Avast: Kyberválka mezi Ruskem a Ukrajinou ovládla hrozby v 1. čtvrtletí roku

Avast, který je globálním lídrem v oblasti digitální bezpečnosti a ochrany soukromí, zveřejnil svou zprávu o hrozbách za 1. čtvrtletí 2022, která odhaluje kybernetické hrozby související s válkou mezi Ruskem a Ukrajinou. Nejnovější zpráva se zabývá proruskou skupinou pokročilých trvalých hrozeb (APT), Gamaredon, která útočí na uživatele na Ukrajině. Popisuje nástroje k zahlcovacím útokům (DDoS), které tito útočníci cíleně používají proti ruským webům a také ransomwarové útoky zaměřené na ukrajinské firmy. Kromě toho válka ve fyzickém prostoru ovlivnila i kybergangy, což způsobilo mírný pokles ransomwaru a dočasné ukončení činnosti nástroje pro krádež informací Raccoon Stealer.

Kybernetická válka: Ukrajina a Rusko

„Často vidíme paralely mezi tím, co se děje v reálném světě a v kybersvětě, pokud jde o způsob šíření hrozeb a jejich cíle. V prvním čtvrtletí roku 2022 jsme zaznamenali výrazný nárůst útoků konkrétních typů malwaru v zemích zapojených do války. Ve srovnání s předcházejícím kvartálem narostl počet útoků trojských koní pro vzdálený přístup (RAT) o  50 %. O více než 20 % vzrostl počet  útoků malwaru pro krádež dat, které jsme zablokovali na Ukrajině, v Rusku a Bělorusku. Ty mohli útočníci použít ke sběru informací nebo špionáži,“ říká ředitel výzkumu malwaru v Avastu Jakub Křoustek. „V Rusku jsme také zablokovali o 30 % více pokusů o infikování nových zařízení a jejich připojení do botnetů, jejichž cílem je vytvořit armády zařízení, která mohou provádět útoky DDoS na média a další kritické webové stránky a infrastrukturu. Na Ukrajině jsme těchto pokusů zaznamenali o 15 % více. Na druhou stranu jsme v Rusku a na Ukrajině pozorovali o 50 % méně útoků adwaru, což může být způsobeno tím, že zejména na Ukrajině nyní používá internet méně lidí.“

Zdroj: Pixabay

Těsně před začátkem války zaznamenaly virové laboratoře Avast Threat Labs několik kybernetických útoků, za nimiž pravděpodobně stály ruské APT skupiny. Jedna z nich, Gamaredon, na konci února výrazně zvýšila aktivitu. Svůj malware šířila na širokou cílovou skupinu, včetně běžných uživatelů, a vyhledávala potenciální oběti pro špionáž. Ransomware s názvem HermeticRansom, pro který Avast vydal dešifrovací nástroj, pravděpodobně také šířila APT skupina.

Analytici Avastu také sledovali nástroje k útokům DDoS na ruské webové stránky propagované tzv. hacktivistickými komunitami. Objevili webové stránky, například i s předpovědí počasí, které obsahovaly kód, jenž dokázal tyto útoky prostřednictvím prohlížeče návštěvníků provést i bez jejich souhlasu. Jejich počet ke konci čtvrtletí poklesl. Součástí jedné březnové DDoS kampaně, do které byla zapojena také ransomwarová skupina Sodinokibi (REvil), byl i botnet prodávaný jako služba. Kromě toho autoři malwaru využili válku k šíření škodlivého softwaru, jako jsou trojské koně pro vzdálený přístup (RAT), prostřednictvím e-mailů se škodlivými přílohami, které údajně obsahovaly důležité informace o válce. Válka přímo ovlivňuje autory a provozovatele malwaru. Kvůli údajné smrti hlavního vývojáře softwaru Raccoon Stealer dočasně ukončil tento malware pro krádež informací svou činnost.

Virové laboratoře Avast Threat Labs také v 1. čtvrtletí 2022 zaznamenaly mírný pokles ransomwarových útoků po celém světě, a to o 7 % ve srovnání se 4. čtvrtletím 2021, což pravděpodobně způsobila válka na Ukrajině, odkud působí mnoho provozovatelů a uživatelů ransomwaru. Díky tomu se počet těchto typů útoků již druhé čtvrtletí snižuje, byť ve 4. čtvrtletí 2021 pokles způsobila hlavně spolupráce států, vládních organizací a dodavatelů bezpečnostních řešení, jimž se povedlo dopadnout některé autory a provozovatele ransomwaru. Dalšími příčinami poklesu mohlo být i únorové ukončení činnosti jedné z nejaktivnějších a nejúspěšnějších ransomwarových skupin, Maze, a rovněž pokračující trend, kdy se tyto vyděračské gangy zaměřují spíše na velké cíle (tzv. big game hunting) než na běžné uživatele prostřednictvím techniky „spray and pray“.

Válka způsobila i rozkol v ransomwarovém gangu Conti, když ukrajinský analytik zveřejnil interní soubory skupiny a zdrojový kód ransomwaru Conti poté, co se skupina postavila na stranu Ruska a slíbila odvetu za kybernetické útoky vůči této zemi. Důsledkem zveřejnění informací je dočasný ústup ransomwaru Conti. Výjimkou však bylo Mexiko, Japonsko a Indie, kde se pravděpodobnost setkání uživatelů s ransomwarem v 1. čtvrtletí 2022 oproti 4. čtvrtletí 2021 zvýšila o 120 %, 37 % a 34 %.

Podíl Emotetu na trhu se zdvojnásobil, TDS šíří škodlivé kampaně. Od minulého čtvrtletí zdvojnásobil svůj tržní podíl botnet Emotet. Zejména v březnu Avast zaznamenal výrazný nárůst pokusů o infikování zařízení a jejich následné zapojení do Emotetu. Kromě toho zjistil, že systém řízení provozu (traffic direction system) s názvem Parrot TDS šíří škodlivé kampaně prostřednictvím 165 tisíc infikovaných stránek. Analytici Avastu také ve zprávě popisují, jak v minulých letech útočila jedna z největších sítí typu botnet-as-a-service Meris, tvořená více než 230 tisíci zranitelnými zařízeními MikroTik.

Pokud jde o mobilní zařízení, zločinci mění taktiku šíření adwaru a předplatného prémiových SMS, které jsou stále rozšířenější. Zatímco dříve se k šíření těchto škodlivých aplikací používal obchod Google Play, nyní útočníci využívají vyskakovací okna prohlížeče a oznámení.

Zdroj: Tisková zpráva

Domů » Články » Avast: Kyberválka mezi Ruskem a Ukrajinou ovládla hrozby v 1. čtvrtletí roku

Jakub Sobotka

Působí v IT a svět IT a mobilních technologií byly vždy jeho vášní. Ve volném čase rád sportuje, čte, nebo se toulá přírodou. Ač uživatel Apple platformy, velmi dobře si rozumí i s Androidem.