Koronavirus je zlatý důl pro hackery, ti se zároveň vracejí k ransomwaru

4. 5. 2020

Sdílet

 Autor: Check Point
Doslova záplavu koronovirového malwaru zaznamenali výzkumníci společnosti Check Point. Zaregistrovali téměř 70 tisíc domén, které jsou spojené s onemocněním Covid-19, a více než 4 000 domén, jež souvisejí s "koronavirovými" kompenzačními bonusy a stimulačními balíčky.

Jejich registrace začaly stoupat teprve začátkem března, tedy v době, kdy se problém začal stupňovat v Evropě, přičemž maximum zaznamenaly v polovině března.

Počet ataků naopak stále stoupá. Experti Check Pointu tvrdí, že v současnosti průměrně každý den proběhne 14 000 „koronavirových" kyberútoků, což je šestkrát více než byl denní průměr v předchozích 2 týdnech.

Zhruba 94 % "koronavirových" útoků během posledních 2 týdnů byl formou phishingu, ve třech  procentech se jednalo o mobilní útoky. Množí se také zneužívání populárních konferenčních služeb, jako je třeba Zoom, jejichž použití výrazně stouplo s tím, jak začali lidé pracovat z domova.

Phishingové útoky se ale zdaleka netýkaly jen koronaviru – tyto útoky poslední dobou také hojně zneužívají známé značky. Například v první čtvrtletí tohoto roku šlo především o Apple (10 % všech phishingových pokusů, o čtvrtletí dříve to byly jen 2 %), Netflix (9 %), Yahoo (6 %), WhatsApp (6 %) a  PayPal (5 %), tedy firmy, o nichž se předpokládá vyšší stupeň využití v souvislosti a karanténními opatřeními.

Vzestup je vidět v souvislosti s Covid 19 i u mobilního malwaru. Check Point zaznamenal už v únoru 47 mobilních aplikací (clicker ‘ai.type’ a ‘BearClod) s více než 78 millionů stažení, a také škodlivý kód Haken Clicker, obsažený v 8 aplikacích (50 tisíc stažení).

V březnu pak experti našli malware Tekya Clicker ve 24 dětských hrách a 32 aplikacích typu utility, které dohromady měly více než milion stažení.

Check Point ve spolupráci s agenturou Dimensional Research rovněž uskutečnil analýzu toho, jaký je nárůst bezpečnostních hrozeb nebo útoků od začátku pandemie COVID-19.

Podle ní phishingové útoky stouply  o 55 %,  škodlivé webové stránky s informacemi nebo radami o pandemii  o 32 %, obecný malware o 28 %, ransomware  o 19 %).

Stoupla ale i rizika spojená s prací z domova, často spojená s nutností rychlých změn, které umožní práci na dálku. S riziky tedy souvisí nutnost  zajistit zaměstnancům bezpečný vzdálený přístup, potřeba škálovatelných řešení pro vzdálený přístup či nutnost řešit použití stínových IT řešení zaměstnanci pracujícími z domova.

 

Ransomware a mobilní hrozby

Renesanci dnes zažívají také ransomwarové ataky, o kterých se ještě nedávno mluvilo, že jsou už za zenitem.  Do hry je vrací mj. tzv. dvojí vydírání, kdy se po oběti požadují peníze za odemčení zašifrovaných dat, a také za uniklá data.

Zjevná je aktivita vůči českým organizacím, převážně proti zdravotnickým zařízením. Známé jsou kauzy napadené nemocnice ve městech Benešov, Brno, Kosmonosy, Ostrava, Olomouc, v Pardubickém či Karlovarském kraji. Obětí se staly i firmy jako Povodí Vltavy, Letiště Praha a další.

Výzkumníci zaznamenali i novou generaci mobilního ransomwaru „Black Rose Lucy“, který byl objeven v září 2018. Lucy je MaaS (Malware-as-a-Service) botnet ruského původu a umožňuje stahování dalších škodlivých kódů na zařízeních se systémem Android.

Nyní se po téměř dvou letech Lucy vrací s novými ransomwarovými funkcemi, které umožňují převzít kontrolu nad zařízením, provádět změny a instalovat další škodlivé aplikace.

Check Point odhalil 80 vzorků nové varianty Black Rose Lucy. Hrozba se maskuje za neškodně vypadající aplikace pro přehrávání videí a šíří se hlavně prostřednictvím odkazů na sociálních sítích a v chatovacích aplikacích.

Lucy používá rafinované metody, jak obelstít uživatele a proniknout do zařízení se systémem Android  Šíří se prostřednictvím sociálních sítí a chatovacích aplikací a maskuje se jako aplikace pro přehrávání videa.

Nejprve se snaží přimět uživatele, aby povolil službu Accessibility Service a předstírá, že tak povolí falešnou službu VSO pro optimalizaci streamování videa.

bitcoin školení listopad 24

Pak se udělí administrátorská oprávnění s využitím právě služby Accessibility Service a šifruje soubory v zařízení, přičemž  šifrovací klíč uloží do sdílených předvoleb.

Následně zobrazí výzvu k zaplacení „pokuty“ od FBI a pro zaplacení požaduje informace o kreditní kartě. Poskytnutí informací o platební kartě je přitom velmi netradiční, protože mobilní ransomware obvykle vyžaduje platbu v bitcoinech.