Logo Tiskovec.cz Tiskovec.cz
Zveřejnit tiskovku
ESET··10 min

ESET: Ruské kybernetické útoky na Ukrajinu zesilují, útočníci nasadili nový ničivý wiper a zneužívají zranitelnosti

ESET

ESET

ESET spol. s r.o. je slovenská softwarová firma, která se specializuje na kybernetickou bezpečnost. ESET vyvíjí a poskytuje bezpečnostní software ve více než 200 zemích světa. Společnost vznikla formálně v roce 1992 v Bratislavě v Československu, nicméně první antivirový program vyvinuli její později spoluzakladatelé Miroslav Trnka a Peter Paško již v roce 1987. V současnosti je ESET pravidelně oceňován jako nejúspěšnější slovenská firma roku.

Tisková zpráva
  • Společnost ESET zveřejnila svou nejnovější zprávu APT Activity Report o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby (APT) za období od října 2024 do března 2025.
  • APT skupiny z Ruska zesílily útoky proti Ukrajině a zemím EU. Zneužívaly zranitelnosti typu zero-day a nasazovaly destruktivní škodlivé kódy, tzv. wipery.
  • Skupiny napojené na Čínu, jako Mustang Panda a DigitalRecyclers, pokračovaly ve svých špionážních kampaních zaměřených na vlády zemí EU a na subjekty z oblasti námořní dopravy.
  • Skupiny spojované s režimem v Severní Koreji rozšířily své finančně motivované kampaně. Využívají při nich falešné pracovní nabídky a techniky sociálního inženýrství.

Praha, 20. května 2025 — Společnost ESET zveřejnila svou nejnovější zprávu o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby (APT). Jedná se o útočníky obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Během sledovaného období od října 2024 do března 2025 bezpečnostní experti z ESETu zjistili, že útočníci napojení na Rusko, zejména skupiny Sednit a Gamaredon, vedli agresivní kampaně zaměřené primárně na Ukrajinu a země EU. Skupina Sandworm, která je rovněž spojována s Ruskem, zesílila své ničivé operace proti ukrajinským energetickým společnostem a nasadila nový škodlivý kód typu wiper s názvem ZEROLOT. Útočníci napojení na Čínu pokračovali ve svých špionážních aktivitách. Ve sledovaném období se nadále zaměřovali na evropské organizace. Skupiny spojované s režimem v Severní Koreji rozšířily své kampaně, ve kterých využívají techniky sociálního inženýrství a falešné pracovní nabídky.

Kybernetické útoky Ruskem podporovaných skupin útočníků byly nejvíce intenzivní na Ukrajině. Nejaktivnější skupinou zaměřenou na Ukrajinu zůstala Gamaredon. Útočníci z tohoto uskupení vylepšili techniky maskování malwaru, tzv. obfuskaci (úpravy zdrojového kódu s cílem znemožnit jeho analýzu), a představili nástroj PteroBox určený ke krádeži souborů zasílaných přes službu Dropbox.

„APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje. Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET. „Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu. Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny – Group Policy – ve službě Active Directory u postižených organizací,“ dodává Šuman.

Skupina Sednit, známá také pod jmény FancyBear nebo APT28, zdokonalila zneužívání zranitelností ve webmailových službách. Ve sledovaném období tito útočníci rozšířili svou operaci RoundPress z platformy Roundcube i na služby Horde, MDaemon a Zimbra. Bezpečnostní experti z ESETu zjistili, že skupina úspěšně zneužila zero-day zranitelnost v e-mailovém serveru MDaemon (CVE-2024-11182) proti ukrajinským firmám. V několika případech skupina Sednit využila také cílené spearphishingové e-mailové kampaně. Ty jí posloužily jako návnada v útocích na obranné firmy v Bulharsku a na Ukrajině. Další skupina napojená na Rusko, RomCom, prokázala své pokročilé schopnosti tím, že zneužila zranitelnosti ve webovém prohlížeči Mozilla Firefox (CVE-2024-9680) a v operačním systému Microsoft Windows (CVE-2024-49039).

