Zpráva o kybernetických hrozbách ESET Threat Report H2 2024 shrnuje klíčové statistiky z detekčních systémů a důležitá zjištění bezpečnostních analytiků společnosti ESET. Nejnovější zpráva mapuje období od června do listopadu 2024.
Deepfake jako součást nové vlny investičních podvodů
Během období od června do listopadu 2024 výrazně narostl počet investičních podvodů, a to o více než 335 % mezi prvním a druhým pololetím loňského roku. Investiční podvod, který ESET označuje detekcí HTML/Nomani, se šíří prostřednictvím falešných reklam na sociálních sítích, zejména na platformě Meta. Reklamy zneužívají jména známých osobností či firem a lákají uživatele na pohádkově výhodné investování nebo zázračné doplňky stravy. Častou taktikou při těchto podvodných reklamách jsou videa upravená pomocí umělé inteligence (deepfake), na kterých vystupují známí politici, moderátoři či úspěšní podnikatelé a sdělují informace, které tito lidé ve skutečnosti neřekli.
„Jde o poměrně propracovaný podvod, který útočníci realizují na několika úrovních. I když zkušenější uživatelé mohou na první pohled podvod rozeznat, útočníci přesto spoléhají na to, že naletí alespoň malá část zranitelné populace. U osob, které na deepfake videích mluví, si můžeme například všimnout nepřirozeného pohybu rtů. Na menších obrazovkách to ale můžeme snadno přehlédnout. Navíc předpokládáme, že tento podvod bude díky dalšímu vývoji nástrojů umělé inteligence stále důvěryhodnější. Nejlepší prevencí proto zůstává chránit se bezpečnostním softwarem a neustále podrobovat online obsah kritickému myšlení,“ vysvětluje Ondřej Novotný, výzkumný analytik z pražské pobočky společnosti ESET.
Reklamy často odkazují na důvěryhodně působící, ale falešné zpravodajské portály nebo podvodné stránky, které napodobují legitimní firmy. Falešné weby vybízejí uživatele k vyplnění kontaktních údajů. Po vyplnění formuláře zájemce kontaktuje pracovník telemarketingu, který má za úkol nasměrovat oběť k převodu peněz s počáteční „investicí“ 250 eur (přes 6000 Kč). Útočníci mohou oběti nabádat také k tomu, aby si do zařízení stáhly nástroj pro vzdálený přístup nebo aby zažádaly o půjčku.
Nejvíce se tato škodlivá kampaň objevovala v Japonsku a na Slovensku, třetí místo patří Kanadě a následují Španělsko a Česko. Na základě analýzy zachycených případů se experti z ESETu domnívají, že podvodníci pocházejí z rusky mluvících zemí.
Vedení se mezi infostealery ujímá Formbook
Ve sledovaném období došlo také ke změnám v kategorii infostealerů. Dlouhodobě dominantní spyware Agent Tesla byl „sesazen“ jedním ze svých starších konkurentů, infostealerem Formbook. Tuto změnu zaznamenali bezpečnostní experti také v Česku, kde tyto hrozby pro zařízení s operačním systémem Windows dlouhodobě sledují.
Útočníci stále více vyhledávají i škodlivý kód Lumma Stealer. Ve druhém pololetí roku 2024 se objevil v několika významných útočných kampaních. Počet jeho detekcí vzrostl v telemetrii společnosti ESET o 369 %.
V říjnu 2024 došlo za spoluúčasti mezinárodních bezpečnostních organizací k přerušení prodeje známého infostealeru Redline Stealer. Bezpečnostní experti však očekávají, že zánik této malware rodiny povede k tomu, že útočníci tento škodlivý kód postupně nahradí jinou, podobnou službou.
Nástup ransomwarového gangu RansomHub
Ransomwarová scéna se změnila poté, co byl v další mezinárodní operaci „sesazen“ bývalý lídr ransomwarových gangů, LockBit. Vzniklo tak vakuum, které však záhy vyplnili jiní aktéři. Ransomwarový gang RansomHub měl do konce druhého pololetí 2024 na svědomí stovky obětí, čímž se etabloval jako nový dominantní hráč. APT skupiny napojené na Čínu, Severní Koreu a Írán stále častěji využívaly ransomware jako krytí svých aktivit.
Kryptoměnová horečka opět přitahuje útočníky
Jelikož kryptoměny dosáhly ve druhé polovině roku 2024 rekordních hodnot, údaje z kryptopeněženek byly také jedním z hlavních cílů útočníků. V telemetrii společnosti ESET došlo k nárůstu počtu detekcí cryptostealerů na několika platformách. Nejdramatičtější nárůst zaznamenali bezpečnostní experti na platformě macOS. V rámci této platformy se ve srovnání s prvním pololetím roku 2024 více než zdvojnásobil počet tzv. Password-Stealing Ware – škodlivých kódů zaměřených na přihlašovací údaje do kryptopeněženek. K tomuto nárůstu výrazně přispěl AMOS (známý také jako Atomic Stealer), škodlivý kód určený ke shromažďování a odcizení citlivých údajů ze zařízení Mac.
„Čísla ze závěru roku nám potvrzují, že předními hrozbami pro platformu macOS je v Česku nejen adware, ale také infostealer. Adware obtěžuje uživatele instalací nevyžádaných aplikací, které je mohou šmírovat. Škodlivý kód PSW.Agent se již řadí k malwaru určenému ke krádežím dat, a to včetně dat kolem kryptoměn a kryptoměnových peněženek, jako je například Electrum, Binance či Exodus. Dokáže odcizit také dokumenty programů Word či Excel, přihlašovací údaje z prohlížečů nebo soubory cookies, které mohou útočníci opět zneužít pro ověření na webu poskytovatele kryptoměn,“ vysvětluje Jiří Kropáč, vedoucí výzkumné pobočky společnosti ESET v Brně.
Finanční hrozby pro platformu Android zaměřené na bankovní aplikace i kryptopeněženky vzrostly ve sledovaném období o 20 %.
V nejnovější zprávě ESET Threat Report H2 2024 najdete také více informací o nejnovějším způsobu útoku na platformy Android a iOS, ve kterém útočníci využívají nový způsob kompromitace pomocí progresivních webových aplikací (PWA) a WebAPK. Ve zprávě najdete také všechny informace o podvodech na platformách AirBnB a Booking.com, na nichž útočníci známí z internetových bazarů opět využívají nástroj Telekopí.
Centrum zdrojů
