ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb

Nejnovější zpráva o globálním vývoji kybernetických hrozeb shrnuje data z telemetrie od června do listopadu 2024 a odborného pohledu analytiků společnosti ESET. Během tohoto období výrazně narostl počet investičních podvodů, a to o více než 335 % mezi prvním a druhým pololetím roku 2024.

Sociální sítě zaplavují investiční podvody a pomocí nástrojů umělé inteligence zneužívají jména známých osobností či firem - nejvíce detekcí zachytili experti z ESETu v Japonsku, na Slovensku, v Kanadě, ve Španělsku a v České republice. Zpráva Threat Report H2 2024 se dále věnuje např. rostoucím útokům na kryptoměnové peněženky, nástupu infostealeru Formbook či aktuálním proměnám ransomwarové scény.

Investiční podvod, který ESET označuje detekcí HTML/Nomani, se šíří prostřednictvím falešných reklam na sociálních sítích, zejména na platformě Meta. Reklamy zneužívají jména známých osobností či firem a lákají uživatele na pohádkově výhodné investování nebo zázračné doplňky stravy.

Častou taktikou při těchto podvodných reklamách jsou videa upravená pomocí umělé inteligence (deepfake), na kterých vystupují známí politici, moderátoři či úspěšní podnikatelé a sdělují informace, které tito lidé ve skutečnosti neřekli.

Útočníci pomocí AI napodobili na Slovensku např. prezidenta Petra Pellegriniho či generálního ředitele společnosti ESET Richarda Marka. V Česku se mohli uživatelé setkat např. s reklamami, na nichž podvodníci zneužili postavu prezidenta Petra Pavla nebo bývalého premiéra Andreje Babiše.

Jde o poměrně propracovaný podvod, který útočníci realizují na několika úrovních. I když zkušenější uživatelé mohou na první pohled podvod rozeznat, útočníci přesto spoléhají na to, že naletí alespoň malá část zranitelné populace. U osob, které na deepfake videích mluví, si můžeme např. všimnout nepřirozeného pohybu rtů. Na menších obrazovkách to ale můžeme snadno přehlédnout.

Navíc lze předpokládat, že tento podvod bude díky dalšímu vývoji nástrojů umělé inteligence stále důvěryhodnější. Nejlepší prevencí proto zůstává chránit se bezpečnostním softwarem a neustále podrobovat online obsah kritickému myšlení.

Reklamy často odkazují na důvěryhodně působící, ale falešné zpravodajské portály nebo podvodné stránky, které napodobují legitimní firmy. Falešné weby vybízejí uživatele k vyplnění kontaktních údajů. Po vyplnění formuláře zájemce kontaktuje pracovník telemarketingu, který má za úkol nasměrovat oběť k převodu peněz s počáteční investicí 250 eur (přes 6000 Kč). Útočníci mohou oběti nabádat také k tomu, aby si do zařízení stáhly nástroj pro vzdálený přístup nebo aby zažádaly o půjčku.

Nejvíce se tato škodlivá kampaň objevovala v Japonsku a na Slovensku, třetí místo patří Kanadě a následují Španělsko a Česko. Na základě analýzy zachycených případů se experti z ESETu domnívají, že podvodníci pocházejí z rusky mluvících zemí.

Další sledované trendy ve světě

macOS platforma

Nejdramatičtější nárůst zaznamenali bezpečnostní experti na platformě macOS. V rámci této platformy se ve srovnání s prvním pololetím roku 2024 více než zdvojnásobil počet tzv. Password-Stealing Ware - škodlivých kódů zaměřených na přihlašovací údaje do kryptopeněženek.

K tomuto nárůstu výrazně přispěl AMOS (známý také jako Atomic Stealer), škodlivý kód určený ke shromažďování a odcizení citlivých údajů ze zařízení Mac. Finanční hrozby pro platformu Android zaměřené na bankovní aplikace i kryptopeněženky vzrostly ve sledovaném období o 20 %.

Ransomware

Ransomwarová scéna se změnila poté, co byl v další mezinárodní operaci sesazen bývalý lídr ransomwarových gangů, LockBit. Vzniklo tak vakuum, které však záhy vyplnili jiní aktéři.

Ransomwarový gang RansomHub měl do konce druhého pololetí 2024 na svědomí stovky obětí, čímž se etabloval jako nový dominantní hráč. APT skupiny napojené na Čínu, Severní Koreu a Írán stále častěji využívaly ransomware jako krytí svých aktivit.

Kryptoměny

Jelikož kryptoměny dosáhly ve druhé polovině roku 2024 rekordních hodnot, údaje z kryptopeněženek byly také jedním z hlavních cílů útočníků. V telemetrii společnosti ESET došlo k nárůstu počtu detekcí cryptostealerů na několika platformách.

Infostealery

Ve sledovaném období došlo také ke změnám v kategorii infostealerů, což jsou škodlivé kódy určené ke krádežím citlivých údajů. Dlouhodobě dominantní spyware Agent Tesla byl sesazen jedním ze svých starších konkurentů, infostealerem Formbook. Tuto změnu zaznamenali bezpečnostní experti také v Česku, kde tyto hrozby pro zařízení s operačním systémem Windows dlouhodobě sledují.

Útočníci stále více vyhledávají i škodlivý kód Lumma Stealer. Ve druhém pololetí roku 2024 se objevil v několika významných útočných kampaních. Počet jeho detekcí vzrostl v telemetrii společnosti ESET o 369 %.

V říjnu 2024 došlo za spoluúčasti mezinárodních bezpečnostních organizací k přerušení prodeje známého infostealeru Redline Stealer. Bezpečnostní experti však očekávají, že zánik této malware rodiny povede k tomu, že útočníci tento škodlivý kód postupně nahradí jinou, podobnou službou.