Uličku hanby nahrazují stránky hanby: Ransomwarové skupiny veřejně vydírají své oběti

19. 8. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Relativní nováček mezi ransomwarem jako služba RansomHub předstihl jednu z nejnebezpečnějších ransomwarových skupin na světě LockBit3 a stal se nejaktivnější skupinou zaměřenou na veřejné vydírání.

Minulý měsíc se RansomHub stal nejrozšířenější RaaS (ransomware jako služba) skupinou poté, co únorová policejní operace proti LockBit3 způsobila ztrátu loajality mezi spřátelenými kyberzločinci. LockBit3 proto v dubnu zaznamenal rekordně nízký počet obětí, pouhých 27. V květnu sice přišel naopak jejich výrazný nárůst, více než 170, ale v červnu počet opět klesl pod 20 obětí, což ukazuje na možný úpadek této nechvalně známé skupiny.

Mnoho kyberzločinců spojených s ransomwarovou skupinou LockBit3 nyní používá šifrovací nástroje jiných RaaS skupin, a přispívá tak k jejich růstu. RansomHub se poprvé objevil až v únoru 2024 a je údajně reinkarnací ransomwaru Knight. V červnu zaznamenal prudký nárůst a téměř 80 nových obětí.

„Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn, a ještě zintenzivnit své vyděračské kampaně,“ upozornil Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu posunula o tři příčky mezi bezpečnější země a nově jí patří 51. pozice. Naopak mezi nebezpečnější země se posunulo Slovensko, v červnu se umístilo na 82. příčce, což je změna o 18 míst. Mezi nebezpečné země se nejvíce posunula Namibie, o 50 míst, až na 58. příčku. První, tedy nejnebezpečnější, pozici obsadila nově Etiopie.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a na třetí místo se posunulo zdravotnictví.

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v červnu znovu nebezpečný downloader FakeUpdates, který měl dopad na sedm procent společností po celém světě. Následovaly malwary Androxgh0st, s dopadem na 6 % organizací, a AgentTesla (3 %).

  1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
  2. ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
  3. ↑ AgentTesla – Pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, krást informace ze systémové schránky, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 - mobilní malware:

Bankovní trojan Joker byl v červnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a AhMyth.

  1. ↑ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.
  2. AhMyth –Trojan pro vzdálený přístup (RAT) objevený v roce 2017. Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách. Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát.
  1. Anubis –Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.

Top 3 – ransomwarové skupiny:

Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.

Nejrozšířenější ransomwarovou skupinou byl v červnu RansomHub, který byl zodpovědný za 21 % zveřejněných útoků. Skupina Play měla na svědomí osm procent zveřejněných ransomwarových útoků a Akira na třetím místě pět procent.

  1. ↑ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
  2. ↑ Play – Ransomware Play, označovaný také jako PlayCrypt, se poprvé objevil v červnu 2022 a zaměřuje se na široké spektrum organizací včetně oblasti kritické infrastruktury. Obvykle získává přístup k sítím prostřednictvím napadených účtů nebo zneužitím neopravených zranitelností. Jakmile se dostane dovnitř organizace, používá techniky, jako je LOLBins (living-off-the-land binaries), pro krádeže dat a přihlašovacích údajů.
  3. ↑ Akira – Ransomware Akira byl poprvé detekovaný na začátku roku 2023. Zaměřuje se na systémy Windows a Linux a k symetrickému šifrování souborů používá CryptGenRandom() a Chacha 2008. Je podobný uniklému ransomwaru Conti v2. Akira se šíří různými způsoby, včetně infikovaných e-mailových příloh a exploitů v koncových bodech VPN. Po infekci zašifruje data a k názvům souborů přidá příponu .akira. Poté zašle oběti požadavek na zaplacení výkupného.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Řadu měsíců dominoval českému žebříčku backdoor Jorik, který hackerům umožňoval ovládat infikovaný počítač. Ale v červnu prudce oslabil, a dokonce se nevešel ani do Top 10. Naopak botnet Androxgh0st posílil a je novým nejrozšířenějším malwarem. Výrazně se prosadil i modulární trojan BMANAGER, který hned vyskočil až na druhou příčku a podobně jako Androxgh0st se může používat ke krádeži citlivých informací a přihlašovacích údajů. Mezi nejvýraznější hrozby pro české společnosti se prosadil také mobilní malware Joker, který ohrožuje zařízení se systémem Android a často číhá i v aplikacích na Google Play. Znovu se tak potvrzuje, že je potřeba věnovat mimořádnou pozornost i zabezpečení mobilních zařízení,“ uvedl Tomáš Růžička, SE team leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top malwarové rodiny v České republice – červen 2024

Malwarová rodina

Popis

Dopad v ČR

Dopad ve světě

Androxgh0st

Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.