Kybernetické hrozby z Číny a Severní Koreje

Útočníci napojení na Čínu pokračovali ve svých kampaních proti vládním a akademickým institucím. Útočníci s podporou Severní Koreje pak výrazně zintenzivnili své operace zaměřené na Jižní Koreu, přičemž se zvlášť soustředili na jednotlivce, soukromé firmy, ambasády a diplomatické pracovníky.

Čínská APT skupina Mustang Panda zůstala v rámci asijského regionu nejaktivnější. Jejími cíli byly vládní instituce a společnosti působící v oblasti námořní dopravy. V rámci těchto útoků skupina využívala trojského koně Korplug a škodlivá USB zařízení. Útočníci ze skupiny DigitalRecyclers pokračovali v útocích na vládní instituce zemí EU. Využívali při nich virtuální privátní síť KMA VPN a škodlivé kódy, tzv. zadní vrátka (backdoory) RClient, HydroRShell a GiftBox. Skupina PerplexedGoblin použila ve sledovaném období svůj nový špionážní backdoor proti vládní instituci ve střední Evropě. Společnost ESET tento škodlivý kód pojmenovala NanoSlate. Útočníci ze skupiny Webworm cílili na srbskou vládní organizaci prostřednictvím VPN sítě SoftEther.

„Uvedené případy dokazují, jak je mezi útočnými skupinami napojenými na Čínu v oblibě využívání VPN služeb. Obecně můžeme říct, že útoky na síťovou infrastrukturu, DNS nebo VPN služby a routery jsou jejich doménou. Často využívají techniku, které říkáme man-in-the-middle, díky které dokážou ovládnout nějaký klíčový síťový prvek. Mají také výhodu v tom, že mohou ovlivňovat klíčové síťové uzly v Číně, které jsou pod kontrolou tamějšího režimu, nikoli mezinárodních institucí. Útoky čínských skupin lze pozorovat po celém světě, včetně České republiky,“ říká Šuman z ESETu.

Útočníci napojení na režim v Severní Koreji byli obzvláště aktivní v kampaních, které slibovaly finanční zisk. Skupina útočníků DeceptiveDevelopment výrazně rozšířila oblasti, na které se zaměřuje, když k nalákání obětí využila falešné pracovní nabídky. Cílem byla krádež přístupových údajů do kryptoměnových peněženek a přihlašovacích údajů z webových prohlížečů a správců hesel. Skupina využívala inovativní techniky sociálního inženýrství k šíření škodlivého kódu WeaselStore určeného pro různé platformy a operační systémy.

Další významnou událostí mezi severokorejskými APT skupinami pak byla krádež kryptoměn na burze Bybit. FBI tento útok připsala skupině TraderTraitor. Součástí tohoto útoku byla kompromitace dodavatelského řetězce – konkrétně poskytovatele kryptoměnové peněženky Safe{Wallet}. Útok měl za následek ztrátu v přibližné hodnotě 1,5 miliardy dolarů (USD).

Ostatní skupiny napojené na Severní Koreu mezitím vykazovaly kolísání v intenzitě svých operací. Po citelném loňském poklesu se skupiny Kimsuky a Konni vrátily na začátku roku 2025 na obvyklou úroveň svých aktivit. Změnily však své zacílení. Místo na anglicky mluvící think-tanky, nevládní organizace a experty na KLDR se nyní zaměřují především na jihokorejské subjekty a diplomatický personál. Skupina Andariel se po roce nečinnosti znovu objevila na scéně spolu se sofistikovaným útokem na jihokorejskou firmu vyvíjející průmyslový software.

Zájem skupin napojených na Írán se nadále soustředil na oblast Blízkého východu. Jejich cíli byly převážně izraelské vládní instituce a organizace z oblasti výroby a inženýrství.

