Vírusový radar / Pozreli sme sa na trendy: Čoraz agresívnejší ransomvér, kradnutie hesiel na vzostupe

Za tie mesiace sme zaznamenali niekoľko znepokojujúcich trendov vrátane čoraz agresívnejšej taktiky, ktorú využívajú tvorcovia a operátori ransomvéru. Pokračujúca pandémia neprospela ani práci na diaľku: na phishing v e-mailoch si už asi mnohí zvykajú aj na Slovensku (ak teda neberieme vážne, že by nám Slovenská pošta poslala každý deň e-mail na zaplatenie poplatku za fiktívnu zásielku). No a renesanciu zaznamenali aj tzv. útoky hrubou silou, obvykle na získanie hesiel, a teda aj prístupu.

Ale pekne po poradí. Keď sme sa pozreli za dané štyri mesiace na vydieračský malvér (ransomvér), titulky v novinách o útokoch na ropovod Colonial Pipeline alebo Kaseyu (výrobca manažovacieho softvéru pre IT) neboli nadarmo a možno ani nie zadarmo. Tento rok sme videli, ako vydierači požadujú čoraz vyššie výkupné za rozšifrovanie a odstránenie ukradnutých dát z ich serverov. Vlastne sú najvyššie v histórii. V prípade Kaseya to bolo oveľa viac ako napríklad celá slovenská očkovacia lotéria: útočníci žiadali až 70 miliónov dolárov. Podľa dostupných informácií sa našťastie spoločnosti Kaseya s výdatnou pomocou FBI podarilo z tohto marazmu dostať bez platenia.

Na fronte botnetov to pred časom boli výborné správy ohľadom narušenia Trickbotu. No zdá sa, že tento trójsky kôň, ktorý sa zo začiatku zameriaval na krádeže údajov o kreditných kartách a neskôr rozšíril svoju pôsobnosť na x kriminálnych činností, sa vracia. Začal ponúkať ďalšie funkcionality vrátane nového ransomvéru a počet našich detekcií Trickbotu zároveň vzrástol dvojnásobne. Malou náplasťou je nateraz aspoň zhodenie ďalšieho známeho botnetu Emotet. Aj vďaka tomu naše detekcie downloaderov (škodlivý program, ktorý do počítača sťahuje ďalší malvér) spadli na polovicu.

No a keď sa pozrieme na útoky hrubou silou, ktorých cieľom je zvyčajne prelomenie hesla a môžu byť vstupnou bránou aj pre ransomvér, takisto rástli. O viac ako dvojnásobok. Dovedna sme za spomínané mesiace zaznamenali až 55 miliárd takýchto pokusov. Priemer denných útokov na RDP jedného klienta už je 2756, čo je dvojnásobný nárast z 1392 z prvých štyroch mesiacov roka.

Ak vás tieto veci zaujímajú (tipujem, že áno, ak ste sa dostali v čítaní až sem), viac detailov a aj ďalšie informácie sa dozviete v ESET Threat Report T2, ktorý nájdete na našej stránke WeLiveSecurity.com.

Nebola to však iba správa o bezpečnostných hrozbách, ktorej sme sa venovali. Bolo to opäť aj zopár nových objavov na poli kybernetického zločinu, a teda aj vašej bezpečnosti. Za všetky spomeniem aspoň jeden. Naši bratislavskí výskumníci Martin Smolár a Anton Cherepanov sa ako prví na svete pozreli na ESPecter. Ide iba o druhú objavenú hrozbu na UEFI (teda rozhranie medzi operačným systémom a platformovým firmvérom, ktoré sa pred vami mihne pri zapínaní PC a je nevyhnutné na spustenie operačného systému), ktorá pretrváva na EFI System Partition. Úpravou UEFI si zabezpečí prežitie na infikovanom zariadení a získava plnú kontrolu nad načítaním systému, ktorú následne zas využíva na načítanie škodlivého ovládača.

Napriek tomu, že bol objavený až teraz, ide priam o veterána: jeho začiatky sme dokázali datovať až do roku 2012. Zatiaľ sa na svete zaznamenali iba štyri hrozby, ktoré nejakým spôsobom útočia a pretrvávajú na UEFI. ESPecter ukazuje, že útočníci sa pri hrozbách, ktoré cielia na počítač ešte pred spustením operačného systému, nespoliehajú už len na modifikáciu firmvéru UEFI, ako to bolo pri prvej hrozbe tohto typu Lojaxe, ktorý ESET objavil pred niekoľkými rokmi.

Keďže ESPecter dokáže kradnúť dokumenty, dáta, zaznamenávať snímky obrazovky či údery klávesnice, zámerom útočníkov zrejme v jeho prípade bude kybernetická špionáž.

Ako hovorí známe príslovie, v najlepšom treba skončiť. Navyše mi už v tomto stĺpčeku nezostalo viac priestoru. Hoci v našej branži (ako vždy) by stále bolo o čom. Tak zas o mesiac, dovtedy surfujte v online svete hlavne bezpečne.