Jako každý měsíc i v květnu jsme pečlivě monitorovali kybernetické hrozby v České republice. Za 43 % útoků stojí trojské koně, které útočí na uživatelská hesla.
Již další měsíc výrazně přibylo detekcí trojského koně Spy.Agent.AES. V květnu stál celkově za třetinou detekcí v České republice. Za vysokým podílem na detekcích stojí řada faktorů. Tento malware byl na začátku roku na ústupu. Jeho vývojáři patrně pracovali na nové útočné kampani. Dalším faktorem je to, že se někteří útočníci během pandemie stáhli do ústraní.
Spy.Agent.AES má za cíl získávat hesla z prohlížečů, dále hesla k e-mailovým a FTP klientům a ke komunikačním (chatovacím) službám. Šířil se zejména spamem. Samotný zdroj, e-mail, byl v češtině a měl vyvolat dojem legitimní zprávy. Infikovaná byla jeho příloha. V květnu mohli uživatelé stáhnout například v příloze s názvem „Informace_o_platbě.exe“.
Útočníci zpravidla tvoří databáze e-mailových adres a hesel, které mají na černém trhu značnou cenu.
Malware lze koupit už připravený k útoku
Na hesla cílila i druhá nejčastější hrozba – trojský kůň FormBook. Tento malware měl navíc funkci pro záznam stisknutých kláves.
FormBook se prodává na tzv. darknetu (tedy online černém trhu). Útočník, který není technicky zdatný, nemusí nic programovat. Koupí si kód a místo na serveru vývojáře, kam se odesílají ukradená data.
Podobně jako Spy.Agent.AES se šíří i FormBook v přílohách podvodných e-mailů. V květnu byl nejaktivnější v Japonsku, na Tchaj-wanu a v České republice. Takto neobvyklé geografické rozložení útoků potvrzuje, že si útok zakoupili útočníci z různých kultur. To nebývá běžné.
Útoky v pracovních mailech
Na třetí příčce s výrazným odstupem skončil backdoor Adwind. Také tento malware se šíří v e-mailech, respektive ve škodlivých přílohách. Tento však imitoval především pracovní korespondenci.
Je-li Adwind aktivní, může odcizit data o uživateli nebo stahovat další škodlivý kód. Adwind je specifický tím, že napadá různé operační systémy bez rozdílu. Podle expertů se tvůrci malware spíše zaměřují na jeden konkrétní operační systém a podle toho upravují škodlivý kód.
Nejčastější kybernetické hrozby v České republice za květen 2020:
- Trojan.MSIL/Spy.Agent.AES (33,77 %)
- Trojan.Win32/Formbook (8,80 %)
- Backdoor.Java/Adwind (2,24 %)
- Trojan.Win32/PSW.Fareit (2,23 %)
- Trojan.VBA/Agent.NA (1,82 %)
- Trojan.Win32/HackTool.Equation (1,66 %)
- Backdoor.MSIL/NanoCore (1,05 %)
- Win32/Ramnit (0,98 %)
- Trojan.MSIL/Bladabindi (0,95 %)
- Trojan.MSIL/Spy.Agent.AUS (0,88 %)