Logo Tiskovec.cz Tiskovec.cz
Zveřejnit tiskovku
ESET··7 min

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

ESET

ESET

ESET spol. s r.o. je slovenská softwarová firma, která se specializuje na kybernetickou bezpečnost. ESET vyvíjí a poskytuje bezpečnostní software ve více než 200 zemích světa. Společnost vznikla formálně v roce 1992 v Bratislavě v Československu, nicméně první antivirový program vyvinuli její později spoluzakladatelé Miroslav Trnka a Peter Paško již v roce 1987. V současnosti je ESET pravidelně oceňován jako nejúspěšnější slovenská firma roku.

Tisková zpráva
  • Bezpečnostní experti ze společnosti ESET vydali nejnovější analýzu současného ekosystému ransomwarových gangů. Zvlášť se zaměřili na skupinu útočníků RansomHub, která funguje v modelu ransomware-as-a-service.
  • Sledováním použití nástrojů, které skupina RansomHub nabízí svým partnerům, objevili vazby mezi gangy RansomHub, Play, Medusa a BianLian.
  • Analýza společnosti ESET dokumentuje také nová zjištění o škodlivých nástrojích pro vypnutí bezpečnostních technologií, jako je EDR (Detekce a reakce na hrozby pro koncová zařízení), včetně toho, jak útočníci takové nástroje používají.

Bezpečnostní experti ze společnosti ESET vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS). Experti v nové analýze sdílí zatím nepublikované informace o organizační struktuře partnerů tohoto gangu. Odkrývají také dosud nezdokumentované spojení mezi tímto gangem a dalšími, již zavedenými ransomwarovými skupinami Play, Medusa a BianLian. Analýza dále nabízí nový pohled na škodlivý kód EDRKillShifter. Jedná se o vlastní nástroj útočníků určený k vypnutí EDR (Detekce a reakce na hrozby pro koncová zařízení). Jak experti zdůrazňují, hrozby v podobě těchto nástrojů jsou v současnosti na vzestupu.

„V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků: Dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent, což je v tomto kontextu ohromující číslo. Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 procent. Velkou část tohoto nárůstu má na svědomí právě RansomHub, nový gang fungující v modelu ransomware-as-a-service. Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům,“ říká Jakub Souček, vedoucí pražského výzkumného týmu společnosti ESET.

„Gang RansomHub se objevil přibližně ve stejné době, kdy se orgánům činným v trestním řízení podařilo v mezinárodní operaci Cronos narušit aktivity gangu LockBit. Dynamicky se proměňující ransomwarové prostředí samozřejmě není dobrou zprávou pro firmy a instituce, které se této neustále přítomné hrozbě musí přizpůsobovat, zvlášť pokud spadají do oblasti kritické infrastruktury. Reakci lze vidět i v legislativní oblasti, kde v České republice na boj s touto hrozbou klade důraz například i nový Zákon o kybernetické bezpečnosti,“ dodává Souček.

RansomHub vyvinul vlastní nástroj k obcházení bezpečnostního řešení

Stejně jako jakýkoli jiný vznikající gang, i RansomHub potřeboval přilákat partnery, kteří si pronajmou služby ransomwaru od jeho operátorů. Počáteční inzerát útočníci zveřejnili na rusky mluvícím fóru RAMP začátkem února 2024, osm dní před zveřejněním prvních obětí. Gang RansomHub zakazuje provádět útoky na země postsovětského Společenství nezávislých států, Kubu, Severní Koreu nebo Čínu. Zajímavostí je také to, že gang láká partnery s příslibem, že si mohou ponechat ve svých peněženkách většinu platby (až 90 %) za výkupné od napadených obětí. O zbylých 10 procent z výkupného se pak musí partneři podělit s operátory. Právě důvěra operátorů v partnery, že jim tuto částku skutečně pošlou, je v prostředí ransomwarových gangů unikátní.

V květnu 2024 pak operátoři gangu RansomHub významným způsobem aktualizovali podobu útoku: přidali svůj vlastní nástroj k vypnutí technologie EDR. Cílem tohoto speciálního typu škodlivého kódu je ukončit, zmást nebo obejít bezpečností software, který má oběť nainstalovaný ve svém systému. Dochází k tomu obvykle prostřednictvím zranitelného ovladače.

Nástroj k zneškodnění EDR s názvem EDRKillShifter gang RansomHub sám vyvinul, spravuje ho a nabízí k použití svým partnerům. Funkčně se jedná o typickou technologii ke zneškodnění EDR v rámci široké škály různých bezpečnostních řešení, na které útočníci předpokládají, že narazí při pokusu o proniknutí do sítí svých obětí.

