Avast: Češi se ve 3. čtvrtletí mohli s adwarem na PC setkat o třetinu častěji

by | Lis 10, 2022 | Bezpečná domácnost, Bezpečná firma, Nejnovější | 0 comments

Avast vydal zprávu o kyberhrozbách za 3. čtvrtletí 2022 na základě svých telemetrických dat a odborných poznatků. Data Avastu ukazují na nárůst aktivity adwaru v počítačích na konci září, konkrétně v Česku o 33 %. Podobně rostl i počet útoků vyděračským ransomwarem v zemích, jako je Kanada, Španělsko a Německo, celosvětově se však mírně snížil. Většina škodlivých aktivit zůstala ve 3. čtvrtletí 2022 stabilní nebo poklesla.

„Zajímavým trendem, který jsme v tomto čtvrtletí zaznamenali, bylo, že kybergangy aktivně verbovaly a odměňovaly lidi za podporu jejich trestné činnosti, včetně vylepšování, propagace či distribuce malwaru,” říká ředitel výzkumu malwaru v Avastu Jakub Křoustek. „Z hlediska útoků jsme na konci 3. čtvrtletí 2022 zaznamenali nárůst adwaru DealPly, masivní nárůst pokusů o infekci pomocí Raccoon Stealeru, zvýšenou aktivitu botnetu MyKings a mírný rozmach nového botnetu Pitraix napsaného v jazyce Go. Celková úroveň útoků zůstala vysoká, ačkoli se zdálo, že kyberzločinci v letních měsících trochu odpočívali.”

Ransomwarové útoky zaměřeny na exfiltraci dat

Riziko, že se uživatelé setkají s ransomwarem, v aktuálním čtvrtletí ve srovnání s tím předchozím vzrostlo například v Kanadě o 16 %. V Německu a Španělsku byla pravděpodobnost, že se uživatelé setkají s ransomwarem, o 12 % vyšší, celosvětově se však hrozba ransomwarových útoků drobně snížila.

„Kmeny ransomwaru stále častěji používají složité metody částečného šifrování, například šifrují pouze začátek nebo konec souboru či bloky souborů, aby zašifrování zrychlily a vyhnuly se odhalení uživatelem,” vysvětluje Jakub Křoustek. „Ransomwarové gangy nyní navíc exfiltrují data firem, vyhrožují zveřejněním citlivých souborů a pak je místo zašifrování mažou nebo poškozují. Zaznamenali jsme také zajímavé dění okolo ransomwarové skupiny LockBit, která nabízí odměny těm, kdo objeví zranitelnosti nebo dodají skupině nové nápady, nebo to, že si lidé nechají vytetovat jejich logo na tělo. V souvislosti s touto skupinou jsme pozorovali i odvetné akce jejích členů, úniky kódu a také konflikt s bezpečnostní společností Entrust.”

Firmy a státní instituce v hledáčku hackerských a APT skupin

Proruská skupina NoName057(16) se od července do října zaměřila na organizace, jako jsou banky a tiskové agentury, a na státní instituce zemí podporujících Ukrajinu. Skupina používá k odvetným DDoS útokům botnet počítačů infikovaných malwarem Bobik. Podle pozorování Avastu má skupina 40% úspěšnost a přibližně 20 % útoků, k nimž se přihlásila, nelze v jejích konfiguračních souborech dohledat. V srpnu tento gang oznámil nový projekt s názvem DDOSIA a vytvořil novou soukromou skupinu na Telegramu s více než 700 členy. Projekt DDOSIA umožňuje komukoli na internetu stáhnout si binární soubor a provádět DDoS útoky na stránky vybrané NoName057(16). Za to je skupina odměňuje v kryptoměnách.

APT skupina Gamaredon se ve stejném období také zaměřila na Ukrajinu, kde útočila na vojenské a státní instituce a velvyslanectví. Skupina do svých nástrojů přidala nástroje pro exfiltraci souborů, různé droppery a nové způsoby distribuce malwaru a IP adresy C&C serverů.

Známá čínsky mluvící skupina LuckyMouse se zaměřila na několik státních institucí ve Spojených arabských emirátech, na Tchaj-wanu a Filipínách. Avast v infikovaných počítačích nalezl zadní vrátka, nástroje pro krádež hesel z prohlížeče Chrome a nástroje s otevřeným zdrojovým kódem, jako je BadPotato, který se používá ke zvyšování oprávnění. Útočníci pravděpodobně infikovali zařízení prostřednictvím napadeného serveru.

