ESET představuje globální přehled hrozeb za Q1/2020: Ransomware v první části roku ustupoval, ale je očekáván jeho návrat

Analytici společnosti ESET zveřejnili telemetrická data za první čtvrtletí letošního roku. Na výsledcích se podepsala hlavně pandemie, která byla pro útoky jako téma zneužívána.

Praha, 5. června 2020 – Kybernetická rizika u nás i ve světě definovala na počátku roku 2020 pandemie COVID-19. Útočníci se na nouzovou situaci rychle adaptovali a výrazně tak přibylo podvodných kampaní, které tématu koronaviru zneužívaly. Naopak útoky cílené na firmy v globálním pohledu slábly. Vyplývá to ze zprávy společnosti ESET za první čtvrtletí letošního roku.

Častou hrozbou, se kterou se setkala řada uživatelů na celém světě je tzv. spyware. Jeho prostřednictvím se útočníci snaží odcizit uživatelská hesla a další citlivá data.  V celosvětovém měřítku se jejich výskyt výrazně nezměnil. Za čtvrtinou těchto útoků ve světě stál mezi lednem a březnem trojský kůň Fareit. V České republice jej analytici společnosti ESET zachytili také. V minulém roce patřil mezi nejčastěji detekovaný malware u nás, ale letos jeho výskyt mírně oslabil.

„Oslabení patrně nebude trvalé. Jedná se běžné útoky. Kódy ke spywaru je možné zakoupit na černém trhu a bezprostředně využít k útoku. Navíc data, která takto útočníci získají, je možné snadno zpeněžit,“ popisuje praxi Miroslav Dvořák, technický ředitel české pobočky ESET. „V Česku se těmito útoky setkáváme řadu měsíců. Nejsilnější byly loni v září, kdy stály za čtvrtinou útoků, v letošním roce je to pak okolo desetiny.“

Kybernetický zločin ovládl malware těžící z obav z COVID-19

V porovnání s koncem roku 2019 narostl letos počet podvodných  webových stránek o 21 %. Značná část z nich obsahuje různe formy phishingu.V první polovině března zaznamenali analytici šedesátinásobný nárůst webů související s virem COVID-19. Nejčastěji se s těmito hrozbami setkávali uživatelé v Rusku, Peru, Japonsku, USA a Francii.

Odkazy na takovéto stránky se šířily především spamem. Útočníci  se  v e-mailech vydávali  za autority, jakou je například Světová zdravotnická organizace. Konkrétně tyto e-maily v angličtině analytici zachytili také v Česku. Nicméně útoků v češtině bylo v porovnání s těmi v cizích jazycích méně a odkazovaly spíše na phishingové webové stránky.

„Zajímavé je, že celkový počet spamových kampaní se výrazně nezměnil. Jejich tvůrci zřejmě jen změnili obsah e-mailů, aby byl pro uživatele aktuálnější. Pětina spamů odcházela ze serverů v USA, útočilo se také z Evropy, 5 % spamů z globálního pohledu odešlo z Polska či Francie,“ popisuje Dvořák.

Wannacry je stále nejrozšířenějším ransomwarem

Analytici z ESETu zaznamenali v prvním kvartálu roku 2020 celosvětový pokles v detekcích ransomware. Výjimku představuje přelom ledna a února, kdy v regionu jižní Afriky operovaly dvě výrazné kampaně: Crysis a Sodinokibi.

Nejvýraznějším ransomwarem zůstává WannaCryptor, ten je široké veřejnosti spíše známý jako WannaCry z roku 2017. Stojí za 40 % detekcí veškerého ransomware, a to navzdory tomu, že zneužívá zranitelnost, na kterou byla aktualizace vydána již před třemi lety. WannaCryptor se nadále šířil v Turecku, Thajsku a Indonésii. Podobné je to s hrozbou GandCrab z roku 2018

„Pandemie koronaviru se ale projevila i v tomto ohledu. Řada útočníků se dokonce vyjádřila do médií, že na zdravotnická zařízení během pandemie vůbec útočit nebudou. Bohužel jiní, například tvůrci ransomware Ryuk, situaci spíše využili. S tímto ransomware se potýkaly právě české nemocnice. V globálních statistikách nicméně skutečně pokles detekcí ransomware vidíme. Nicméně nelze očekávat, že by kybernetičtí zločinci po odeznění pandemie svoji aktivitu opět nezvýšili. S největší pravděpodobností využijí toto období ke zlepšování svých útočných metod a kódů,“ říká Dvořák.