„Rozhodnutí implementovat takovou technologii a nabídnout ji partnerům jako součást programu RaaS je vzácné. Partneři musí obvykle sami najít způsoby, jak bezpečnostní řešení obejít. Někteří používají již existující nástroje, zatímco více technicky zaměření útočníci si takové nástroje dále upravují pro vlastní potřeby. Někteří mohou využít i nástroje, které jsou jako služby dostupné na dark webu. Zaznamenali jsme prudký nárůst využívání nástroje EDRKillShifter, a to nejen v případě útoků gangu RansomHub,“ vysvětluje Souček z ESETu.

Bezpečnostní experti z ESETu zjistili, že partneři gangu RansomHub pracují pro tři další soupeřící gangy — Play, Medusa a BianLian. Odhalení spojení mezi gangy RansomHub a Medusa není překvapivé, protože je obecně známo, že partneři z ransomwarového prostředí často pracují pro více operátorů současně. Na druhou stranu je ale nepravděpodobné, že by si gangy Play a BianLian najaly stejného partnera gangu RansomHub, a to kvůli uzavřené povaze těchto skupin útočníků. Je to ale jedno z možných vysvětlení, proč mají gangy Play a BianLian přístup ke škodlivému kódu EDRKillShifter. Daleko pravděpodobnější je nicméně scénář, ve kterém důvěryhodní členové gangů Play a BianLian spolupracují s rivaly, dokonce i s nově vzniklými jako RansomHub, a pak používají jejich nástroje pro své vlastní útoky. Ransomwarový gang Play je také spojován se skupinou Andariel, která je napojena na Severní Koreu.

Více informací

Více informací a technických podrobností o gangu RansomHub a technologii EDRKillShifter najdete v článku na webu welivesecurity.com.

Více informací o útocích a o aktuálním dění na ransomwarové scéně můžete najít mezi našimi tiskovými zprávami anebo na stránkách magazínu o kybernetické bezpečnosti pro firmy Digital Security Guide.

Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET, v podcastu TruePositive a na našich sociálních sítích Facebook, Instagram, LinkedIn a X.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio řešení od ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři výzkumná a vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Zdroj: www.eset.com

Další články

Další články od ESET

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

Bezpečnostní experti ze společnosti ESET vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS). Experti v nové analýze sdílí zatím nepublikované informace o organizační struktuře partnerů tohoto gangu. Odkrývají také dosud nezdokumentované spojení mezi tímto gangem a dalšími, již zavedenými ransomwarovými skupinami Play, Medusa a BianLian. Analýza dále nabízí nový pohled na škodlivý kód EDRKillShifter. Jedná se o vlastní nástroj útočníků určený k vypnutí EDR (Detekce a reakce na hrozby pro koncová zařízení). Jak experti zdůrazňují, hrozby v podobě těchto nástrojů jsou v současnosti na vzestupu.
| ESET
ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

Společnost ESET, přední světový poskytovatel řešení v oblasti kybernetické bezpečnosti, aktualizovala svou platformu ESET PROTECT, která je součástí nabídky pro zákazníky z řad firem, organizací a institucí. Aktualizovaná nabídka nově obsahuje funkci Obnova po útoku ransomwarem. ESET tak svým zákazníkům poskytne nový způsob řešení této globální kybernetické hrozby. Mimo to aktualizace obsahuje také nové funkcionality pro řešení ESET Cloud Office Security s cílem posílit zabezpečení e-mailové komunikace – ochranu proti spoofingu (technika, při které se útočníci vydávají za jinou osobu nebo zařízení) a před útoky využívajícími tzv. homoglyfy (znaky, které pochází z jiných abeced, ale jsou zaměnitelné s latinským písmem). Aktualizace přináší vylepšení stability a výkonu také pro AI asistenta ESET AI Advisor.
| ESET
Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Také únorová statistika kybernetických hrozeb potvrdila, že adware Andreed má zatím dobře nakročeno stát se i letos hlavním kybernetickým rizikem pro platformu Android. Vyplývá to z pravidelné analýzy detekčních dat pro tuto platformu v zemích EU od společnosti ESET. Skladba a pořadí nejčastěji detekovaných škodlivých kódů se zatím nemění, útočníci se však v případě trojského koně Agent.GKE rozhodli vyzkoušet novou strategii. Škodlivý kód v únoru maskovali za falešnou modifikaci k získání placené služby Spotify Premium. Desetina všech zachycených případů v Evropě se týkala také České republiky. Bezpečnostní experti varují, že s tím, jak uživatelé a uživatelky hledají cesty k úspoře svých peněz a poohlížejí se po možnostech jak obcházet standardní poplatky u aplikací, může počet případů škodlivého kódu dále růst.
| ESET
ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

