Společnost Avast vydala zprávu o kyberhrozbách za 3. čtvrtletí 2022 na základě svých telemetrických dat a odborných poznatků. Data ukazují na nárůst aktivity adwaru v počítačích na konci září, konkrétně v Česku o 33 %. Podobně rostl i počet útoků vyděračským ransomwarem v zemích, jako je Kanada, Španělsko a Německo, celosvětově se však mírně snížil. Většina škodlivých aktivit zůstala ve 3. čtvrtletí 2022 stabilní nebo poklesla.

„Zajímavým trendem, který jsme v tomto čtvrtletí zaznamenali, bylo, že kybergangy aktivně verbovaly a odměňovaly lidi za podporu jejich trestné činnosti, včetně vylepšování, propagace či distribuce malwaru,“ říká ředitel výzkumu malwaru v Avastu Jakub Křoustek. „Z hlediska útoků jsme na konci 3. čtvrtletí 2022 zaznamenali nárůst adwaru DealPly, masivní nárůst pokusů o infekci pomocí Raccoon Stealeru, zvýšenou aktivitu botnetu MyKings a mírný rozmach nového botnetu Pitraix napsaného v jazyce Go. Celková úroveň útoků zůstala vysoká, ačkoli se zdálo, že kyberzločinci v letních měsících trochu odpočívali.“

Ransomwarové útoky zaměřeny na exfiltraci dat

Riziko, že se uživatelé setkají s ransomwarem, v aktuálním čtvrtletí ve srovnání s tím předchozím vzrostlo například v Kanadě o 16 %. V Německu a Španělsku byla pravděpodobnost, že se uživatelé setkají s ransomwarem, o 12 % vyšší, celosvětově se však hrozba ransomwarových útoků drobně snížila.

„Kmeny ransomwaru stále častěji používají složité metody částečného šifrování, například šifrují pouze začátek nebo konec souboru či bloky souborů, aby zašifrování zrychlily a vyhnuly se odhalení uživatelem,“ vysvětluje Jakub Křoustek. „Ransomwarové gangy nyní navíc exfiltrují data firem, vyhrožují zveřejněním citlivých souborů a pak je místo zašifrování mažou nebo poškozují. Zaznamenali jsme také zajímavé dění okolo ransomwarové skupiny LockBit, která nabízí odměny těm, kdo objeví zranitelnosti nebo dodají skupině nové nápady, nebo to, že si lidé nechají vytetovat jejich logo na tělo. V souvislosti s touto skupinou jsme pozorovali i odvetné akce jejích členů, úniky kódu a také konflikt s bezpečnostní společností Entrust.“

Firmy a státní instituce v hledáčku hackerských a APT skupin

Proruská skupina NoName057(16) se od července do října zaměřila na organizace, jako jsou banky a tiskové agentury, a na státní instituce zemí podporujících Ukrajinu. Skupina používá k odvetným DDoS útokům botnet počítačů infikovaných malwarem Bobik. Podle pozorování Avastu má skupina 40% úspěšnost a přibližně 20 % útoků, k nimž se přihlásila, nelze v jejích konfiguračních souborech dohledat. V srpnu tento gang oznámil nový projekt s názvem DDOSIA a vytvořil novou soukromou skupinu na Telegramu s více než 700 členy. Projekt DDOSIA umožňuje komukoli na internetu stáhnout si binární soubor a provádět DDoS útoky na stránky vybrané NoName057(16). Za to je skupina odměňuje v kryptoměnách.

APT skupina Gamaredon se ve stejném období také zaměřila na Ukrajinu, kde útočila na vojenské a státní instituce a velvyslanectví. Skupina do svých nástrojů přidala nástroje pro exfiltraci souborů, různé droppery a nové způsoby distribuce malwaru a IP adresy C&C serverů.

Známá čínsky mluvící skupina LuckyMouse se zaměřila na několik státních institucí ve Spojených arabských emirátech, na Tchaj-wanu a Filipínách. Avast v infikovaných počítačích nalezl zadní vrátka, nástroje pro krádež hesel z prohlížeče Chrome a nástroje s otevřeným zdrojovým kódem, jako je BadPotato, který se používá ke zvyšování oprávnění. Útočníci pravděpodobně infikovali zařízení prostřednictvím napadeného serveru.

