Bitdefender Threat Debrief | Únor 2025

Začíná nový rok a ransomware je i nadále silně zastoupen v oblasti hrozeb. V roce 2025 můžeme očekávat, že se útočníci budou i nadále zdokonalovat. V důsledku toho je důležité, aby si organizace udržely povědomí o současných hrozbách, nových trendech a potenciálním dopadu, který tyto hrozby mohou mít na jejich aktiva a informační systémy. Takový postup pomáhá organizaci přijímat informovaná rozhodnutí při identifikaci relevantních rizik pro její prostředí, a přijímat opatření k jejich zmírnění. Analyzovali jsme údaje z webových stránek skupin ransomwaru od 1. ledna do 31. ledna a identifikovali jsme celkem 522 deklarovaných obětí.

Nyní prozkoumáme nejvýznamnější novinky a zjištění, týkající se ransomwaru, od našeho posledního vydání:

• Akira si v lednu vyžádala nejvíce obětí: V roce 2024 si tato skupina ransomwaru vyžádala více než 300 obětí a do konce roku 2025 jich může být stejně (ne-li více). S tím, jak se Akira blíží k 575 obětem, postupně dohání více než 665 obětí RansomHubu.
  

• Clop zůstává v první desítce: Clop je skupina ransomwaru, která nadále zneužívá CVE-2024-50623 a CVE-2024-55956, které ovlivňují produkty Harmony, LexiCom a VLTransfer. Organizacím se doporučuje, aby si pročetly doporučená opatření pro tyto zranitelnosti a ujistily se, že software, který používají, je nejnovější opravenou verzí. V době vydání této zprávy si Clop vyžádal celkem více než 660 obětí. Ačkoli na první pohled může tento postup pomoci prokázat, že se počet obětí Clopu blíží počtu obětí RansomHubu, a/nebo jej pravděpodobně překoná, je tento předpoklad sporný a může být přehodnocen. Některé z obětí společnosti Clop se totiž přihlásily a popřely tvrzení o jakýchkoli útocích.
  

• Výsledkem operace Talent je obsazení kritických tržišť: Mezinárodní vyšetřování v lednu vedlo k zabavení obchodů Nulled a Cracked. Tato tržiště, která vznikla v letech 2015 a 2016, sloužila k výměně nelegálního zboží, jako jsou ukradená data, malware a další materiály. Na vyšetřovacím úsilí se za podpory Europolu podílelo několik federálních subjektů, včetně amerického ministerstva spravedlnosti, Federálního úřadu pro vyšetřování, Generální inspekce rumunské policie a německého Spolkového kriminálního úřadu. Operace Talent vyvrcholila zabavením 17 serverů a majetku v celkové hodnotě 300 000 EUR, tj. 312 480,00 USD, a byli rovněž zatčeni dva podezřelí.
  

• GD LockerSec se hlásí k odpovědnosti za několik případů narušení: Skupina GD LockerSec je spojována s incidenty, které zasáhly organizace ve vládním, vzdělávacím a technologickém sektoru. Informace týkající se schopností GD LockerSec jsou omezené a počet nahlášených incidentů je malý. Existují však jistá pravidla spolupráce, která jsou definována v poznámce skupiny k ransomwaru. GD LockerSec tvrdí, že zakazuje útoky na následující území: Čína, Společenstvo nezávislých států, Kuba a Severní Korea. Skupina se údajně zdržuje útoků na neziskové organizace, jako jsou nemocnice. Časem, až bude zveřejněno více aktualizací o akcích GD LockerSec, by sledování jejich tvrzení a vyhodnocování toho, jak jejich zásady korespondují s přetrvávajícími vzorci ve viktimologii nebo TTP, mohlo přinést zajímavé výsledky.
  