Společnost ESET kromě výše uvedených případů zaznamenala výrazný, celosvětový nárůst kybernetických útoků na technologické firmy, který je z velké části připisován zvýšené aktivitě výše zmíněné APT skupiny DeceptiveDevelopment.

Více o zprávě ESET APT Activity Report

Celé znění nejnovější zprávy ESET APT Activity Report určené pro širokou veřejnost najdete zde.

Informace sdílené v neveřejných zprávách jsou primárně založeny na vlastních telemetrických datech společnosti ESET. Data byla ověřena kyberbezpečnostními experty z výzkumných poboček společnosti, kteří připravují podrobné technické zprávy a pravidelné aktualizace o aktivitách konkrétních APT skupin. ESET APT Reports PREMIUM pomáhají organizacím, které mají za úkol chránit občany, kritickou národní infrastrukturu a cenná aktiva před kybernetickými útoky vedenými zločinci nebo státními aktéry. Více informací o ESET APT Reports PREMIUM a o poskytování kvalitního, v praxi využitelného taktického a strategického zpravodajství o kybernetických hrozbách, je k dispozici na stránce ESET Threat Intelligence.

O společnosti ESET

Společnost ESET®, která byla založena v Evropě, je předním dodavatelem řešení kybernetické bezpečnosti s pobočkami po celém světě. Poskytuje špičková řešení digitální bezpečnosti, která pomáhají předcházet útokům ještě před jejich vznikem. ESET kombinuje technologie umělé inteligence (AI) a lidskou odbornost, čímž pomáhá předejít nově vznikajícím globálním kybernetickým hrozbám, ať již známým či dosud neznámým. Poskytuje zabezpečení pro firmy, kritickou infrastrukturu a jednotlivce. Ať už jde o ochranu koncových zařízení, cloudu nebo mobilních zařízení, řešení a služby společnosti ESET, které využívají technologie umělé inteligence a kladou důraz na cloudové prostředí, zůstávají vysoce efektivní s minimálními nároky na uživatele.

Technologie ESET jsou vyvíjeny v EU a zahrnují robustní systém detekce a reakce, ultra-bezpečné šifrování a multifaktorovou autentizaci. S nepřetržitou obranou v reálném čase a silnou místní podporou udržuje uživatele v bezpečí a firmy v chodu bez narušení jejich provozu. Neustále se vyvíjející digitální prostředí vyžaduje progresivní přístup k bezpečnosti. Jen v České republice nalezneme tři výzkumná a vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Výzkumné pobočky po celém světě podporují aktivity společnosti v rámci Threat Intelligence, stejně jako její silná globální síť partnerů.

Více informací

Více informací o trendech v kyberbezpečnosti pro širokou veřejnost naleznete například v online magazínu Dvojklik.cz nebo v online magazínu o IT bezpečnosti pro firmy Digital Security Guide. Nejčastějším rizikům pro děti na internetu se věnuje iniciativa Safer Kids Online, která má za cíl pomoci nejen jejich rodičům, ale také například učitelům či vychovatelům zorientovat se v nástrahách digitálního světa.

Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET, v podcastu TruePositive a na našich sociálních sítích Facebook, Instagram, LinkedIn a X.

Zdroj: www.eset.com

Další články

Další články od ESET

ESET: Češi se nejčastěji potýkají s útoky na bankovní identitu a falešnými kupujícími na bazarech

ESET: Češi se nejčastěji potýkají s útoky na bankovní identitu a falešnými kupujícími na bazarech

