Avast: Zranitelnost Log4j otevřela ve 4. čtvrtletí 2021 dveře novým útokům, množství ransomwarových a RAT útoků kleslo

by | Úno 1, 2022 | Bezpečná domácnost, Bezpečná firma, Blockchain & Kryptoměny, Mobilní zařízení a sociální sítě, Nejnovější | 0 comments

Avast, globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, zveřejnil pravidelný přehled hlavních globálních hrozeb za čtvrté čtvrtletí 2021 (Avast Q4/2021 Threat Report). Zejména v prosinci trápilo bezpečnostní oddělení firem zneužití zranitelnosti Log4j coinminery, trojskými koni pro vzdálený přístup (RAT), botnety, ransomwarem a útoky pokročilých trvalých hrozeb (APT).

Analytici také zaznamenali návrat botnetu Emotet a 40% nárůst ve výskytu coinminerů, které představují riziko pro běžné uživatele i firmy. Zvýšilo se i množství adwaru, podvodů s technickou podporou na stolních počítačích, podvodů s předplatným a spywaru na zařízeních na platformě Android, které cílí na běžné uživatele. Naopak ubylo ransomwaru a malwaru typu RAT.

„Máme radost, že vidíme pokles útoků RAT, malwaru ke krádežím dat a ransomwaru. Aktivita RAT utichla i díky svátkům, přičemž kyberzločinci dokonce zašli tak daleko, že zkopírovali trojského koně pro vzdálený přístup DcRat a přejmenovali jej na ‘SantaRat’,” popisuje ředitel výzkumu hrozeb v Avast Threat Labs Jakub Křoustek a pokračuje: „Snížilo se celkové množství útoků malwaru ke krádežím informací, což pravděpodobně zapříčinil pokles malwaru ke krádežím dat a hesel Fareit, jehož výskyt byl oproti předchozímu čtvrtletí nižší o 61 %. Spoušť, kterou ransomware způsobil v prvních třech čtvrtletích roku 2021, vyvolala koordinovanou spolupráci států a dodavatelů bezpečnostních řešení při pátrání po autorech a provozovatelích ransomwaru, a věříme, že právě to vedlo k výraznému poklesu tohoto typu útoků v posledním čtvrtletí loňského roku. Míra rizika napadení ransomwarem se oproti třetímu čtvrtletí 2021 snížila o působivých 28 %. Doufáme, že tento trend bude pokračovat i v prvních třech měsících nového roku, ale jsme připraveni i na opačnou situaci.”

Firmy ohrožovala zranitelnost Log4j a RAT útoky zneužívající Azure a AWS

Zranitelnost logovací knihovny Log4j se pro firmy ukázala jako extrémně nebezpečná, zejména kvůli rozsahu knihovny a snadné možnosti zneužití. Podle analytiků Avastu ji zneužívali zejména coinminery, malware typu RAT, ransomware, skupiny ATP, ale také různé botnety včetně nechvalně proslulého botnetu Mirai. Většina útoků vedených boty sloužila pouze jako testy, které měly za úkol zranitelnost prověřit. Avast ale zaznamenal také množství pokusů o načtení potenciálně škodlivého kódu. Například některé RAT útoky se šířily právě prostřednictvím této zranitelnosti, mezi ty nejvytrvalejší patřily NanoCore, AsyncRat a Orcus. Prvním ransomwarem, který se pokusil zneužít zranitelnosti Log4j, byl podle analytiků Avastu nepříliš kvalitní ransomware Khonsari.

Kromě Log4j zneužívali kyberzločinci také zranitelnost CVE-2021-40449, kterou používali ke zvýšení oprávnění škodlivých procesů pomocí ovladače jádra systému Windows. Útočníci tuto zranitelnost využívali ke stažení a spuštění RAT útoku MistarySnail. Vysoký počet detekcí útoků NanoCore a AsyncRat způsobila škodlivá kampaň zneužívající poskytovatele cloudových služeb, Microsoft Azure a Amazon Web Service (AWS). V této kampani kyberzločinci využívali služby Azure a AWS jako servery pro stahování svých škodlivých payloadů k útokům na firmy.

Kromě toho analytici Avastu zjistili, že autor botnetu Emotet přepsal některé jeho části, čímž jej opět oživil a zaplavil trh s botnety.

