Nejčastější hrozbou byl v dubnu v České republice malware Spy.Agent.AES a to navzdory tomu, že jeho přítomnost od začátku roku postupně oslabovala. Souhra okolností v podobě oslabení výskytu dalších rodin malware a vlivu karantény na změnu v pracovních procesech, stál tento škodlivý kód za čtvrtinou útoků v České republice.

„Na tomto příkladu je názorně vidět, jak útočníci často fungují. S největší pravděpodobností se na začátku roku soustředili na přípravu výrazné kampaně plánované na velikonoční svátky. Je poměrně běžné, že se na několik týdnů až měsíců odmlčí a vylepšují svůj škodlivý kód,“ vysvětluje Martin Jirkal, vedoucí analytického oddělení v české pobočce firmy ESET.

Útočná kampaň Spy.Agent.AES využívala česky psaných spamových e-mailů. Malware se skrýval v příloze s názvem „kopie platby09886673.exe“. Po svém spuštění dokážou útočníci prostřednictvím tohoto škodlivého kódu získat hesla uložená v prohlížečích, dále hesla k e-mailovým a FTP klientům a ke komunikačním (chatovacím) službám. 

Nárůst detekcí škodlivého kódu Spy.Agent.AES je ale výjimkou, přítomnost většiny typů malware nyní naopak oslabuje. Důvodem je pravděpodobně celosvětová pandemie COVID-19.

„Z dostupných informací a našich dat usuzujeme, že útočníci nyní revidují své kódy a připravují se na konec krize. Toto tvrzení podporuje i vyjádření některých autorů ransomware pro média, že během pandemie nebudou útočit vůbec,“ popisuje chování útočníků Jirkal. 

Zadní vrátka a trojský kůň

S výrazným odstupem skončil na druhém místě backdoor Rescoms. Ten napadá operační systém Windows. Je-li aktivní, dokáže například mazat soubory, stahovat a spouštět soubory, včetně dalšího malware. 

„Útočníci prostřednictvím škodlivého kódu rovněž mohou modifikovat nastavení systému, zaznamenat údery kláves a odcizit tak citlivé údaje. Tento malware se pohybuje od začátku roku okolo 3% podílu na detekcích, s výjimkou března, kdy oslabil na polovinu. Nepředpokládáme, že by tento malware výrazněji rostl. Rescoms se šíří taktéž e-mailem, a to v přílohách, které útočníci vydávají za faktury,“ vysvětluje Jirkal z ESETu.

Třetí nejčastější hrozbou byl trojský kůň Bladabindi. I tento malware má za úkol získávat od uživatele infikovaného zařízení citlivé údaje a hesla. Některé varianty dokážou také instalovat další malware. Bladabindi obsahuje funkci keyloggeru, sleduje tedy stištěné klávesy. Šíří se nejčastěji z infikovaných stránek nebo jej instalují jiné škodlivé kódy.

Nejčastěji se malware šíří e-mailem

E-mail je obecně po celém světě nejběžnějším nástrojem k šíření škodlivého kódu. Experti proto apelují na uživatele, aby byli opatrní při otevírání příloh ve své e-mailové schránce.

„Obvykle se jedná o nějaký zdánlivě běžný dokument, jakým může být faktura či avízo od logistické společnosti, popř. spustitelný soubor s dvojitou koncovkou tvářící se jako dokument. Typickým chováním v případě MS Office dokumentů je při jejich spuštění požadavek na spuštění maker či povolení úprav. Pokud tak učiníte, malware dostane možnost se spustit. Doporučil bych proto si všechny nestandardní e-maily před jejich otevřením nejdříve pečlivě prověřit, obzvláště nyní, kdy řada uživatelů pracuje ze svých domovů,“ radí Jirkal.

Nejčastější kybernetické hrozby v České republice za duben 2020

    1. Trojan.MSIL/Spy.Agent.AES (26,91 %)
    2. Backdoor.Win32/Rescoms (3,10 %)
    3. Trojan.MSIL/Bladabindi (2,32 %)
    4. Trojan.Win32/PSW.Fareit (2,19  %)
    5. Backdoor.MSIL/NanoCore (2,15 %)
    6. Backdoor.Java/Adwind (1,62 %)
    7. Trojan.MSIL/Spy.Agent.AUS (1,44 %)
    8. Trojan.Win32/Formbook (1,35 %)
    9. Win32/Floxif (1,29 %)
    10. Win32/Neshta (1,12 %)