software Technologies ukazují, že ve třetím čtvrtletí 2022 začal na Ukrajině postupný, ale významný pokles útoků. Naopak došlo k výraznému nárůstu útoků proti členským státům NATO. Obrovskému riziku čelí i české organizace. V průměru mířilo na jednu českou společnost během února více než 1800 kyberútoků týdně, přitom celosvětový průměr je „jen“ okolo 1350 útoků týdně na jednu organizaci.

Reakce Ukrajiny na kybernetické útoky se výrazně zlepšila a šéf britské zpravodajské, kybernetické a bezpečnostní agentury ji dokonce označil za „nejúčinnější obrannou kybernetickou aktivitu v historii“. Důvodem úspěchu je částečně skutečnost, že Ukrajina byla od roku 2014 opakovaně vystavena kybernetickým útokům a zkušenosti využila k lepšímu zabezpečení. Například útok pomocí Industroyeru2 na energetický sektor v březnu 2022 nebyl vzhledem k jeho schopnostem a potenciálu tak ničivý jako v případě prvního útoku Industroyeru v roce 2016. Ukrajina také s pomocí zahraničních vlád a soukromých společností zvládla lépe odstraňovat škody způsobené těmito kybernetickými útoky a rychle převedla velkou část své IT infrastruktury do cloudu, aby byla datová centra co nejdále od bojových zón a získala další ochranné vrstvy od poskytovatelů služeb.

Vzestup hacktivismu

Ukrajina vytvořila „IT armádu“ z dobrovolných IT specialistů a své příznivce mobilizovalo také Rusko. Dříve byl hacktivismus doménou decentralizované skupiny Anonymous a jednalo se o volnou a nepravidelnou spolupráci jednotlivců. Nyní jsme viděli vznik profesionálních hacktivistických skupin s jasnou strukturou, které provádí víceméně vojenské operace. Skupiny dělají nábory, školí své členy, využívají moderní nástroje a stanovují jasně definované cíle a útočí například na infrastrukturu nebo finanční a vládní subjekty.

Check Point upozorňuje také na zajímavou změnu. Od září 2022 významně roste počet útoků na ruské vládní a vojenské organizace, naopak útoky na Ukrajině klesají.

Většina nových hacktivistických skupin má jasnou a konzistentní politickou ideologii, která je spojena s vládními narativy. Proruští hacktivisté se nyní zaměřili na členské státy NATO a další spojence. Killnet provedl cílené DDoS útoky na kritickou infrastrukturu v USA, přičemž se zaměřil na zdravotnické organizace, nemocnice a letiště. Na Rusko napojená hackerská skupina NoName057(16) zase vytrvale útočila během českých prezidentských voleb. Některé kyberzločinecké skupiny byly nuceny připojit se k celostátnímu úsilí a musely omezit svou vlastní trestnou činnost. Zároveň vidíme kyberútoky na ruské podniky, které byly dříve považovány za nedotknutelné. Rusko se tak potýká s bezprecedentní vlnou hackerských útoků. Zajímavé je, že hranice mezi aktivitami národních států, hacktivistů a kyberzločinců se postupně stírají.

Různé národní skupiny využily také válku pro své vlastní zájmy. Check Point například odhalil několik kampaní různých APT skupin, které využívaly válečná témata k nejrůznějším útokům. V rámci operace Twisted Panda byly například špehovány státní ruské obranné instituce čínskými hackery a hackerská skupina Cloud Atlas se zaměřoval na ruské a běloruské subjekty a k útokům používala různé válečné dokumenty.

Válka se zásadním způsobem promítá i do kybernetického světa a pokud bude pokračovat, nepochybně uvidíme i další související kybernetické útoky a hrozby.

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Kyberpodvodníci nejčastěji napodobují zprávy od společnosti Yahoo, v ČR se vydávají za Českou poštu nebo ministerstvo

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil zprávu „Brand Phishing Report“ zaměřenou na phishingové útoky ve 4. čtvrtletí 2022. Z reportu vyplývá, jaké značky kyberzločinci nejčastěji napodobovali při pokusech o krádeže osobních dat nebo platebních údajů.