Dalšími skupinami, které výzkumníci Avastu sledují, jsou Donot Team, známý také jako APT-C-35, a Transparent Tribe, známý také jako APT36. Skupina Donot Team byla ve 3. čtvrtletí nejaktivnější v Pákistánu. Avast objevil DLL moduly z rámce malwaru yty na několika infikovaných zařízeních. Pravděpodobně pákistánská skupina Transparent Tribe pokračovala v útocích na oběti v Indii a Afghánistánu a infikovala počítače pomocí spear-phishingu a dokumentů Office se škodlivými VBA makry. Výzkumníci Avastu zjistili, že spustitelné soubory patří ke kmeni CrimsonRAT, což je vlastní malware Transparent Tribe používaný k přístupu do infikovaných sítí.

Nárůst DealPly, Racoon Stealeru a MyKings

DealPly, adware instalovaný jiným malwarem, dosáhl vrcholu na konci letošního září. Tento adware je rozšíření prohlížeče Chrome, které upravuje nové stránky v prohlížeči, nahrazuje nově otevřené karty, čte historii prohlížeče, mění záložky, aplikace, rozšíření a motivy v prohlížeči. To umožňuje kyberzločincům upravovat výsledky vyhledávání a nahrazovat je reklamami, číst hesla a údaje o platebních kartách uložené v prohlížeči a číst, co uživatelé zadávají do formulářů (i to, co vyplnili v minulosti).

Raccoon Stealer, nástroj pro krádež informací, který dokáže krást data i stahovat a spouštět další malware, se v minulém kvartálu vrátil na scénu. Ve 3. čtvrtletí 2022 ochránil Avast před tímto stealerem o 370 % více uživatelů.

„Raccoon Stealer se šíří, když se uživatelé pokoušejí stahovat ‚cracknuté’ verze softwaru, jako je Adobe Photoshop, Filmora Video Editor či uTorrent Pro,” vysvětluje Jakub Křoustek. „Lidé při pokusech o stažení podobných souborů často ignorují nebo vypínají antivirové štíty, čímž se vystavují riziku stažení malwaru, jako je Raccoon Stealer. Tento dokáže stahovat další škodlivé programy, a takto se šíří například DealPly. Uživatelé by si proto měli nainstalovat antivirový software a nechat ochranu neustále zapnutou.”

Zatímco aktivita botnetů se ve sledovaném kvartále stabilizovala, aktivita botnetu MyKings se zvýšila. MyKings je botnet zaměřený na krádeže kryptoměn, aktivní od roku 2016.

Mobilní malware

Dominantní hrozbou pro mobilní zařízení zůstává adware, přičemž převažují HiddenAds a FakeAdBlockers. Země, kde Avast chránil uživatele před adwarem nejvíce, byly Brazílie, Indie, Argentina a Mexiko.

Navzdory nedávnému rozbití skupiny Flubot Europolem se celosvětové riziko napadení bankovním trojským koněm zvýšilo ve 3. čtvrtletí o 7 % ve srovnání s 2. čtvrtletím. Bankovní trojské koně se šíří hlavně prostřednictvím SMS phishingu, ale mohou se šířit i prostřednictvím malwarových dropperů.

Na mobilní uživatele i nadále mířily TrojanSMS, neboli podvodné prémiové SMS, přičemž v této kategorii vedou SMSFactory a Darkherring, zatímco UltimaSMS a Grifthorse přestali útočníci užívat. SMSFactory a Darkherring se šíří prostřednictvím vyskakovacích oken, malvertisingu a falešných obchodů s aplikacemi. Naproti tomu UltimaSMS a Grifthorse byly distribuovány v Obchodě Google Play až do té doby, co je společnost Google z obchodu odstranila.


Celou zprávu Avastu o hrozbách za 3. čtvrtletí 2022 najdete na blogu Decoded: https://decoded.avast.io/threatresearch/avast-q3-2022-threat-report/

Michael Fanta, redakce Cyberblog


Zdroj: Avast


Foto: Unsplash

0 Comments
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Avast: Češi se ve 3. čtvrtletí mohli s adwarem na PC setkat o třetinu častěji