Uličku hanby nahrazují stránky hanby: Ransomwarové skupiny veřejně vydírají své oběti

19. 8. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Relativní nováček mezi ransomwarem jako služba RansomHub předstihl jednu z nejnebezpečnějších ransomwarových skupin na světě LockBit3 a stal se nejaktivnější skupinou zaměřenou na veřejné vydírání.

Minulý měsíc se RansomHub stal nejrozšířenější RaaS (ransomware jako služba) skupinou poté, co únorová policejní operace proti LockBit3 způsobila ztrátu loajality mezi spřátelenými kyberzločinci. LockBit3 proto v dubnu zaznamenal rekordně nízký počet obětí, pouhých 27. V květnu sice přišel naopak jejich výrazný nárůst, více než 170, ale v červnu počet opět klesl pod 20 obětí, což ukazuje na možný úpadek této nechvalně známé skupiny.

Mnoho kyberzločinců spojených s ransomwarovou skupinou LockBit3 nyní používá šifrovací nástroje jiných RaaS skupin, a přispívá tak k jejich růstu. RansomHub se poprvé objevil až v únoru 2024 a je údajně reinkarnací ransomwaru Knight. V červnu zaznamenal prudký nárůst a téměř 80 nových obětí.

„Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn, a ještě zintenzivnit své vyděračské kampaně,“ upozornil Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu posunula o tři příčky mezi bezpečnější země a nově jí patří 51. pozice. Naopak mezi nebezpečnější země se posunulo Slovensko, v červnu se umístilo na 82. příčce, což je změna o 18 míst. Mezi nebezpečné země se nejvíce posunula Namibie, o 50 míst, až na 58. příčku. První, tedy nejnebezpečnější, pozici obsadila nově Etiopie.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunulo zdravotnictví.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v červnu znovu nebezpečný downloader FakeUpdates, který měl dopad na sedm procent společností po celém světě. Následovaly malwary Androxgh0st, s dopadem na 6 % organizací, a AgentTesla (3 %).

  1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
  2. ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
  3. ↑ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 - mobilní malware:

Bankovní trojan Joker byl v červnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a AhMyth.

  1. ↑ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
  2. AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  1. Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.

Top 3 – ransomwarové skupiny:

Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.

Nejrozšířenější ransomwarovou skupinou byl v červnu RansomHub, který byl zodpovědný za 21 % zveřejněných útoků. Skupina Play měla na svědomí osm procent zveřejněných ransomwarových útoků a Akira na třetím místě pět procent.

  1. ↑ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
  2. ↑ Play – Ransomware Play, označovaný také jako PlayCrypt, se poprvé objevil v červnu 2022 a zaměřuje se na široké spektrum organizací včetně oblasti kritické infrastruktury. Obvykle získává přístup k sítím prostřednictvím napadených účtů nebo zneužitím neopravených zranitelností. Jakmile se dostane dovnitř organizace, používá techniky, jako je LOLBins (living-off-the-land binaries), pro krádeže dat a přihlašovacích údajů.
  3. ↑ Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Řadu měsíců dominoval českému žebříčku backdoor Jorik, který hackerům umožňoval ovládat infikovaný počítač. Ale v červnu prudce oslabil, a dokonce se nevešel ani do Top 10. Naopak botnet Androxgh0st posílil a je novým nejrozšířenějším malwarem. Výrazně se prosadil i modulární trojan BMANAGER, který hned vyskočil až na druhou příčku a podobně jako Androxgh0st se může používat ke krádeži citlivých informací a přihlašovacích údajů. Mezi nejvýraznější hrozby pro české společnosti se prosadil také mobilní malware Joker, který ohrožuje zařízení se systémem Android a často číhá i v aplikacích na Google Play. Znovu se tak potvrzuje, že je potřeba věnovat mimořádnou pozornost i zabezpečení mobilních zařízení,“ uvedl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – červen 2024

Malwarová rodina

Popis

Dopad v ČR

Dopad ve světě

Androxgh0st

Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.

6,06 %

5,52 %

BMANAGER

BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat.

3,92 %

0,66 %

FakeUpdates

FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

3,21 %

7,03 %

TechJourney

TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru.

2,67 %

0,22 %

AZORult

AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.

2,67 %

0,80 %

Remcos

Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

2,32 %

1,90 %

CrimsonRAT

CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity.

2,32 %

0,61 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

2,32 %

3,47 %

AsyncRat

AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.

2,14 %

1,55 %

Joker

Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.

1,60 %

1,25 %

Štítky: 

Podobné články

Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti

30. 9. 2024. (redaktor: František Doupal, zdroj: Sophos)
Nejčastějším zdrojem ransomwarových útoků na české společnosti v roce 2023 bylo zneužití zranitelnosti systému zabezpečení. Firmy se na kybernetické útoky připravují, ale stále nedostatečně - pouze 57 % z nich zálohuje data a 42 % zaměstnává specialisty na kybernetickou bezpečnost nebo provozuje interní SOC. Ještě hůře na tom jsou firmy s plány obnovy nebo plány na zachování kontinuity provozu. Čtěte více
Petr Zahálka, obchodní ředitel Thein Security

Byla to jen otázka času: Malware a ransomware jako služba

25. 9. 2024. (redaktor: František Doupal, zdroj: Thein Security)
Modely předplatného, jako jsou Malware-as-a-Service (MaaS) a Ransomware-as-a-Service (RaaS), výrazně snížily vstupní bariéru pro méně zkušené útočníky, což usnadňuje provádění komplexních útoků. Tento vývoj je zásadní změnou v oblasti kybernetických hrozeb. Čtěte více

Ze dnů na hodiny. AI působí jako katalyzátor ransomwarových útoků, rovněž však jako jejich brzda

6. 9. 2024. (redaktor: František Doupal, zdroj: Soitron)
Ransomwarové gangy útočí rychleji než kdy dříve. Doba od rekognoskace oběti, infiltrace zařízení, exfiltraci či zašifrování dat se zkracuje z dnů na pouhé hodiny. Umocňující trend podporuje nový „pomocník“ - umělá inteligence (AI). Její sílu lze však využít i k obraně. Čtěte více

České organizace čelí nadprůměrnému počtu ransomwarových útoků

27. 8. 2024. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point Software Technologies upozorňuje, že během první poloviny roku 2024 došlo k zásadnímu nárůstu kyberútoků na české organizace. Čtěte více