Nejčastěji napodobovanou značkou při phishingových útocích byla ve 4. čtvrtletí 2022 společnost Yahoo (20 % všech phishingových podvodů napodobujících známé značky), která v žebříčku poskočila o 23 míst. Na druhé místo se posunulo DHL (16 %) a na třetí klesl Microsoft (11 %).

Check Point zjistil, že kyberzločinci rozesílají e-maily, které informují o zisku ocenění nebo o peněžní výhře. Jako odesílatel jsou uvedeny společnosti Awards Promotion nebo Award Center a zpráva informuje o výhře v řádu stovek tisíc dolarů v soutěži organizované společností Yahoo. Příjemce je požádán o zaslání osobních údajů a bankovních informací, aby bylo možné převést výhru. E-mail obsahuje také varování, že výherce nesmí o výhře informovat další osoby, jinak bude mít právní problémy.

„Celkově jsou nejčastěji napodobované zprávy a stránky technologických společností, následují přepravní společnosti a sociální sítě,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies. „Vidíme také, že hackeři zkouší nalákat oběti na různá ocenění a finanční odměny. Pokud zní něco až příliš dobře, než aby to byla pravda, pak to také s největší pravděpodobností bude opravdu podvod. Nikdy proto neklikejte na podezřelé odkazy nebo přílohy a vždy zkontrolujte adresu stránky, na kterou se chystáte vstoupit.“

Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a jejich designu. Chtějí využít důvěry a lidské emoce, jako je strach z promeškání slevy. Pocit naléhavosti může způsobit, že uživatelé na něco kliknou, aniž by si předtím ověřili, zda e-mail skutečně pochází od dané značky. Může tak dojít ke stažení malware nebo krádeži cenných osobních údajů.

Nejčastěji napodobované značky ve phishingových podvodech za 4. čtvrtletí 2022

  1. Yahoo (20 % všech phishingových podvodů napodobujících známé značky)
  2. DHL (16 %)
  3. Microsoft (11 %)
  4. Google (5,8 %)
  5. LinkedIn (5,7 %)
  6. WeTransfer (5,3 %)
  7. Netflix (4,4 %)
  8. FedEx (2,5 %)
  9. HSBC (2,3 %)
  10. WhatsApp (2,2 %)

Kyberzločinci zneužívají ve phishingových podvodech i známé české značky, takže uživatelé musí být velmi opatrní. Stále častěji vidíme, že podvodné zprávy nepřichází jen e-mailem, ale i přes sociální sítě nebo v SMS. Rozesílané byly například SMS zprávy, které se vydávaly za zprávu od ministerstva a vyzývaly k návštěvě stránky https://xmpsv[.]online, kde měl uživatel získat příspěvek na bydlení. Odkaz i samotné stránky zkoušely zmást uživatele a napodobovat styl Ministerstva práce a sociálních věcí. Na podvodném webu byla dokonce informace, že uživatel obdržel informační SMS zprávu, aby se zvýšila důvěryhodnost podvodných stránek. Cílem bylo vylákat přihlašovací údaje do citlivých systémů. Následky podobných triků mohou být velmi bolestivé. Při přihlašování do datové schránky nebo při používání identity občana je potřeba být mimořádně obezřetný.

Kyberpodvodníci zkouší napodobovat také Českou poštu. Podvodné e-maily obsahují předmět „Váš balíček jsme nemohli doručit“ a po kliknutí je uživatel přesměrován na podvodnou stránku https://online[.]ceskakrypt[.]repl[.]co/, kde je nutné zadat adresu a zaplatit malý poplatek, který nepůsobí tak podezřele a zvyšuje šanci na zaplacení a poskytnutí potřebných informací. S těmi lze dále obchodovat na darknetu a využít je k dalším útokům.