• Taktika AWS Living Off the Land znamená problémy pro buckety Amazon S3: Codefinger je spojován s kampaněmi, které využívají přihlašovací údaje k účtům Amazon Web Services a šifrovací schéma na straně serveru AWS k ohrožení bucketů S3. Útočník nejprve získá přístup k účtu oběti a identifikuje klíče Customer Provided, které mají povolena oprávnění k zápisu a čtení pro buckety S3. Útočník tyto buckety zašifruje; jakmile je šifrování zahájeno, klíč není uchován způsobem, který by oběti umožnil jeho extrakci a dešifrování. Klíč je upraven a reprezentován jako kód pro ověřování zpráv založený na hashi. Poté je do všech adresářů přidán požadavek na výkupné, a rozhraní API pro správu životního cyklu objektů S3 je nakonfigurováno tak, aby v průběhu jednoho týdne odstranilo S3 buckety. Organizacím se doporučuje přijmout zásadní opatření, aby tomuto typu útoku zabránily; toho lze dosáhnout posouzením zásad IAM a zakázáním nastavení šifrování na straně serveru (SSE-C) pro S3 buckety.

  
  

• GhostGPT poskytuje útočníkům další nástroj umělé inteligence, se kterým si mohou hrát: Generativní nástroje umělé inteligence, které jsou určeny k automatizaci jednotlivých fází kybernetického útoku, jsou ve hře již několik let. GhostGPT se zařadil po bok nástrojů jako WormGPT a HackerGPT. Uživatel může do nástroje GhostGPT zadávat instrukce, aniž by pocítil běžná omezení v podobě otázek, a generovat tak odpovědi na návrh šablon k provedení kompromitace firemních e-mailů (BEC) a dalších podvodů. GhostGPT poskytuje funkce, které podporují nejen vytváření škodlivých skriptů a e-mailů sociálního inženýrství, ale také přístup k botům Telegramu.
  

• Chyba v programu 7-Zip umožňuje uživatelům obejít MOTW a otevřít soubory uložené v archivech: Označení MOTW (Mark of the Web) je atribut v metadatech souboru, který označuje, zda soubor pochází z prostředí mimo uživatele nebo z internetu. Tato funkce, která je vlastní systému Windows, se vyhodnocuje při určování způsobu spuštění souboru. Když uživatel soubor otevře, je rozpoznán MOTW, který umožní zobrazení vyskakovacího okna. Uživatel poté potvrdí, zda chce pokračovat v otevírání souboru; pokud je soubor kompatibilní s Microsoft Office, je vykreslen v chráněném zobrazení. CVE-2025-0411 je zranitelnost, která umožňuje uživateli otevřít obsah archivního souboru bez ověření přítomnosti MOTW. Útočník může uživateli odeslat škodlivý archivní soubor. Uživatel pak k tomuto archivu přistupuje pomocí napadené verze programu 7-Zip. Atribut MOTW se po rozbalení a spuštění archivu nezachovává v jeho obsahu. Uživatelům se doporučuje aktualizovat aplikaci 7-Zip na nejnovější verzi 24.09, aby tuto chybu odstranili.
  

• Představení affiliate panelu Lynx: Lynx je skupina ransomwaru, která se od léta 2024 zabývá dvojnásobným vydíráním. Partnerský panel skupiny byl nedávno odhalen týmem bezpečnostních výzkumníků, kteří odhalili, že vysoké procento (80 %) finančních prostředků skupiny je poskytováno partnerům Lynx. Panel je jedinečný tím, že obsahuje funkci stuffers, která umožňuje přidruženým subjektům sdílet jedinečnou metodu ověřování ostatních, s nimiž mohou spolupracovat při provádění útoků. Partnerský panel společnosti Lynx má také k dispozici řadu binárních souborů, které lze vybrat v kampaních zaměřených na operační systémy Windows a Linux. Iterace Lynxu pro Windows a Linux mají vlastnosti, které se shodují s významnou částí kódu INC Ransom. Ransomware Lynx navíc používá šifrování Curve25519 Donna a AES-128.

  
  

TOP 10 rodin ransomwaru

Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.

TOP 10 zemí

Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Podívejme se nyní na 10 zemí, které tyto útoky zasáhly nejvíce.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.

Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.

Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.

AUTOR