Print bombing: všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné.
Bezpečnostní společnost ESET zveřejnila analýzu vývoje malware za poslední čtvrtletí roku 2020. Objevily se první spamy zneužívající vakcíny nebo nové postupy na vydírání infiltrovaných firem. U většiny typů malware je nicméně vidět klesající trend. Česko v závěru roku patřilo mezi nejzranitelnější země v oblasti útoků na služby vystavené do internetu.
V závěru roku o pětinu ubylo e-mailových rizik. Nejvýraznější koncentrace škodlivých e-mailů zachytili analytici společnosti ESET v polovině listopadu a v prosinci, kdy útočníci zneužívali boom předvánočních akcí nebo Black Friday, který je zejména v anglofonních zemích velmi populární. Malware se šířil infikovanými přílohami, ty útočníci vydávali za faktury, logistické dokumenty, potvrzení objednávek, notifikace z bank nebo za zprávy související s pandemií koronaviru.
„V minulém čtvrtletí jsme zachytili první spamy, které jako vějičku používaly vakcínu. Zachytili jsme například e-maily s předmětem: Vakcína Pfizer: 11 věcí, které musíte vědět. Tyto zprávy šířily malware. V Česku zatím takové zprávy nejsou, ale lze očekávat nárůst podobných podvodů, alespoň do doby, než se lidé přestanou o toto téma zajímat,“ popisuje Robert Šuman, vedoucí výzkumného pražského centra společnosti ESET.
Pokračoval klesající trend v objemu webových hrozeb. Celkově jich analytici detekovali o 23 % méně. Mírné navýšení nastalo na konci listopadu, kdy útočníci zneužili období předvánočních nákupů. V tomto období detekční nástroje ESETu blokovaly 8,5 milionů webových hrozeb denně, mezi tyto hrozby patřily zejména online podvody, stránky obsahující malware a phishing.
Útočníci stále častěji zneužívají homoglyfové útoky, u nichž analytici zachytili nárůst. Jde o techniku, kdy útočník zamění stejně vypadající nebo velmi podobné znaky, aby adresa webu vizuálně připomínala nějakou legitimní značku či stránku. Využívají k tomu jiné znakové sady – například cyrilici. Lidské oko přitom rozdíl prakticky nepozná.
Pokles o pětinu zaznamenali analytici i v případě spyware, který dokáže odcizit nějaký typ uživatelských dat. V Česku se nicméně jedná o dlouhodobě dominantní hrozbu.
„Ve světě detekujeme trochu jiné typy malware než u nás. V Česku jsou cílem spyware především přihlašovací údaje uživatelů, například celosvětově nejvýraznější hrozba HoundRat sbírá spíše technické informace o daném zařízení, například typ verze operačního systému, typ prohlížeče, přítomnost antiviru a podobně. Tyto informace se útočníkům hodí především pro vytipování možných zranitelností a provádění dalších nelegálních aktivit,“ říká Šuman
Experti stále pozorují rostoucí trend v útocích na služby pro práci na dálku, jako služby RDS (služby vzdálené plochy), VPN (virtuální privátní síť) brány, webové či poštovní servery – v praxi jde o nástroje, které umožňují pracovat na dálku. Počet unikátních zařízení, která hlásily pokusy o prolomení služby RDS, vzrostl v minulém čtvrtletí o 17 %. Zranitelné mohou být i VPN brány. V loňském roce například útočníci využívali zranitelnost z roku 2019 v programu Pulse Secure Connect, což je renomovaná služba pro bezpečné VPN připojení. Na zmíněnou zranitelnost existuje od dubna 2019 bezpečnostní oprava. Pokles ukazují data jen v době okolo Vánoc, tedy v době pracovního volna.
„Celkově jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik zajímavé. Svědčí o tom i nárůst detekcí ransomware a penetračních průniků. Je možné, že jen našli dost zranitelných míst. Apeloval bych proto na všechny instituce, aby zabezpečení bodů vystavených do internetu nepodceňovali,“ vysvětluje Šuman. „Podle dostupných dat útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na pravidelné aktualizace.“
Pokud se útočníkům podaří do sítě proniknout, zpravidla se pokusí ukrást maximum dat, které by bylo možné prodat či jinak zpeněžit, a následně ještě veškerá data zašifrovat a požadovat výkupné.
Objem ransomware útoků klesal postupně v průběhu celého roku, ve čtvrtém čtvrtletí klesl o 4 %. Naprostá většina z detekovaných kódů se šířila masově distribuovanými e-maily, objem masově šířených útoků však v průběhu roku klesl o 35 %. Podle expertů mezi útočníky stoupá popularita cílených útoků. Nejčastějším ransomware po celém světě zůstal WannaCryptor (známý také jako WannaCry).
„Nejvíce ransomware útoků jsme zachytili v Rusku, Turecku, Jižní Africe a jihovýchodní Asii. Nejčastěji se jednalo o ransomware WannaCry, který zneužívá několik let starou zranitelnost, na kterou existuje bezpečnostní aktualizace. Pečlivé aktualizace jsou nezbytnou prevencí těchto útoků,“ popisuje Šuman.
V listopadu ukončila činnost skupina Maze, jedná se o nejvýraznějšího hráče na poli ransomware. Zástupci skupiny nijak nevysvětlili, proč se rozhodli odejít.
Minulé čtvrtletí přineslo také novou metodu, jak na útok mohou útočníci upozornit: tou je tzv. print bombing, kdy všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné, a to včetně pokladních tiskáren na účtenky. Další metodou nátlaku je telefonování zaměstnancům firmy, pokud mají útočníci dojem, že firma data obnovila ze záloh bez zaplacení výkupného.
V listopadu začala opět růst hodnota bitcoinu, v reakci na to mírně přibylo detekcí podvodů a útoků, které s kryptoměnami souvisí.