Tiskové zprávy

Avast: Zranitelnost Log4j otevřela ve 4. čtvrtletí 2021 dveře novým útokům, množství ransomwarových a RAT útoků kleslo

Analytici Avastu také zaznamenali rozmach botnetu Emotet, větší množství coinminerů, spywaru, nárůst podvodů s technickou podporou a předplatným aplikací pro Android

Analytici Avastu také zaznamenali rozmach botnetu Emotet, větší množství coinminerů, spywaru, nárůst podvodů s technickou podporou a předplatným aplikací pro Android


Praha, 31. ledna 2022 Avast (LSE:AVST), globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, zveřejnil pravidelný přehled hlavních globálních hrozeb za čtvrté čtvrtletí 2021 (Avast Q4/2021 Threat Report). Zejména v prosinci trápilo bezpečnostní oddělení firem zneužití zranitelnosti Log4j coinminery, trojskými koni pro vzdálený přístup (RAT), botnety, ransomwarem a útoky pokročilých trvalých hrozeb (APT). Analytici také zaznamenali návrat botnetu Emotet a 40% nárůst ve výskytu coinminerů, které představují riziko pro běžné uživatele i firmy. Zvýšilo se i množství adwaru, podvodů s technickou podporou na stolních počítačích, podvodů s předplatným a spywaru na zařízeních na platformě Android, které cílí na běžné uživatele. Naopak ubylo ransomwaru a malwaru typu RAT.

„Máme radost, že vidíme pokles útoků RAT, malwaru ke krádežím dat a ransomwaru. Aktivita RAT utichla i díky svátkům, přičemž kyberzločinci dokonce zašli tak daleko, že zkopírovali trojského koně pro vzdálený přístup DcRat a přejmenovali jej na 'SantaRat',” popisuje ředitel výzkumu hrozeb v Avast Threat Labs Jakub Křoustek a pokračuje: „Snížilo se celkové množství útoků malwaru ke krádežím informací, což pravděpodobně zapříčinil pokles malwaru ke krádežím dat a hesel Fareit, jehož výskyt byl oproti předchozímu čtvrtletí nižší o 61 %. Spoušť, kterou ransomware způsobil v prvních třech čtvrtletích roku 2021, vyvolala koordinovanou spolupráci států a dodavatelů bezpečnostních řešení při pátrání po autorech a provozovatelích ransomwaru, a věříme, že právě to vedlo k výraznému poklesu tohoto typu útoků v posledním čtvrtletí loňského roku. Míra rizika napadení ransomwarem se oproti třetímu čtvrtletí 2021 snížila o působivých 28 %. Doufáme, že tento trend bude pokračovat i v prvních třech měsících nového roku, ale jsme připraveni i na opačnou situaci.“

Firmy ohrožovala zranitelnost Log4j a RAT útoky zneužívající Azure a AWS

Zranitelnost logovací knihovny Log4j se pro firmy ukázala jako extrémně nebezpečná, zejména kvůli rozsahu knihovny a snadné možnosti zneužití. Podle analytiků Avastu ji zneužívali zejména coinminery, malware typu RAT, ransomware, skupiny ATP, ale také různé botnety včetně nechvalně proslulého botnetu Mirai. Většina útoků vedených boty sloužila pouze jako testy, které měly za úkol zranitelnost prověřit. Avast ale zaznamenal také množství pokusů o načtení potenciálně škodlivého kódu. Například některé RAT útoky se šířily právě prostřednictvím této zranitelnosti, mezi ty nejvytrvalejší patřily NanoCore, AsyncRat a Orcus. Prvním ransomwarem, který se pokusil zneužít zranitelnosti Log4j, byl podle analytiků Avastu nepříliš kvalitní ransomware Khonsari.

Kromě Log4j zneužívali kyberzločinci také zranitelnost CVE-2021-40449, kterou používali ke zvýšení oprávnění škodlivých procesů pomocí ovladače jádra systému Windows. Útočníci tuto zranitelnost využívali ke stažení a spuštění RAT útoku MistarySnail. Vysoký počet detekcí útoků NanoCore a AsyncRat způsobila škodlivá kampaň zneužívající poskytovatele cloudových služeb, Microsoft Azure a Amazon Web Service (AWS). V této kampani kyberzločinci využívali služby Azure a AWS jako servery pro stahování svých škodlivých payloadů k útokům na firmy.

