I přes zaznamenaný pokles u některých škodlivých kódů mohou být současné útočné kampaně rizikem jak pro širokou veřejnost, tak především pro zaměstnance různých firem, kteří pracují s počítačem. Útočníci spyware aktuálně ukrývají do e-mailových příloh s českými názvy, které vydávají za objednávky či faktury.

Domnělými odesílateli e-mailů mají být také různé firmy. To pravděpodobně svědčí o tom, že útočníci v současné době cílí na firmy a organizace, kde se může takový falešný e-mail mezi řadou ostatních zpráv o objednávkách a fakturách dobře ztratit. Zaměstnanci pak mohou přehlédnout varovné signály a přílohu otevřít.

Ve chvíli, kdy se škodlivý kód do firmy dostane, ho může doprovázet i další malware, a to i obávaným ransomware, který dokáže zašifrovat důležité firemní soubory a dokumenty. Útočníci následně požadují po napadené firmě výkupné výměnou za to, že zašifrované soubory znovu zpřístupní, nebo pod výhružkou zveřejnění interních dokumentů, které útokem získali.

Agent Tesla se v květnu objevoval nejčastěji v příloze s názvem „PURCHASE ORDER.exe“ a v menším počtu případů také v přílohách „Kopie oprav účtenky za 11,2021…exe“ a „Zpusob_platby,jpg.exe“. Spyware Formbook pak útočníci nejčastěji šířili v příloze s názvem „nákupní objednávka pdf.exe“.

Obchodní nabídka z Itálie

Útoky malwaru Agent.QMG, před kterým bezpečnostní experti varovali již v dubnu, postupně klesají, v květnu byl škodlivý kód detekován v pěti procentech případů. Nejčastěji se ukrýval v příloze s italským názvem „richiesta di offerta Pesci Attrezzature.vbs“ či pod českou přílohou „Produkt nové objednávky.vbe“. Útočníci e-mail vydávali za obchodní nabídku z italské firmy.

Nebezpečné e-mailové přílohy v květnu 2023

Agent.QMG ve své útočné kampani šířil také malware GuLoader, který je poměrně obtížné rozpoznat a který má za úkol stahovat do infikovaného zařízení další škodlivé kódy, mimo jiné právě spyware. Již v dubnu na sebe upozornil především tím, že útočníci při jeho šíření využívali velmi dobrou úroveň češtiny, takže uživatele již nemusely před malwarem varovat gramatické chyby.

Útočníci cílí na zaměstnance

Bezpečnostní experti opakovaně varují české uživatele před infostealery, mezi které spadá právě spyware Agent Tesla nebo spyware Formbook. Mezi ohrožené uživatele pak patří také zaměstnanci různých firem, kteří na zařízeních s operačním systémem Windows pracují a mohou ve chvilce nepozornosti otevřít nebezpečný e-mail s přílohou, která obsahuje škodlivý kód.

Co radí experti na kyberbezpečnost?

„I přesto, že firma monitoruje kybernetická rizika a využívá nějaké softwarové řešení, musí být připravena i na scénář, kdy zaměstnanec ve chvilce nepozornosti zareaguje na manipulativní e-mail, spustí přílohu a vpustí do zařízení malware, který může napáchat dalekosáhlé škody v celé firmě s dopadem na její běžný provoz a tím i na reputaci u zákazníků. Právě vzdělávání zaměstnanců a posilování jejich celkových vědomostí o současných kybernetických rizicích je oblast, na kterou by se měly firmy co nejdříve zaměřit,“ vysvětluje Martin Jirkal z ESETu.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2023:

1. MSIL/Spy.AgentTesla trojan (10,18 %)
2. Win32/Formbook trojan (9,88 %)
3. VBS/Agent.QMG trojan (5,62 %)
4. Win32/PSW.Fareit trojan (5,35 %)
5. MSIL/Spy.Agent.AES trojan (2,89 %)
6. BAT/Runner trojan (2,11 %)
7. WinGo/Rozena trojan (1,78 %)
8. Win32/Qhost trojan (1,08 %)
9. Win32/Delf.NBX virus (0,90 %)
10. Java/Adwind trojan (0,90 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Podle bezpečnostních expertů z ESETu se trojský kůň Andreed nejvíce objevuje v aplikacích z obchodu třetí strany, který je velmi populární v zemích východní Evropy a v Rusku.

Bankovní malware se šířil prostřednictvím hry pro dospělé

Druhým nejčastěji detekovaným škodlivým kódem v Česku se v červenci stal bankovní trojský kůň Cerberus, který je rizikem pro internetové bankovnictví. Nejčastěji se šířil prostřednictvím falešné verze hry Booty Calls.

Bezpečnostní experti ho v červenci objevili v necelých sedmi procentech případů. V porovnání s předešlými měsíci se jedná o pokles v počtu jeho detekcí. Potvrzuje se tak, že platforma Android i aplikace třetích stran již dokázaly zlepšit úroveň svého zabezpečení.

V červenci se Cerberus nešířil prostřednictvím dropperů, škodlivých kódů, které podobně jako obálky doručí do zařízení jiný malware, aby ho skryly před bezpečnostními programy a před uživateli. To pro něj není typické. V následujícím období se tak ukáže, jak se útočníci aktuální situaci přizpůsobí a zda se neobjeví nové strategie útoků.

Vyděračský malware uzamkne obrazovku a chce za odemčení peníze

V pěti procentech všech detekcí se v červenci na platformě Android nově objevil méně složitý typ ransomwaru Locker.ABP. Ten dokáže na napadeném zařízení uzamknout obrazovku a požaduje za její opětovné odemčení peníze.