Adware, coinminery a podvody s technickou podporou

Ve čtvrtém čtvrtletí 2021 se zvýšila aktivita adwaru a rootkitů pro stolní počítače. Analytici  Avastu se domnívají, že tyto trendy souvisejí s rootkitem Cerbu, který se může zmocnit domovské stránky prohlížeče a přesměrovat adresy URL stránek podle konfigurace rootkitu. Cerbu lze snadno nasadit a nakonfigurovat pro adware, který obtěžuje oběti nechtěnými reklamami a je schopen přidat do počítače obětí zadní vrátka.

Stejně jako vzrostla cena bitcoinu na konci roku 2021  navýšil se o 40 % i počet coinminerů šířících se často prostřednictvím infikovaných webových stránek a pirátského softwaru. Jedním z převládajících coinminerů aktivních po celé uplynulé čtvrtletí byl CoinHelper, který se většinou zaměřoval na uživatele v Rusku a na Ukrajině. Coinminery skrytě zneužívají výpočetní výkon zařízení k těžbě kryptoměn, což může vést k vysokým účtům za elektřinu a ovlivnit životnost hardwaru. Kromě toho CoinHelper shromažďuje různé informace o svých obětech, včetně jejich zeměpisné polohy, nainstalovaného antivirového řešení a používaného hardwaru. Přestože coinminery těžily různé kryptoměny včetně etherea a bitcoinu, v analýze Avastu vyniklo zejména monero. Monero je navrženo tak, aby bylo anonymní, nicméně nesprávné použití adres a mechanika fungování těžebních poolů umožnily analytikům získat hlubší vhled do procesu, jakým ho útočníci těžili. Zjistili, že celkový peněžní zisk z coinmineru CoinHelper činil k 29. listopadu 2021 339 694,86 amerických dolarů. V prosinci CoinHelper vytěžil dalších zhruba 15 162 XMR, tedy přibližně 3 446,03 amerických dolarů. CoinHelper se stále aktivně šíří, přičemž každý den dokáže vytěžit cca 0,474 XMR.

Analytici Avastu také pozorovali nárůst podvodů s technickou podporou. Jde o velmi lukrativní byznys, kdy útočníci přes telefon přesvědčují uživatele, že mají technický problém se svým zařízením, a donutí je zaplatit vysoké částky za „opravu”. Důvěřiví uživatelé tak mnohdy na dálku útočníkům poskytnou vzdálený přístup do svých zařízení či systému, čehož útočník může dál zneužít a instalovat malware či nechtěné programy, které mohou krást osobní data či doopravdy poškozovat zařízení.

Mobilní zařízení: Podvody s předplatným prémiových SMS a spyware kradoucí přihlašovací údaje k Facebooku

Laboratoře Avast Threat Labs ve své zprávě upozorňují na dvě mobilní hrozby: UltimaSMS a Facestealer.

UltimaSMS, podvod s předplatným prémiových SMS, se znovu objevil v posledních několika měsících. V říjnu byly v Obchodě Play k dispozici aplikace z podvodné kampaně UltimaSMS, které napodobovaly legitimní aplikace a hry a často zobrazovaly chytlavé reklamy. Po stažení vyzývaly uživatele k zadání telefonního čísla, aby získal k aplikaci přístup. Tím se uživatelé přihlásili k prémiové službě SMS, která může stát až 10 dolarů týdně. Aktéři stojící za UltimaSMS hojně využívali k propagaci svých aplikací sociální sítě a díky tomu dosáhli přes 10 milionů stažení.

Při několika příležitostech se ve čtvrtém čtvrtletí 2021 znovu objevil Facestealer, spyware určený ke krádeži přihlašovacích údajů na Facebooku. Maskoval se za editory fotografií, horoskopy, fitness aplikace a další. Po určité době používání aplikace vyzývá uživatele, aby se přihlásil ke službě Facebook, aby mohl aplikaci dále používat, a to bez reklam.

Podrobnější informace naleznete v úplné zprávě Avast Q4/2021 Threat Report: https://decoded.avast.io/threatresearch/avast-q4-21-threat-report/

Autor: Michael Fanta, šéfredaktor

Zdroj: Avast

Foto: Pixabay

0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.

Avast: Zranitelnost Log4j otevřela ve 4. čtvrtletí 2021 dveře novým útokům, množství ransomwarových a RAT útoků kleslo