Check Point upozorňuje i na nebezpečné e-maily, které jsou rozesílané z adresy badge@mail-ig[.]com. Zpráva láká na udělení modrého odznáčku s ověřením identity na Instagramu. Účet uživatele byl prý přezkoumán Facebookem, vlastníkem značky Instagram, a uživatel si odznáček zaslouží. Jakmile ale oběť klikne na odkaz, dostane se na podvodnou stránku, která zkouší vylákat přihlašovací údaje.

V dalším phishingovém e-mailu se podvodníci pokoušeli ukrást informace o účtu u společnosti Microsoft. E-mail byl odeslán z adresy teamsalert_Y3NkIGpoY2pjc3dzandpM3l1ODMzM3Nuc2tlY25taXc@gmx[.]com[.]my pod falešným jménem Teams. Zpráva měla předmět „Byli jste přidáni do nového týmu“ a útočníci se snažili nalákat oběť ke kliknutí na škodlivý odkaz pod záminkou přidání do nového týmu v Microsoft Teams. Adresa ale vedla na podvodnou webovou stránku https://u31315517[.]ct[.]sendgrid[.]net/ls/click.

Jak se před phishingem chránit? Podívejte se na několik základních bezpečnostních tipů:

  1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři pak získají přístup k dalším online službám.
  2. Pozor na e-maily s žádostí o resetování hesla. Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům.
  3. Nenechte se zmanipulovat. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.
  4. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se třeba o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám.
  5. Obecně platí, že nikdy nesdílejte více, než je nezbytně nutné. Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám.
  6. Smažte podezřelé zprávy. Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy.
  7. Neklikejte na přílohy. Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF, ale samozřejmě ani přílohy typu EXE, MSI nebo BAT.
  8. Ověřte odesílatele. U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele.
  9. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.
  10. Nikdy nevěřte příliš dobrým nabídkám, jako „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zpráv a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce.
  11. Chraňte se před phishingovými útoky. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení.

Novinky od českého týmu společnosti Check Point Software Technologies:

Sledujte novinky o bezpečnostním týmu Check Point Research:

Sledujte novinky o společnosti Check Point Software Technologies:

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT. 

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Check Point Software Technologies: Ransomwarové útoky ochromily několik zemí, ohrožené jsou i další státy

„Zaznamenali jsme velmi závažné kyberútoky zejména na francouzskou a italskou infrastrukturu. Kyberzločinci přišli s novou, podstatně ničivější taktikou, která jde daleko za hranici běžných útoků na soukromé organizace. Podobné ransomwarové útoky mohou mít dopad na všechny občany a způsobit problémy na státní, ale i globální úrovni.

Ransomware je stále větší hrozbou a od září minulého roku sledujeme neustálý nárůst těchto útoků. V roce 2023 se riziko ještě stupňuje, takže je zásadní, aby jednotlivci, organizace i celé státy používali odpovídající preventivní bezpečnostní opatření a společně dokázali čelit této agresivní hrozbě,“ říká Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

„Masivní kyberútoky na ESXi servery jsou jedním z nejrozsáhlejších útoků na stroje s jiným operačním systémem než Windows. Situace je ale mnohem vážnější, protože donedávna se ransomware omezoval primárně na počítače se systémem Windows. Kyberzločinci si však uvědomili, jak jsou linuxové servery pro organizace a instituce klíčové, proto investovali značné úsilí do vývoje nových kybernetických zbraní a vylepšení ransomwaru.

Podle našich informací se ransomwarový útok neomezoval pouze na francouzskou a italskou IT infrastrukturu, ale útoky měly dopad i na Kanadu, USA a další země. Kyberzločinci využili zranitelnost CVE-2021-21974, která byla nahlášena již v únoru 2021. Útoky mohou mít ještě ničivější dopad, protože na napadených serverech obvykle běží další virtuální servery. Škody jsou tedy pravděpodobně větší, než si vůbec dokážeme představit.“

Exit mobile version