6,06 %

5,52 %

BMANAGER

BMANAGER je modulární trojan, který pravděpodobně vytvořil hacker nazvaný Boolka. Boolka nejdříve využíval jen jednoduché skriptovací útoky, ale postupně začal používat sofistikované systémy pro šíření malwaru, včetně trojanu BMANAGER. Tento malware je součástí širší sady, která obsahuje různé komponenty určené ke krádeži dat a přihlašovacích údajů. BMANAGER se šíří především prostřednictvím SQL injection útoků na webové stránky, přičemž využívá zranitelnosti k zachycení uživatelských aktivit a ke krádeži dat.

3,92 %

0,66 %

FakeUpdates

FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.

3,21 %

7,03 %

TechJourney

TechnoJourney je adware, který se zaměřuje na systémy Mac. Je součástí adwarové rodiny AdLoad a zobrazuje vtíravé reklamy, které mohou vést na škodlivé webové stránky nebo spouštět stahování nechtěných souborů. Může také sledovat uživatelská data a aktivity uživatelů na internetu. Obvykle je distribuován prostřednictvím podvodných webových stránek nebo je připojen k jinému softwaru.

2,67 %

0,22 %

AZORult

AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server.

2,67 %

0,80 %

Remcos

Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Šíří se sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Kromě toho dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy.

2,32 %

1,90 %

CrimsonRAT

CrimsonRAT (nástroj pro vzdálený přístup) používá programovací jazyk Java a ukrývá se v legitimních souborech. Šíří se prostřednictvím spamových kampaní, které obsahují škodlivé dokumenty Microsoft Office. Útočníkům umožňuje ovládat infikované počítače a provádět škodlivé aktivity.

2,32 %

0,61 %

AgentTesla

AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, pořizovat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.

2,32 %

3,47 %

AsyncRat

AsyncRat je trojan, který se zaměřuje na platformu Windows. Odesílá systémové informace o cílovém systému na vzdálený server. Ze serveru také přijímá příkazy ke stahování a spouštění pluginů, ukončení procesů, odinstalování/aktualizaci a pořizování snímků obrazovky infikovaného systému.

2,14 %

1,55 %

Joker

Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.

1,60 %

1,25 %

Štítky: 
Ransomware, Bezpečnost, Kybernetické útoky, Check Point
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vloni bylo kyberzločinci veřejně vydíráno 16 českých společností

26. 2. 2025. (redaktor: František Doupal, zdroj: Check Point)
Ransomware překonal v roce 2024 všechny dosavadní rekordy. Z dat Enterprise Risk Management týmu kyberbezpečnostní společnosti Check Point vyplývá, že kyberzločinci s pomocí ransomwaru celosvětově napadli a veřejně vydírali 5 414 společností, což je nárůst o 11 % oproti roku 2023. Útočníci se vypořádali nejen s tlakem policejních složek, ale ještě dál vylepšili své postupy a taktiky. Čtěte více

N-able integruje novou funkci pro silnější ochranu záloh proti ransomwaru

30. 1. 2025. (redaktor: František Doupal, zdroj: Zebra systems)
Společnost N-able integrovala do produktu Cove Data Protection funkci Fortified Copies. Tato funkce, umožňující nezměnitelnost záloh, přidává další vrstvu ochrany pro servery, pracovní stanice a zálohy Microsoft 365. Funkce nezměnitelnosti záloh je do architektury Cove zabudována automaticky bez nutnosti dodatečné správy nebo extra nákladů. Čtěte více

Globální vývoj kyberhrozeb: Nový typ investičního podvodu, jehož součástí je deepfake

20. 1. 2025. (redaktor: František Doupal, zdroj: Eset)
Společnost ESET vydala svou nejnovější zprávu Threat Report H2 2024, která shrnuje globální vývoj kybernetických hrozeb na základě dat z telemetrie a odborného pohledu analytiků, a to od června do listopadu 2024. Během tohoto období například výrazně narostl počet investičních podvodů, a to o více než 335 % mezi prvním a druhým pololetím roku 2024. Čtěte více

Rok 2025 bude ve znamení hrozeb pro platformu iOS a phishingových útoků generovaných AI

6. 1. 2025. (redaktor: František Doupal, zdroj: Eset)
Experti společnosti ESET reflektují vývoj hrozeb v letošním roce a nabízí výhled do aktuálních kyberbezpečnostních témat pro nadcházející měsíce roku 2025. Čtěte více