Na konci roku 2019 zachytili experti na bezpečnost nový trend, který útočníci letos dál rozvíjeli. Tvůrci ransomware začali krást citlivé informace (například bydliště, telefonní čísla, fotografie, politické názory či sexuální orientaci) uživatelů a vyhrožovat jejich zveřejněním, pokud oběť nezaplatí výkupné. Tato technika se nazývá také doxing. Slouží namísto klasického zašifrování dat, případně se obě metody kombinují. V případě firem mohou například útočníci začít zveřejňovat ukradené dokumenty s návrhy nových výrobků a další cenné obchodní informace.
„Doxing využívají operátoři ransomwaru Maze. Technika se osvědčila a s nástupem roku 2020 ji začali využívat i další útočníci. Je pravděpodobné, že se s doxingem budeme potýkat i v dalších měsících,“ dodává Dvořák.

Cena Bitcoinu klesla a s nimi i detekce těžebních malware

S nástupem koronakrize klesla burzovní hodnota kryptoměn, především Bitcoinu. Útoky, jejichž cílem je těžit kryptoměny, byly proto na počátku roku na ústupu. Na konci března byly v porovnání s prosincem 2019 na poloviční hodnotě detekcí.

„Kybernetičtí zločinci se snaží především vydělat, pokud klesne cena kryptoměn, zaměří své aktivity jiným směrem. Dokud se hodnoty měn nevrátí na nějakou vyšší míru, nelze jejich výraznější návrat na scénu očekávat,“ doplňuje Dvořák.

Důvodem poklesu může být také operace Interpolu, díky které se v lednu podařilo identifikovat útočníky, kteří stáli za pětinou nelegálních kampaní těžících kryptoměny po celém světě.

Počet hrozeb pro telefony klesá

Analytici sledovali také vývoj malware pro telefony s operačním systémem Android. Jejich počet v první kvartálu roku 2020 zůstával poměrně stabilní. Za pětinou detekcí stojí adware Hiddad, který zobrazuje uživatelům reklamu přes celou obrazovku. Reklamy výrazně omezují použití zařízení, případně odkazují na podvodné webové stránky či aplikace.  

„V tomto ohledu se situace v České republice trochu liší. V lednu například nejčasnější riziko představovaly falešné antivirové aplikace. Nicméně i u nás Hiddad detekujeme a patří mezi nejběžnější malware pro platformu Android. Šíří se především přes neoficiální aplikační obchody a fóra. Zachytili jsme jej například v aplikacích pro stahování či přehrávání videí,“ popisuje Dvořák.

Strach okolo pandemie ale využili i útočníci, kteří se specializují na Android. Výzkumný tým ESET zaznamenal škodlivé aplikace, které toto téma zneužívaly. Nejčastěji se maskovaly jako nástroj pro určení symptomů, mapy infekce, sledovací systémy či služby pro finanční kompenzace. Tyto podvodné aplikace pak šířily různý bankovní malware, ransomware, spyware či reklamní malware. V České republice nicméně byl výskyt těchto aplikací minimální. 

Ukázka podvodné aplikace s tématikou koronaviru. Aplikace si žádá příliš vysoká oprávnění

Celý report hrozeb, včetně popisu aktivit některých skupin a grafického znázornění změn, si můžete stáhnout zde. Společnost ESET pravidelně informuje o vývoji kybernetických hrozeb v České republice. Zde najdete přehled hrozeb z ledna 2020, února 2020 a března 2020.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.