Praha, 2. června 2025 — Nejčastějšími phishingovými útoky byly v období od ledna do března 2025 falešné SMS a zprávy v chatovacích aplikacích (Messenger, WhatsApp). Útočníci se tímto způsobem snažili získat přístup k bankovní identitě obětí. Bezpečnostní experti z ESETu zachytili tento typ podvodu ve více než čtvrtině případů všech phishingových útoků na Česko. V pětině případů pak zůstalo rizikem i prodávání zboží na internetových bazarových platformách. Objevily se také podvody zacílené na české bankovní účty a držitele kryptoměn. Rostoucí hrozbou byly i propracované investiční podvody lákající na zbohatnutí nákupem kryptoměn nebo jiných komodit. Vyplývá to z analýzy phishingových útoků na Českou republiku od společnosti ESET.
| ESET
Hrozby pro Android: V dubnu se nejvíce šířil adware, k jeho maskování útočníci využili kultovní hry

Hrozby pro Android: V dubnu se nejvíce šířil adware, k jeho maskování útočníci využili kultovní hry

na základě dat z dubnové statistiky nejčastějších kybernetických hrozeb pro platformu Android v zemích EU jsou mezi útočníky opět nejvíce oblíbené populární mobilní hry, které šíří adware. Jak ale bezpečnostní experti upozorňují, i přes pokles v počtu detekcí se nadále budeme setkávat s falešnými verzemi jinak placených služeb, které útočníci nabízejí zdarma – například s falešnou modifikací pro získání prémiové verze Spotify nebo falešnou VPN aplikací. Rozvoj těchto rizik očekávají také v kontextu nadcházející letní sezóny. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET.
| ESET
ESET: Ruské kybernetické útoky na Ukrajinu zesilují, útočníci nasadili nový ničivý wiper a zneužívají zranitelnosti

ESET: Ruské kybernetické útoky na Ukrajinu zesilují, útočníci nasadili nový ničivý wiper a zneužívají zranitelnosti

Praha, 20. května 2025 — Společnost ESET zveřejnila svou nejnovější zprávu o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby (APT). Jedná se o útočníky obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Během sledovaného období od října 2024 do března 2025 bezpečnostní experti z ESETu zjistili, že útočníci napojení na Rusko, zejména skupiny Sednit a Gamaredon, vedli agresivní kampaně zaměřené primárně na Ukrajinu a země EU. Skupina Sandworm, která je rovněž spojována s Ruskem, zesílila své ničivé operace proti ukrajinským energetickým společnostem a nasadila nový škodlivý kód typu wiper s názvem ZEROLOT. Útočníci napojení na Čínu pokračovali ve svých špionážních aktivitách. Ve sledovaném období se nadále zaměřovali na evropské organizace. Skupiny spojované s režimem v Severní Koreji rozšířily své kampaně, ve kterých využívají techniky sociálního inženýrství a falešné pracovní nabídky.
| ESET
ESET: Česko v dubnu zasypaly desítky tisíc škodlivých e-mailů

ESET: Česko v dubnu zasypaly desítky tisíc škodlivých e-mailů

V dubnu opět vzrostly detekce infostealeru Formbook, který tak stále stojí v čele pravidelné statistiky kybernetických hrozeb pro operační systém Windows v Česku. Útočníci jej tentokrát šířili v neobvykle silné kampani zaměřené na Českou republiku a Slovensko. Útoky načasovali na Velikonoce. Bezpečnostní experti zachytili nejvíce případů škodlivého kódu na Zelený čtvrtek a v úterý po Velikonočním pondělí, kdy se lidé vraceli do práce a otevírali své e-maily. K šíření infostealeru využili škodlivý program ModiLoader, který poté, co infikuje počítač, stahuje další malware a spouští ho podle pokynů útočníků. Vyplývá to z pravidelné statistiky detekčních dat společnosti ESET.
| ESET
Hrozby pro Android: Lidé nechtějí platit za prémiové služby, zneužívají toho hackeři

Hrozby pro Android: Lidé nechtějí platit za prémiové služby, zneužívají toho hackeři

V březnu se na první příčce statistiky kyberhrozeb pro platformu Android objevil trojský kůň Agent.GKE. Počet jeho detekcí od minulého měsíce výrazněji narostl a podle bezpečnostních expertů máme co do činění s velmi úspěšnou útočnou kampaní. Útočníci jej vydávají za škodlivou modifikaci pro aplikaci Spotify, která slibuje možnost bezplatné aktualizace na prémiovou verzi. Nejvíce se v březnu objevoval ve Španělsku, Polsku a v České republice. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET.
| ESET
ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

