Uličku hanby nahrazují stránky hanby: Ransomwarové skupiny veřejně vydírají své oběti
Minulý měsíc se RansomHub stal nejrozšířenější RaaS (ransomware jako služba) skupinou poté, co únorová policejní operace proti LockBit3 způsobila ztrátu loajality mezi spřátelenými kyberzločinci. LockBit3 proto v dubnu zaznamenal rekordně nízký počet obětí, pouhých 27. V květnu sice přišel naopak jejich výrazný nárůst, více než 170, ale v červnu počet opět klesl pod 20 obětí, což ukazuje na možný úpadek této nechvalně známé skupiny.
Mnoho kyberzločinců spojených s ransomwarovou skupinou LockBit3 nyní používá šifrovací nástroje jiných RaaS skupin, a přispívá tak k jejich růstu. RansomHub se poprvé objevil až v únoru 2024 a je údajně reinkarnací ransomwaru Knight. V červnu zaznamenal prudký nárůst a téměř 80 nových obětí.
„Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn, a ještě zintenzivnit své vyděračské kampaně,“ upozornil Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu posunula o tři příčky mezi bezpečnější země a nově jí patří 51. pozice. Naopak mezi nebezpečnější země se posunulo Slovensko, v červnu se umístilo na 82. příčce, což je změna o 18 míst. Mezi nebezpečné země se nejvíce posunula Namibie, o 50 míst, až na 58. příčku. První, tedy nejnebezpečnější, pozici obsadila nově Etiopie.
Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunulo zdravotnictví.
Top 3 - malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v červnu znovu nebezpečný downloader FakeUpdates, který měl dopad na sedm procent společností po celém světě. Následovaly malwary Androxgh0st, s dopadem na 6 % organizací, a AgentTesla (3 %).
- ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
- ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
- ↑ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)
Top 3 - mobilní malware:
Bankovní trojan Joker byl v červnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a AhMyth.
- ↑ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
- ↓ AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
- ↓ Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.
Top 3 – ransomwarové skupiny:
Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.
Nejrozšířenější ransomwarovou skupinou byl v červnu RansomHub, který byl zodpovědný za 21 % zveřejněných útoků. Skupina Play měla na svědomí osm procent zveřejněných ransomwarových útoků a Akira na třetím místě pět procent.
- ↑ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
- ↑ Play – Ransomware Play, označovaný také jako PlayCrypt, se poprvé objevil v červnu 2022 a zaměřuje se na široké spektrum organizací včetně oblasti kritické infrastruktury. Obvykle získává přístup k sítím prostřednictvím napadených účtů nebo zneužitím neopravených zranitelností. Jakmile se dostane dovnitř organizace, používá techniky, jako je LOLBins (living-off-the-land binaries), pro krádeže dat a přihlašovacích údajů.
- ↑ Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.
„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Řadu měsíců dominoval českému žebříčku backdoor Jorik, který hackerům umožňoval ovládat infikovaný počítač. Ale v červnu prudce oslabil, a dokonce se nevešel ani do Top 10. Naopak botnet Androxgh0st posílil a je novým nejrozšířenějším malwarem. Výrazně se prosadil i modulární trojan BMANAGER, který hned vyskočil až na druhou příčku a podobně jako Androxgh0st se může používat ke krádeži citlivých informací a přihlašovacích údajů. Mezi nejvýraznější hrozby pro české společnosti se prosadil také mobilní malware Joker, který ohrožuje zařízení se systémem Android a často číhá i v aplikacích na Google Play. Znovu se tak potvrzuje, že je potřeba věnovat mimořádnou pozornost i zabezpečení mobilních zařízení,“ uvedl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.