Praha, 10. srpna 2022 – Avast (LSE:AVST), globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, dnes zveřejnil svou zprávu o hrozbách za 2. čtvrtletí 2022, která odhaluje až 24% nárůst počtu globálních ransomwarových útoků oproti 1. čtvrtletí tohoto roku. Analytici Avastu také objevili novou zranitelnost nultého dne v prohlížeči Chrome a zaznamenali signály, že přestávají využívat makra jako vektor infekce.
Po několika měsících poklesu se ve 2. čtvrtletí 2022 celosvětově výrazně zvýšil počet ransomwarových útoků, a to až o 24 % ve srovnání s předchozím čtvrtletím. Nejvyšší mezičtvrtletní nárůst míry rizika útoku ransomwarem zaznamenali analytici Avastu v Argentině (o 56 %), ve Velké Británii (o 55 %), v Brazílii (o 50 %), Francii (o 42 %) a Indii (o 37 %).
„Uživatelé, a zejména firmy by se měly mít před ransomwarovými útoky na pozoru a být na ně připravené, protože tato hrozba jen tak nezmizí,“ říká ředitel výzkumu malwaru v Avastu Jakub Křoustek. „Pokles ransomwaru, který jsme viděli ve 4. čtvrtletí 2021 a v 1. čtvrtletí 2022, způsobilo zejména zatýkání členů některých ransomwarových skupin a válka na Ukrajině. Ta vedla k neshodám v ransomwarové skupině Conti, čímž se zastavila její činnost. Ve 2. čtvrtletí 2022 se však situace dramaticky změnila. Členové Conti založili nové skupiny, jako je Black Basta a Karakurt, nebo se připojili k již existujícím, jako jsou Hive, BlackCat či Quantum, což způsobilo nárůst aktivity.“
Analytici Avastu objevili dvě nové zranitelnosti nultého dne, které zneužil izraelský dodavatel spywaru Candiru kromě jiných cílů i při útoku na novináře v Libanonu. První z nich byla chyba ve WebRTC, kterou kyberzločinci zneužili k vysoce cílenům útokům typu watering hole na uživatele prohlížeče Google Chrome. Chyba však ovlivnila i mnohé další prohlížeče. Jiná zranitelnost pak umožnila útočníkům uniknout ze sandboxu, ve kterém se po zneužití chyby ve WebRTC ocitli. Druhá zranitelnost, kterou Avast objevil, útočníci zneužili k průniku do jádra systému Windows.
Analytici Avastu ve zprávě také popisují chybu vzdáleného spuštění kódu v systému Microsoft Office s názvem Follina, kterou hojně zneužívali jednotliví kyberzločinci i APT skupiny napojené na Rusko, které operují na Ukrajině. Tuto zranitelnost nultého dne zneužila také čínská APT skupina Gadolinium/APT40 při útoku na cíle v Palau.
Společnost Microsoft nyní ve výchozím nastavení blokuje v aplikacích Office VBA makra. Ta byla po desítky let populárním způsobem napadání. Využívali je například trojské koně pro vzdálený přístup, jako je Nerbian RAT, nový RAT napsaný v jazyce Go, který se objevil ve 2. čtvrtletí 2022, nebo APT skupina Confucius, která je používala k šíření dalšího malwaru do počítačů svých obětí.
„Všimli jsme si, že teď, když jsou makra zablokovaná už ve výchozím nastavení, si kyberzločinci připravují jiné způsoby útoku. Bankovní trojan IcedID a botnet Emotet začaly jako alternativu ke škodlivým dokumentům používat k šíření svých kampaní soubory LNK, ISO nebo IMG obrázky a další triky podporované platformou Windows,“ dodává Křoustek.
Celou zprávu o hrozbách za 2. čtvrtletí 2022 najdete na blogu Avast Decoded: https://decoded.avast.io/threatresearch/avast-q2-2022-threat-report/.