Zpráva o kybernetických hrozbách ESET Threat Report H1 2023 shrnuje klíčové statistiky z detekčních systémů a důležitá zjištění bezpečnostních analytiků společnosti ESET. Nejnovější zpráva mapuje období od prosince 2022 do května 2023.
V první polovině roku 2023 bezpečnostní experti z ESETu zaznamenali vývoj v chování kybernetických útočníků. Pozoruhodná je hlavně jejich přizpůsobivost a snaha o nové způsoby útoků, mezi které se nejčastěji řadilo zneužívání zranitelností, získávání neoprávněných přístupů, kompromitace citlivých informací a online podvody.
Microsoft nutí útočníky ke změně strategie
Jedním z důvodů ke změně strategie útoků jsou přísnější bezpečnostní zásady zavedené společností Microsoft. Příkladem je třeba zamezení otevírání souborů s makry, která v minulosti představovala častý vektor útoku.
Útočníci přešli ze škodlivých maker v aplikacích MS Office na kompromitované OneNote soubory. Bezpečnostní opatření společnosti Microsoft se pokusili obejít tím, že využili možnosti vkládat skripty a soubory přímo do aplikace OneNote.
Při prvním zjištění v prosinci 2022 představovaly soubory OneNote jako vektory útoku pouze několik stovek detekcí. V porovnání s tím od ledna do května 2023 počet těchto útoků dramaticky vzrostl na celkem téměř 90 000 detekcí. V prvním pololetí roku 2023 byl prostřednictvím OneNote souborů distribuován malware mnoha známých rodin jako Emotet, Redline Stealer, Qbot, Formbook, AsyncRAT, XWorm, Quasar, IcedID a dokonce i ransomware BlackBasta.
Kampaň botnetu Emotet se v prvním pololetí roku nevyhnula ani České republice. Data ale naznačují, že botnet získala jiná pravděpodobně méně sofistikovaná útočná skupina. Útočníci se totiž téměř ve třetině případů pokusili zaútočit přes VBA makra, která jsou ve výchozím nastavení Microsoft Office pro dokumenty z internetu zakázaná.
V reakci na to společnost Microsoft upravila výchozí nastavení, což kyberzločince přimělo k hledání alternativních způsobů útoků. Jedním z takových testovaných přístupů se staly útoky hrubou silou na Microsoft SQL servery, kde útoky nabraly na intenzitě a v první polovině roku 2023 vzrostly o 85 %.
Jak se chránit?
|
Stejný kód, jiný útok
Útočníci podle dostupných zjištění stále častěji znovu používali dříve uniklý zdrojový kód k vytvoření nových variant ransomwaru.
„Uniklé zdrojové kódy rodin ransomwaru, jako jsou Babyk, LockBit a Conti, umožňují zapojení do ransomwarových aktivit také amatérským útočníkům. Zároveň nám jako obráncům umožňují díky získaným údajům a nastavením vhodných detekčních pravidel pokrýt širší škálu variant ransomwaru,“ říká Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.
Telemetrie společnosti ESET ukazuje, že detekce ransomwaru mezi druhou polovinou roku 2022 a první polovinou roku 2023 vzrostly o více než 10 %.
Roste počet online podvodů a sextorze
Analytici společnosti ESET zaznamenali alarmující nárůst počtu podvodných aplikací pro půjčky na platformě Android. Aplikace se tváří jako legitimní služby osobních půjček a zneužívají zranitelnosti lidí s naléhavými finančními potřebami. Tyto podvodné aplikace jsou propagovány na sociálních sítích a prostřednictvím SMS zpráv nabízejících osobní půjčky. K dispozici ke stažení jsou na konkrétních podvodných webech, ale i v obchodech třetích stran a na Google Play. Dokážou totiž nejen uvádět uživatele v omyl, ale také obcházet zásady Google Play.
Na scénu se vrátila také sextorze v podobě podvodných e-mailů. Počet jejich detekcí se celosvětově zvýšil o více než 200 %. Při těchto podvodech útočníci zneužívají strach lidí, že zveřejní kompromitující obsah související s jejich online aktivitami. V rámci sexuálního vydírání pošlou oběti e-mail s tvrzením, že na jejím počítači nainstalovali malware, který jim umožňuje shromažďovat data sexuální povahy. Takové tvrzení mohou uživatelé s jistotou ignorovat, protože se jedná o planou hrozbu.
Pokud jde o kryptoměnové hrozby, těch v počtu detekcí dle ESETu neustále ubývá. Nevzkřísil je ani nedávný nárůst hodnoty bitcoinu. Aktivity kyberzločinců spojené s kryptoměnami ale nadále přetrvávají a krádeže kryptoměn i jejich nelegální těžba jsou stále součástí běžných typů malwaru. Mezi nejznámější patří RedLine Stealer, Agent Tesla a Racoon Stealer, které jsou schopné krypto krást, zatímco např. trojský kůň Fareit dokáže na napadeném počítači kryptoměny těžit. Jedná se o velké rodiny malwaru s počty detekcí v řádech statisíců. Kryptoměny ale nejsou jejich hlavním cílem, mají daleko širší dosah.
Dalším způsobem šíření kryptomalwaru jsou botnety. Mezi ty se řadí i Amadey, populární downloader prodávaný na fórech na dark webu. U tohoto botnetu došlo v prvním pololetí roku 2023 k výraznému růstu detekcí, jejich počet se zvýšil o téměř 370 %.
I když kryptoměnový crimeware se stal v průběhu času stále rozšířenější, aktivita kyberzločinců se soustředí zejména kolem různých krypto-scamů a phishingu.
„V první polovině roku 2023 tvořily útoky na kryptoměny v České republice více než třetinu všech phishingových útoků,“ uzavírá Robert Šuman.