Nejčastějším škodlivým kódem pro operační systém Windows v Česku byl v únoru infostealer Agent.AES. Bezpečnostní experti jej detekovali ve čtvrtině všech zachycených případů. V bezpečnostní komunitě je tento malware známý také jako Snake Keylogger, který zaznamenává stisky kláves na klávesnici napadeného počítače. Jak však bezpečnostní experti varují, Snake Keylogger dokáže také odcizit přihlašovací údaje, hesla a uživatelská data stejně jako řada dalších infostealerů. Posilování tohoto škodlivého kódu potvrzuje očekávání expertů, kteří jej označují za jednoho z možných nástupců slábnoucího spywaru Agent Tesla. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro operační systém Windows v České republice od společnosti ESET.
| ESET
Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Nejčastěji detekovaným škodlivým kódem pro platformu Android zůstal v lednu adware Andreed. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET. Stejným rizikem jako pro Českou republiku je také pro uživatele a uživatelky v Německu nebo ve Švédsku. V lednu jej útočníci nejvíce šířili prostřednictvím nebezpečných verzí her Vector, Spider Solitaire či Bike Race Pro. Kromě škodlivého kódu Agent.GKE, který se vydával například za Spotify, Minecraft či aplikaci Flightradar, na sebe v lednu upozornil i trojský kůň Agent.EQD. Útočníci jej šířili jako falešnou VPN aplikaci a jeho úkolem bylo zapojit napadené uživatele do DDoS útoku.
| ESET
ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

Výzkumní analytici kyberbezpečnostní společnosti ESET nově popsali aktivity skupiny útočníků, kterou nazvali DeceptiveDevelopment. Útočníci se v těchto případech vydávají za náboráře a své oběti z řad vývojářů softwaru lákají na falešné pracovní nabídky. Obětem se snaží „podstrčit“ soubory s projektem k vypracování v rámci domnělého výběrového řízení, ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí. Aktivity skupiny se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně s účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.
| ESET
ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

Na základě lednové statistiky kybernetických hrozeb pro operační systém Windows v Česku opět stoupla aktivita škodlivých kódů Formbook a Agent.AES. Oba jsou přitom v posledních měsících v bezpečnostní komunitě skloňovány jako pokračovatelé a nástupci spywaru Agent Tesla, jehož detekční čísla nadále klesají. V lednu se v Česku objevovaly spíše globálně cílené kampaně a české překlady názvů nebezpečných e-mailových příloh byly spíše výjimkou. Vyplývá to z detekčních dat společnosti ESET. Bezpečnostní experti kromě profesionální ochrany v podobě moderního bezpečnostního řešení doporučují pečlivě kontrolovat přípony názvů příloh v e-mailové komunikaci. Uživatele mohou upozornit na to, že otevírají nějaký spustitelný soubor, a ne dokument ve formátu PDF či soubor programu MS Word nebo Excel.
| ESET
Průzkum ESET: Třetina Čechů nemá přehled o obsahu smartphonu, pětina si není jistá jeho zabezpečením

Průzkum ESET: Třetina Čechů nemá přehled o obsahu smartphonu, pětina si není jistá jeho zabezpečením

Třetina českých uživatelů a uživatelek nemá přehled o nainstalovaných aplikacích ve svém chytrém telefonu a pětina z nich nijak neomezuje jejich oprávnění. Vyplývá to z nového průzkumu společnosti ESET. Bezpečnostní řešení pro ochranu svých dat využívá necelá polovina dotázaných. Pětina přitom vůbec netuší, zda je takový program v jejich mobilních telefonech nainstalovaný. Nejčastěji se při stahování aplikací setkáváme s jejich nefunkčností a s příliš velkým množstvím reklam. I škodlivá reklama přitom může podle kyberbezpečnostních expertů představovat rizika pro naše soukromí a data.
| ESET
Michal Červenka marketingovým ředitelem české pobočky ESET

Michal Červenka marketingovým ředitelem české pobočky ESET

Novým ředitelem marketingu v české pobočce společnosti ESET, předního poskytovatele kyberbezpečnostních řešení pro firmy a domácnosti, se stal Michal Červenka. Ze své pozice bude zodpovědný za marketingovou komunikaci, podporu online i offline prodejních kanálů či Public Relations a vedení jednotlivých týmů marketingového oddělení společnosti ESET v Praze.
| ESET
Hrozby pro Android: Útočníci ví, že se chceme bavit – koncem roku vsadili na falešné Spotify a Amazon Prime Video

Hrozby pro Android: Útočníci ví, že se chceme bavit – koncem roku vsadili na falešné Spotify a Amazon Prime Video

Prosincová statistika nejčastějších kybernetických hrozeb nepřinesla žádné větší zvraty a s největším počtem detekcí bezpečnostní experti opět zachytili adware Andreed. Od listopadu pak mírně posílil trojský kůň Agent.GKE a do třetice se v Česku nejvíce vyskytoval škodlivý kód FakeApp.AHS. Škodlivé kódy tentokrát nejvíce šířily hry doplněné falešnou aplikací Spotify a Amazon Prime Video. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v České republice od společnosti ESET.
| ESET