Pořadí nejčastěji detekovaných škodlivých kódů pro operační systém Windows v Česku se aktuálně mění z měsíce na měsíc. Zatímco ještě v únoru byl největším rizikem malware Agent.AES, známý také jako Snake Keylogger, v březnu jej se stejným počtem zachycených detekcí opět vystřídal infostealer Formbook. Bezpečnostní experti tak situaci stále monitorují, a to v prostředí, ve kterém před několika měsíci došlo k útlumu dlouhodobě dominantního infostealeru Agent Tesla. Podle nich útočníci škodlivé kódy velmi dynamicky vyvíjejí a o to větší nebezpečí mohou představovat pro uživatele a uživatelky. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
| ESET
Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Zhruba polovina Čechů a Češek plánuje nákup kryptoměn, necelá třetina je už vlastní nebo někdy vlastnila. Kromě složitosti a finanční rizikovosti se bojí také kybernetických rizik, třetina však netuší, jaká rizika by to měla být. Vyplývá to z nového průzkumu společnosti ESET. Podle bezpečnostních expertů se můžeme v Česku aktuálně setkávat s podvodem, při kterém útočníci využívají různé techniky manipulace, včetně falešného obsahu, který vydávají za články ve známých médiích. Cílem je oběť kontaktovat a přimět ji k nákupu falešných služeb, zboží nebo k investicím.
| ESET
Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Adware MaxOfferDeal se stal v prvním čtvrtletí letošního roku nejčastějším škodlivým kódem pro počítače od firmy Apple. Bezpečnostní experti jej přitom na předních místech pravidelné statistiky v minulém období nezaznamenali. Vyplývá to z detekčních dat společnosti ESET pro platformu macOS v Česku a na Slovensku za období od ledna do března 2025. Výrazněji dále klesaly detekce adwaru Pirrit, nicméně o několik procentních bodů posílil infostealer PSW.Agent. Jedná se v současnosti o výrazné riziko pro tuto platformu. Cílem infostealeru jsou mimo jiné také kryptoměny a kryptoměnové peněženky.
| ESET
ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

Bezpečnostní experti ze společnosti ESET vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS). Experti v nové analýze sdílí zatím nepublikované informace o organizační struktuře partnerů tohoto gangu. Odkrývají také dosud nezdokumentované spojení mezi tímto gangem a dalšími, již zavedenými ransomwarovými skupinami Play, Medusa a BianLian. Analýza dále nabízí nový pohled na škodlivý kód EDRKillShifter. Jedná se o vlastní nástroj útočníků určený k vypnutí EDR (Detekce a reakce na hrozby pro koncová zařízení). Jak experti zdůrazňují, hrozby v podobě těchto nástrojů jsou v současnosti na vzestupu.
| ESET
ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

Společnost ESET, přední světový poskytovatel řešení v oblasti kybernetické bezpečnosti, aktualizovala svou platformu ESET PROTECT, která je součástí nabídky pro zákazníky z řad firem, organizací a institucí. Aktualizovaná nabídka nově obsahuje funkci Obnova po útoku ransomwarem. ESET tak svým zákazníkům poskytne nový způsob řešení této globální kybernetické hrozby. Mimo to aktualizace obsahuje také nové funkcionality pro řešení ESET Cloud Office Security s cílem posílit zabezpečení e-mailové komunikace – ochranu proti spoofingu (technika, při které se útočníci vydávají za jinou osobu nebo zařízení) a před útoky využívajícími tzv. homoglyfy (znaky, které pochází z jiných abeced, ale jsou zaměnitelné s latinským písmem). Aktualizace přináší vylepšení stability a výkonu také pro AI asistenta ESET AI Advisor.
| ESET