V posledních třech měsících roku otevřela dveře novým útokům zranitelnost Log4j. Bezpečnostní experti zasahovali proti množství ransomwarových útoků, trojských koňů pro vzdálený přístup a útoků pokročilých trvalých hrozeb (APT). Kromě toho se vrátil známý botnet Emotet a výskyt coinmeinerů se zvýšil o 40 %. Naše uživatele jsme také chránili před zvýšeným množstvím adwaru, podvodů s technickou podporou na stolních počítačích, podvodů s předplatným a spywaru na zařízeních na Androidu. Na druhou stranu jsme sledovali úbytek ransomwaru a malwaru typu RAT.
„Máme radost, že vidíme pokles útoků RAT, malwaru ke krádežím dat a ransomwaru. Aktivita RAT utichla i díky svátkům, přičemž kyberzločinci dokonce zašli tak daleko, že zkopírovali trojského koně pro vzdálený přístup DcRat a přejmenovali jej na ‚SantaRat',” popisuje ředitel výzkumu hrozeb v Avast Threat Labs Jakub Křoustek a pokračuje: „Snížilo se celkové množství útoků malwaru ke krádežím informací, což pravděpodobně zapříčinil pokles malwaru ke krádežím dat a hesel Fareit, jehož výskyt byl oproti předchozímu čtvrtletí nižší o 61 %. Spoušť, kterou ransomware způsobil v prvních třech čtvrtletích roku 2021, vyvolala koordinovanou spolupráci států a dodavatelů bezpečnostních řešení při pátrání po autorech a provozovatelích ransomwaru, a věříme, že právě to vedlo k výraznému poklesu tohoto typu útoků v posledním čtvrtletí loňského roku. Míra rizika napadení ransomwarem se oproti třetímu čtvrtletí 2021 snížila o působivých 28 %. Doufáme, že tento trend bude pokračovat i v prvních třech měsících nového roku, ale jsme připraveni i na opačnou situaci.“
Největší hrozby pro firmy
Pro firmy se ukázala být extrémně nebezpečná zranitelnost logovací knihovny Log4j, zejména kvůli rozsahu knihovny a snadné možnosti zneužití. Podle našich analytiků ji zneužívali zejména coinminery, malware typu RAT, ransomware, skupiny ATP, ale také různé botnety včetně nechvalně proslulého botnetu Mirai.
Většina útoků vedených boty sloužila pouze jako testy, které měly za úkol zranitelnost prověřit. Avast ale zaznamenal také množství pokusů o načtení potenciálně škodlivého kódu. Například některé RAT útoky se šířily právě prostřednictvím této zranitelnosti, mezi ty nejvytrvalejší patřily NanoCore, AsyncRat a Orcus. Prvním ransomwarem, který se pokusil zneužít zranitelnosti Log4j, byl podle našich analytiků nepříliš kvalitní ransomware Khonsari.
Kromě Log4j zneužívali kyberzločinci také zranitelnost CVE-2021-40449, kterou používali ke zvýšení oprávnění škodlivých procesů pomocí ovladače jádra systému Windows. Útočníci tuto zranitelnost využívali ke stažení a spuštění RAT útoku MistarySnail. Vysoký počet detekcí útoků NanoCore a AsyncRat způsobila škodlivá kampaň zneužívající poskytovatele cloudových služeb, Microsoft Azure a Amazon Web Service (AWS). V této kampani kyberzločinci využívali služby Azure a AWS jako servery pro stahování svých škodlivých payloadů k útokům na firmy.
Kromě toho analytici zjistili, že autor botnetu Emotet přepsal některé jeho části, čímž jej opět oživil a zaplavil trh s botnety.
Největší hrozby pro běžné uživatele
Ve čtvrtém čtvrtletí 2021 se zvýšila aktivita adwaru a rootkitů pro stolní počítače. Naši analytici se domnívají, že tyto trendy souvisejí s rootkitem Cerbu, který se může zmocnit domovské stránky prohlížeče a přesměrovat adresy URL stránek podle konfigurace rootkitu. Cerbu lze snadno nasadit a nakonfigurovat pro adware, který obtěžuje oběti nechtěnými reklamami a je schopen přidat do počítače obětí zadní vrátka.
Stejně jako vzrostla cena bitcoinu na konci roku 2021 se navýšil o 40 % i počet coinminerů šířících se často prostřednictvím infikovaných webových stránek a pirátského softwaru. Jedním z převládajících coinminerů aktivních po celé uplynulé čtvrtletí byl CoinHelper, který se většinou zaměřoval na uživatele v Rusku a na Ukrajině. Coinminery skrytě zneužívají výpočetní výkon zařízení k těžbě kryptoměn, což může vést k vysokým účtům za elektřinu a ovlivnit životnost hardwaru. Kromě toho CoinHelper shromažďuje různé informace o svých obětech, včetně jejich zeměpisné polohy, nainstalovaného antivirového řešení a používaného hardwaru.
Přestože coinminery těžily různé kryptoměny včetně etherea a bitcoinu, v naší analýze vyniklo zejména monero. Monero je navrženo tak, aby bylo anonymní, nicméně nesprávné použití adres a mechanika fungování těžebních poolů umožnily analytikům získat hlubší vhled do procesu, jakým ho útočníci těžili. Zjistili, že celkový peněžní zisk z coinmineru CoinHelper činil k 29. listopadu 2021 339 694,86 amerických dolarů. V prosinci CoinHelper vytěžil dalších zhruba 15 162 XMR, tedy přibližně 3 446,03 amerických dolarů. CoinHelper se stále aktivně šíří, přičemž každý den dokáže vytěžit cca 0,474 XMR.
Analytici také pozorovali nárůst podvodů s technickou podporou. Jde o velmi lukrativní byznys, kdy útočníci přes telefon přesvědčují uživatele, že mají technický problém se svým zařízením, a donutí je zaplatit vysoké částky za „opravu“. Důvěřiví uživatelé tak mnohdy na dálku útočníkům poskytnou vzdálený přístup do svých zařízení či systému, čehož útočník může dál zneužít a instalovat malware či nechtěné programy, které mohou krást osobní data či doopravdy poškozovat zařízení.
Největší hrozby pro mobilní zařízení
Laboratoře Avast Threat Labs ve své zprávě upozorňují na dvě mobilní hrozby: UltimaSMS a Facestealer.
UltimaSMS, podvod s předplatným prémiových SMS, se znovu objevil v posledních několika měsících. V říjnu byly v Obchodě Play k dispozici aplikace z podvodné kampaně UltimaSMS, které napodobovaly legitimní aplikace a hry a často zobrazovaly chytlavé reklamy. Po stažení vyzývaly uživatele k zadání telefonního čísla, aby získal k aplikaci přístup. Tím se uživatelé přihlásili k prémiové službě SMS, která může stát až 10 dolarů týdně. Pachatelé stojící za UltimaSMS hojně využívali k propagaci svých aplikací sociální sítě a díky tomu dosáhli přes 10 milionů stažení.
Uživatelé také stáli před hrozbou Facestealer, spywaru určenému ke krádeži přihlašovacích údajů na Facebooku. Facestealer se maskoval za editory fotografií, horoskopy, fitness aplikace a další. Po určité době používání aplikace vyzývá uživatele, aby se přihlásil ke službě Facebook, aby mohl aplikaci dále používat, a to bez reklam.
Chraňte se před hrozbami pomocí oceněného Avast Free Antiviru.
Celou zprávu Avast Q4/2021 Threat Report najdete zde.