Zpráva o kybernetických hrozbách ESET Threat Report H2 2023 shrnuje klíčové statistiky z detekčních systémů a důležitá zjištění bezpečnostních analytiků společnosti ESET. Nejnovější zpráva mapuje období od června do listopadu 2023.
V druhé polovině roku 2023 došlo k významným kybernetickým bezpečnostním incidentům. Cl0p, kyberzločinecká skupina nechvalně známá pro své rozsáhlé ransomwarové útoky, si získala pozornost díky tzv. MOVEit hacku, který ale překvapivě nezahrnoval nasazení ransomwaru.
Zatímco se diskutovalo o útocích využívajících umělou inteligenci, ESET odhalil konkrétní podvodné kampaně zaměřené na uživatele nástrojů, jako je ChatGPT a OpenAI API. V případě spywaru došlo k výraznému nárůstu na platformě Android, který se připisuje především škodlivému kódu SpinOk.
Masově se šířící přesto cílený útok
Zneužití dva roky staré zero-day zranitelnosti v aplikaci MOVEit Transfer útočnou skupinou Cl0p a jejími partnery (affiliates) způsobilo globální kyberbezpečnostní noční můru.
„Nebyla to jen velikost kampaně, ale také technická zdatnost útočníků z gangu Cl0p. Ti prokázali, že si dokážou najít novou dosud nepopsanou zranitelnost a počkat na vhodný okamžik k jejímu zneužití,“ říká Jakub Souček, expert pražské výzkumné pobočky společnosti ESET.
Cílem útoku byla řada organizací, včetně globálních korporací a amerických vládních agentur. Klíčovým posunem ve strategii skupiny Cl0p byl přístup k úniku ukradených informací, které skupina začala zveřejňovat v případech, kdy nebylo zaplaceno výkupné. Stejný trend byl k vidění například také u ransomwarového gangu ALPHV. K novým strategiím na scéně ransomwaru se podle FBI řadí také současné nasazení více variant ransomwaru a používání wiperů po krádeži a zašifrování dat.
Legitimní aplikace pro Android se začaly chovat jako spyware
Bezpečnostní analytici ESETu zaznamenali v H2 výrazný nárůst detekce spywaru pro Android, a to o 89 %. Tento výrazný nárůst případů spywaru v systému Android připisují především přítomnosti spywaru SpinOk. Tento škodlivý software je distribuován jako sada pro vývoj softwaru (SDK) a nachází se v různých legitimních aplikacích pro systém Android dostupných na oficiálních obchodech s aplikacemi. Druhou nejčastěji zaznamenanou hrozbou byl škodlivý JavaScript kód detekovaný jako JS/Agent, který je i nadále injektován do napadených webových stránek.
Jakékoli zařízení připojené k internetu se může stát terčem kyberzločinců. To dokazuje nová hrozba pro IoT zařízení – Android/Pandora. Hrozba se objevila v zařízeních s operačním systémem Android, včetně chytrých televizorů, TV boxů a mobilních zařízení, a využila je k DDoS útokům.
Zneužití ChatGPT
Ve druhé polovině roku 2023 společnost ESET zablokovala více než 650 000 pokusů o přístup ke škodlivým doménám, jejichž názvy obsahovaly text odkazující na chatbota ChatGPT. Zatímco k většině blokací došlo v červnu 2023, i v dalších měsících se návštěvníci webových stránek setkávali se škodlivými doménami, které zdánlivě nabízely služby společnosti OpenAI. Mezi hrozbami na těchto doménách se objevily např. webové aplikace, které manipulovaly s OpenAI API klíči nebo škodlivá rozšíření ChatGPT pro prohlížeč Google Chrome.
Bitcoin roste, kryptoměnové hrozby ubývají
Kryptoměnové hrozby pokračovaly ve fenoménu popsaném v předchozím reportu – kurz bitcoinu stále rostl, hrozby v oblasti kryptoměn tomuto trendu ale neodpovídaly. Pozoruhodný nárůst (o 68 %) však zaznamenala kategorie Cryptostealerů, ten byl způsobený vzestupem infostealeru Lumma Stealer (MaaS: malware-as-a-service), který se zaměřuje na kryptopeněženky.
Aktivity kyberzločinců spojené s kryptoměnami nadále přetrvávají a krádeže kryptoměn i jejich nelegální těžba se staly součástí běžných typů jiných malwarů.