Dalšími skupinami, které výzkumníci Avastu sledují, jsou Donot Team, známý také jako APT-C-35, a Transparent Tribe, známý také jako APT36. Skupina Donot Team byla ve 3. čtvrtletí nejaktivnější v Pákistánu. Avast objevil DLL moduly z rámce malwaru yty na několika infikovaných zařízeních. Pravděpodobně pákistánská skupina Transparent Tribe pokračovala v útocích na oběti v Indii a Afghánistánu a infikovala počítače pomocí spear-phishingu a dokumentů Office se škodlivými VBA makry. Výzkumníci Avastu zjistili, že spustitelné soubory patří ke kmeni CrimsonRAT, což je vlastní malware Transparent Tribe používaný k přístupu do infikovaných sítí.

Nárůst DealPly, Racoon Stealeru a MyKings

DealPly, adware instalovaný jiným malwarem, dosáhl vrcholu na konci letošního září. Tento adware je rozšíření prohlížeče Chrome, které upravuje nové stránky v prohlížeči, nahrazuje nově otevřené karty, čte historii prohlížeče, mění záložky, aplikace, rozšíření a motivy v prohlížeči. To umožňuje kyberzločincům upravovat výsledky vyhledávání a nahrazovat je reklamami, číst hesla a údaje o platebních kartách uložené v prohlížeči a číst, co uživatelé zadávají do formulářů (i to, co vyplnili v minulosti).

Raccoon Stealer, nástroj pro krádež informací, který dokáže krást data i stahovat a spouštět další malware, se v minulém kvartálu vrátil na scénu. Ve 3. čtvrtletí 2022 ochránil Avast před tímto stealerem o 370 % více uživatelů.

„Raccoon Stealer se šíří, když se uživatelé pokoušejí stahovat ‚cracknuté‘ verze softwaru, jako je Adobe Photoshop, Filmora Video Editor či uTorrent Pro,“ vysvětluje Jakub Křoustek. „Lidé při pokusech o stažení podobných souborů často ignorují nebo vypínají antivirové štíty, čímž se vystavují riziku stažení malwaru, jako je Raccoon Stealer. Tento dokáže stahovat další škodlivé programy, a takto se šíří například DealPly. Uživatelé by si proto měli nainstalovat antivirový software a nechat ochranu neustále zapnutou.“

Zatímco aktivita botnetů se ve sledovaném kvartále stabilizovala, aktivita botnetu MyKings se zvýšila. MyKings je botnet zaměřený na krádeže kryptoměn, aktivní od roku 2016.

Mobilní malware

Dominantní hrozbou pro mobilní zařízení zůstává adware, přičemž převažují HiddenAds a FakeAdBlockers. Země, kde Avast chránil uživatele před adwarem nejvíce, byly Brazílie, Indie, Argentina a Mexiko.

Navzdory nedávnému rozbití skupiny Flubot Europolem se celosvětové riziko napadení bankovním trojským koněm zvýšilo ve 3. čtvrtletí o 7 % ve srovnání s 2. čtvrtletím. Bankovní trojské koně se šíří hlavně prostřednictvím SMS phishingu, ale mohou se šířit i prostřednictvím malwarových dropperů.

Na mobilní uživatele i nadále mířily TrojanSMS, neboli podvodné prémiové SMS, přičemž v této kategorii vedou SMSFactory a Darkherring, zatímco UltimaSMS a Grifthorse přestali útočníci užívat. SMSFactory a Darkherring se šíří prostřednictvím vyskakovacích oken, malvertisingu a falešných obchodů s aplikacemi. Naproti tomu UltimaSMS a Grifthorse byly distribuovány v Obchodě Google Play až do té doby, co je společnost Google z obchodu odstranila.

Celou zprávu o hrozbách za 3. čtvrtletí 2022 najdete zde.

Zdroj: TZ; JM