Kromě toho analytici Avastu zjistili, že autor botnetu Emotet přepsal některé jeho části, čímž jej opět oživil a zaplavil trh s botnety.

Adware, coinminery a podvody s technickou podporou 

Ve čtvrtém čtvrtletí 2021 se zvýšila aktivita adwaru a rootkitů pro stolní počítače. Analytici  Avastu se domnívají, že tyto trendy souvisejí s rootkitem Cerbu, který se může zmocnit domovské stránky prohlížeče a přesměrovat adresy URL stránek podle konfigurace rootkitu. Cerbu lze snadno nasadit a nakonfigurovat pro adware, který obtěžuje oběti nechtěnými reklamami a je schopen přidat do počítače obětí zadní vrátka.

Stejně jako vzrostla cena bitcoinu na konci roku 2021  navýšil se o 40 % i počet coinminerů šířících se často prostřednictvím infikovaných webových stránek a pirátského softwaru. Jedním z převládajících coinminerů aktivních po celé uplynulé čtvrtletí byl CoinHelper, který se většinou zaměřoval na uživatele v Rusku a na Ukrajině. Coinminery skrytě zneužívají výpočetní výkon zařízení k těžbě kryptoměn, což může vést k vysokým účtům za elektřinu a ovlivnit životnost hardwaru. Kromě toho CoinHelper shromažďuje různé informace o svých obětech, včetně jejich zeměpisné polohy, nainstalovaného antivirového řešení a používaného hardwaru. Přestože coinminery těžily různé kryptoměny včetně etherea a bitcoinu, v analýze Avastu vyniklo zejména monero. Monero je navrženo tak, aby bylo anonymní, nicméně nesprávné použití adres a mechanika fungování těžebních poolů umožnily analytikům získat hlubší vhled do procesu, jakým ho útočníci těžili. Zjistili, že celkový peněžní zisk z coinmineru CoinHelper činil k 29. listopadu 2021 339 694,86 amerických dolarů. V prosinci CoinHelper vytěžil dalších zhruba 15 162 XMR, tedy přibližně 3 446,03 amerických dolarů. CoinHelper se stále aktivně šíří, přičemž každý den dokáže vytěžit cca 0,474 XMR.

Analytici Avastu také pozorovali nárůst podvodů s technickou podporou. Jde o velmi lukrativní byznys, kdy útočníci přes telefon přesvědčují uživatele, že mají technický problém se svým zařízením, a donutí je zaplatit vysoké částky za „opravu“. Důvěřiví uživatelé tak mnohdy na dálku útočníkům poskytnou vzdálený přístup do svých zařízení či systému, čehož útočník může dál zneužít a instalovat malware či nechtěné programy, které mohou krást osobní data či doopravdy poškozovat zařízení.

Mobilní zařízení: Podvody s předplatným prémiových SMS a spyware kradoucí přihlašovací údaje k Facebooku

Laboratoře Avast Threat Labs ve své zprávě upozorňují na dvě mobilní hrozby: UltimaSMS a Facestealer. 

UltimaSMS, podvod s předplatným prémiových SMS, se znovu objevil v posledních několika měsících. V říjnu byly v Obchodě Play k dispozici aplikace z podvodné kampaně UltimaSMS, které napodobovaly legitimní aplikace a hry a často zobrazovaly chytlavé reklamy. Po stažení vyzývaly uživatele k zadání telefonního čísla, aby získal k aplikaci přístup. Tím se uživatelé přihlásili k prémiové službě SMS, která může stát až 10 dolarů týdně. Aktéři stojící za UltimaSMS hojně využívali k propagaci svých aplikací sociální sítě a díky tomu dosáhli přes 10 milionů stažení.

Při několika příležitostech se ve čtvrtém čtvrtletí 2021 znovu objevil Facestealer, spyware určený ke krádeži přihlašovacích údajů na Facebooku. Maskoval se za editory fotografií, horoskopy, fitness aplikace a další. Po určité době používání aplikace vyzývá uživatele, aby se přihlásil ke službě Facebook, aby mohl aplikaci dále používat, a to bez reklam.

Podrobnější informace naleznete v úplné zprávě Avast Q4/2021 Threat Report: https://decoded.avast.io/threatresearch/avast-q4-21-threat-report/. Zpráva je rozdělena do dvou částí – desktopové, která informuje o hlavních rizicích pro systémy Windows, Linux a MacOS, a mobilní, která shrnuje hrozby pro Android a iOS.