Meow prodává ukradená data dalším kyberzločincům

RansomHub si upevnil pozici hlavní ransomwarové skupiny, na což upozornily také FBI, CISA, MS-ISAC a HHS. Tento ransomware jako služba používá sofistikované šifrovací techniky a agresivně se zaměřil na systémy napříč prostředími Windows, macOS, Linux a zejména VMware ESXi.

Velmi nebezpečnou hrozbou byl v srpnu ransomware Meow, který je variantou uniklého ransomwaru nechvalně známé ruské skupiny Conti. „Skupina Meow se nově místo šifrování dat zaměřila na krádeže cenných informací a jejich prodej kyberzločincům. Jedná se o zajímavý odklon od tradiční vyděračské taktiky. Zatím není jasné, jestli se jedná o ziskový krok, nebo jde jen o marketingový tah, který má skupinu odlišit od dalších kyberzločinců. Na speciálních stránkách zveřejňují vzorky ukradených dat, od obchodních smluv až po osobní doklady, a ceny se pohybují od 5 000 do 12 000 dolarů v případě více zájemců, v případě jednoho kupce se cena pohybuje kolem 24 000 dolarů. U několika málo obětí je cena ještě vyšší a může se pohybovat až ve stovkách tisíc dolarů,“ upozorňuje Peter Kovalčík, regionální ředitel, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu posunula o 1 příčku mezi bezpečnější země, nově jí patří 49. pozice. Naopak mezi nebezpečnější země se lehce posunulo Slovensko, v srpnu se umístilo na 89. příčce, což je změna o 2 místa. Mezi nebezpečné země se nejvíce posunulo Pobřeží slonoviny, o 61 míst až na 36. pozici, a Srí Lanka, o 55 míst na 25. příčku. První, tedy nejnebezpečnější, pozici obsadila Etiopie.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a zdravotnictví.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vládl v srpnu znovu nebezpečný downloader FakeUpdates, který měl dopad na 8 % společností po celém světě. Následovaly malwary Androxgh0st a Phorpiex.

1. ↔ FakeUpdates – FakeUpdates (nebo také SocGholish) je downloader napsaný v jazyce JavaScript. FakeUpdates šíří další malware, včetně GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult.
2. ↔ Androxgh0st – Androxgh0st je botnet zaměřený na platformy Windows, Mac a Linux. Pro infikování zařízení využívá několik zranitelností a zaměřuje se hlavně na PHPUnit, Laravel Framework a Apache Web Server. Krade citlivé informace, jako jsou informace o účtu Twilio, SMTP přihlašovací údaje, AWS klíče a podobně. Ke sbírání požadovaných informací používá soubory Laravel. Navíc má různé varianty, které vyhledávají různé informace.
3. ↑ Phorpiex – Phorpiex je botnet, který šíří další malware prostřednictvím spamových kampaní a je také používán v kampaních zaměřených na sexuální vydírání.

Top 3 – mobilní malware:

Bankovní trojan Joker byl v srpnu nejčastěji použitým malwarem k útokům na mobilní zařízení, následovaly mobilní malwary Anubis a Hydra.

1. ↔ Joker – Spyware pro Android ukrývající se například v aplikacích na Google Play. Dokáže krást SMS zprávy, kontakty a informace o zařízení. Navíc v tichosti přihlásí oběť k prémiovým službám na reklamních webových stránkách.

1. ↔ Anubis – Bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových funkcí. Byl odhalen už ve stovkách různých aplikací, dostupných v obchodě Google.

3. ↑ Hydra – Bankovní trojan určený ke krádeži bankovních přihlašovacích údajů, který po obětech požaduje povolení nebezpečných oprávnění a přístupů při každém vstupu do jakékoli bankovní aplikace.

Top 3 – ransomwarové skupiny:

Check Point analyzoval ransomwarové „stránky hanby“, které provozují ransomwarové skupiny využívající techniku dvojitého vydírání. Kyberzločinci je používají k zesílení tlaku na oběti, které okamžitě nezaplatí výkupné. Data sice mohou poskytovat trochu zkreslený pohled, přesto se jedná o velmi cenné informace o ransomwarovém ekosystému, který je pro organizace po celém světě aktuálně hrozbou číslo jedna.

Nejrozšířenější ransomwarovou skupinou byl v srpnu RansomHub, který byl zodpovědný za 15 % zveřejněných útoků. Skupina Meow měla na svědomí 9 % zveřejněných ransomwarových útoků a Lockbit3 na třetím místě 8 %.

1. ↔ RansomHub – RansomHub je ransomware jako služba (RaaS), který vznikl jako rebrandovaná verze dříve známého ransomwaru Knight. RansomHub se objevil začátkem roku 2024 na undergroundových fórech a rychle se proslavil svými agresivními kampaněmi zaměřenými na různé systémy, včetně Windows, macOS, Linuxu a zejména prostředí VMware ESXi. Známý je také kvůli použití sofistikovaných šifrovacích metod.
2. ↑ Meow – Meow je varianta ransomwaru Conti. Na infikovaných systémech šifruje data a připojuje k nim příponu .MEOW. Žádost o výkupné nechává v souboru readme.txt, kde jsou instrukce, že oběti mají kontaktovat útočníky e-mailem nebo přes Telegram, kde se dohodnou na platbě výkupného.
3. ↓ Lockbit3 – Ransomware jako služba, který byl poprvé odhalen v září 2019. LockBit se zaměřuje na velké organizace a vládní subjekty z různých zemí. Naopak necílí na jednotlivce v Rusku nebo Společenství nezávislých států.

„Analyzovali jsme i malware útočící na podnikové sítě v České republice. Nejvýraznější hrozbou je botnet Androxgh0st, vzestup botnetů potvrzuje i na druhém místě Phorpiex,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Organizace musí přehodnotit svůj přístup k bezpečnosti a zaměřit se na prevenci, pouhá detekce už dávno nestačí, protože počty kyberútoků neustále boří další a další rekordy.“