Praha, 6. května 2022 – Avast (LSE:AVST), globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, dnes zveřejnil svou zprávu o hrozbách za 1. čtvrtletí 2022, která odhaluje kybernetické hrozby související s válkou mezi Ruskem a Ukrajinou. Nejnovější zpráva se zabývá proruskou skupinou pokročilých trvalých hrozeb (APT), Gamaredon, která útočí na uživatele na Ukrajině. Popisuje nástroje k zahlcovacím útokům (DDoS), které tito útočníci cíleně používají proti ruským webům a také ransomwarové útoky zaměřené na ukrajinské firmy. Kromě toho válka ve fyzickém prostoru ovlivnila i kybergangy, což způsobilo mírný pokles ransomwaru a dočasné ukončení činnosti nástroje pro krádež informací Raccoon Stealer.

Kybernetická válka: Ukrajina a Rusko

„Často vidíme paralely mezi tím, co se děje v reálném světě a v kybersvětě, pokud jde o způsob šíření hrozeb a jejich cíle. V prvním čtvrtletí roku 2022 jsme zaznamenali výrazný nárůst útoků konkrétních typů malwaru v zemích zapojených do války. Ve srovnání s předcházejícím kvartálem narostl počet útoků trojských koní pro vzdálený přístup (RAT) o  50 %. O více než 20 % vzrostl počet  útoků malwaru pro krádež dat, které jsme zablokovali na Ukrajině, v Rusku a Bělorusku. Ty mohli útočníci použít ke sběru informací nebo špionáži,“ říká ředitel výzkumu malwaru v Avastu Jakub Křoustek. „V Rusku jsme také zablokovali o 30 % více pokusů o infikování nových zařízení a jejich připojení do botnetů, jejichž cílem je vytvořit armády zařízení, která mohou provádět útoky DDoS na média a další kritické webové stránky a infrastrukturu. Na Ukrajině jsme těchto pokusů zaznamenali o 15 % více. Na druhou stranu jsme v Rusku a na Ukrajině pozorovali o 50 % méně útoků adwaru, což může být způsobeno tím, že zejména na Ukrajině nyní používá internet méně lidí.“

Těsně před začátkem války zaznamenaly virové laboratoře Avast Threat Labs několik kybernetických útoků, za nimiž pravděpodobně stály ruské APT skupiny. Jedna z nich, Gamaredon, na konci února výrazně zvýšila aktivitu. Svůj malware šířila na širokou cílovou skupinu, včetně běžných uživatelů, a vyhledávala potenciální oběti pro špionáž. Ransomware s názvem HermeticRansom, pro který Avast vydal dešifrovací nástroj, pravděpodobně také šířila APT skupina.

Analytici Avastu také sledovali nástroje k útokům DDoS na ruské webové stránky propagované tzv. hacktivistickými komunitami. Objevili webové stránky, například s předpovědí počasí, které obsahovaly kód, jenž dokázal tyto útoky prostřednictvím prohlížeče návštěvníků provést i bez jejich souhlasu. Jejich počet ke konci čtvrtletí poklesl. Součástí jedné březnové DDoS kampaně, do které byla zapojena také ransomwarová skupina Sodinokibi (REvil), byl i botnet prodávaný jako služba. Kromě toho autoři malwaru využili válku k šíření škodlivého softwaru, jako jsou trojské koně pro vzdálený přístup (RAT), prostřednictvím e-mailů se škodlivými přílohami, které údajně obsahovaly důležité informace o válce.

Válka na Ukrajině má dopad na kyberzločin

Válka přímo ovlivňuje autory a provozovatele malwaru. Kvůli údajné smrti hlavního vývojáře softwaru Raccoon Stealer dočasně ukončil tento malware pro krádež informací svou činnost.

Virové laboratoře Avast Threat Labs také v 1. čtvrtletí 2022 zaznamenaly mírný pokles ransomwarových útoků po celém světě, a to o 7 % ve srovnání se 4. čtvrtletím 2021, což pravděpodobně způsobila válka na Ukrajině, odkud působí mnoho provozovatelů a uživatelů ransomwaru. Díky tomu se počet těchto typů útoků již druhé čtvrtletí snižuje, byť ve 4. čtvrtletí 2021 pokles způsobila hlavně spolupráce států, vládních organizací a dodavatelů bezpečnostních řešení, jimž se povedlo dopadnout některé autory a provozovatele ransomwaru. Dalšími příčinami poklesu mohlo být i únorové ukončení činnosti jedné z nejaktivnějších a nejúspěšnějších ransomwarových skupin, Maze, a rovněž pokračující trend, kdy se tyto vyděračské gangy zaměřují spíše na velké cíle (tzv. big game hunting) než na běžné uživatele prostřednictvím techniky „spray and pray“.

Válka způsobila i rozkol v ransomwarovém gangu Conti, když ukrajinský analytik zveřejnil interní soubory skupiny a zdrojový kód ransomwaru Conti poté, co se skupina postavila na stranu Ruska a slíbila odvetu za kybernetické útoky vůči této zemi. Důsledkem zveřejnění informací je dočasný ústup ransomwaru Conti. 

Výjimkou však bylo Mexiko, Japonsko a Indie, kde se pravděpodobnost setkání uživatelů s ransomwarem v 1. čtvrtletí 2022 oproti 4. čtvrtletí 2021 zvýšila o 120 %, 37 % a 34 %.

Podíl Emotetu na trhu se zdvojnásobil, TDS šíří škodlivé kampaně

Od minulého čtvrtletí zdvojnásobil svůj tržní podíl botnet Emotet. Zejména v březnu Avast zaznamenal výrazný nárůst pokusů o infikování zařízení a jejich následné zapojení do Emotetu. Kromě toho zjistil, že systém řízení provozu (traffic direction system) s názvem Parrot TDS šíří škodlivé kampaně prostřednictvím 16,5 tisíce infikovaných stránek. Analytici Avastu také ve zprávě popisují, jak v minulých letech útočila jedna z největších sítí typu botnet-as-a-service Meris, tvořená více než 230 tisíci zranitelnými zařízeními MikroTik.

Pokud jde o mobilní zařízení, zločinci mění taktiku šíření adwaru a předplatného prémiových SMS, které jsou stále rozšířenější. Zatímco dříve se k šíření těchto škodlivých aplikací používal obchod Google Play, nyní útočníci využívají vyskakovací okna prohlížeče a oznámení.

Celou zprávu o hrozbách za 1. čtvrtletí 2022 najdete na blogu Avast Decoded: https://decoded.avast.io/threatresearch/avast-q1-2022-threat-report/.