Locker.ABP jsme mohli nejčastěji stáhnout spolu s falešnými aplikacemi z nedůvěryhodných a neoficiálních zdrojů. Malware se šířil především prostřednictvím dropperu Agent.KBL, který na sebe bral podobu bezpečnostních aplikací nebo aplikací s obsahem pro dospělé. Texty zachycených škodlivých verzí těchto aplikací byly nejčastěji v azbuce.

Chytrý telefon je stejným cílem jako počítač

Nejúčinnější obranou nejen proti adwaru, ale i závažnějším typům malwaru, je především prevence. Škodlivý kód se v případě platformy Android nejčastěji šíří prostřednictvím nelegitimních verzí známých aplikací a her z neoficiálních obchodů třetích stran. Stahovat aplikace bychom tak měli výhradně z oficiálního obchodu Google Play.

Dále se určitě nevyplácí podceňovat kvalitní zabezpečení chytrého telefonu. Data a dokumenty, které naše chytré telefony uchovávají, mají pro útočníky velkou cenu. Kromě toho, že by měl být chytrý telefon chráněn antivirovým softwarem, je třeba zařízení a všechny aplikace pravidelně aktualizovat. Předcházíme tím mimo jiné útokům na chyby v operačním systému, jejichž opravy nové aktualizace obsahují.

Nejčastější kybernetické hrozby v České republice pro platformu Android za červenec 2022:

1. Android/Andreed trojan (33,57 %)
2. Android/Spy.Cerberus trojan (6,91 %)
3. Android/Locker.ABP trojan (5,43 %)
4. Android/Triada trojan (4,60 %)
5. Android/TrojanDropper.Agent.GKW trojan (2,49 %)
6. Android/TrojanDropper.Agent.JDU trojan (2,43 %)
7. Android/TrojanDropper.Agent.GWO trojan (1,85 %)
8. Android/Syringe trojan (1,85 %)
9. Android/Agent.CZB trojan (1,79 %)
10. Android/TrojanDropper.Agent.DPR trojan (1,34 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Možnosti takovéhoto útoku výrazně omezuje fakt, že enklávy jsou sice důvěryhodnou, ale omezenou součástí vybrané aplikace. Se systémem mohou interagovat pouze jejím prostřednictvím. Takováto mateřská aplikace přitom má při interakci se systémem vlastní omezení a její aktivity jsou monitorovatelné bezpečnostním softwarem. Dalším limitem pro tento typ útoku je skutečnost, že enkláva nedokáže provádět operace sama od sebe, ale jen po aktivaci mateřskou aplikací.

Enklávy sice mohou zkomplikovat analýzu prováděnou bezpečnostním softwarem, protože ztěžují sledování dění v enklávě, jakákoli interakce s operačním systémem však probíhá přes mateřskou aplikaci. Tedy na úrovni, již antivirus či jiné bezpečnostní řešení dokáže monitorovat a případné škodlivé aktivity zablokovat.

Nejde tedy o žádný supermalware, který by byl pro antivirus neviditelný. Zachytit ho není možné totiž jen ve chvíli, kdy se nachází pouze v enklávě. Tedy v době, kdy nevytváří žádné aktivity směrem k operačnímu systému a tudíž ani nemůže škodit. Jde o poměrně náročnou techniku, jejímž prostřednictvím mohou útočníci skrýt svůj kód a postup před očima reverzních inženýrů a detekčních technologií.

Jak si takový útok představit v praxi?

Řekněme, že útočníci vytvoří nový typ ransomwaru, který se dokáže skrýt v oddělené enklávě. Ten kromě sebe na toto „slepé“ místo uloží i privátní klíč, čímž se efektivně skryje před bezpečnostní aplikací a analytiky škodlivých kódů. Mateřská aplikace, v níž je enkláva umístěná, ransomware v určité chvíli aktivuje. Ransomware musí následně převzít kontrolu nad mateřskou aplikací a zneužít ji k systémovým voláním, která najdou cílové soubory a umožní jejich zašifrování. Detekční technologie může zachytit již neobvyklé chování mateřské aplikace a jeho pozornosti neujdou ani systémová volání a spuštěný proces šifrování.

Vše se tedy děje v oblasti, kterou bezpečnostní software monitoruje a dokáže zablokovat. Co by se tedy pravděpodobně stalo? Došlo by k detekci a zablokování škodlivé aktivity, a uvalení karantény na ovládanou mateřskou aplikaci. Samozřejmě pokud by ransomware stihl některé z uživatelských souborů zašifrovat, jeho umístění (stejně jako umístění privátního klíče) v enklávě by znemožňovalo detailní analýzu postupu stejně jako dešifrování zasažených souborů.

SMB/Exploit.DoublePulsar je backdoor vyvinutý americkou Národní bezpečnostní agenturou, NSA. Infikuje počítače s operačním systémem Windows a stahuje do nich další druhy malwaru. V případě DoublePulsaru jde o sofistikovanou zálěžitost, protože jeho kód zůstává pouze v paměti a infikuje přímo jádro operačního systému napadeného počítače. Má tak dokonalou kontrolu nad systémem,“ vysvětlil novinářům v tiskové zprávě Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. A přestože před rokem tento backdoor pomáhal šířit ransomware WannaCry, podobnou situaci nyní ale podle našich analytiků neočekáváme.

První byl i nadále javový skript JS/CoinMiner s podílem bezmála jedenáct procent. Ten běží na pozadí internetových stránek a zneužívá výpočetního výkonu napadeného zařízení pro těžbu kryptoměn. Našim statistikám vévodí nepřetržitě od ledna letošního roku, přestože jeho podíl v celkovém počtu detekcí škodlivých kódů a potenciálně nechtěných aplikací (PUA) neustále klesá. Mezi deset nejčastějších hrozeb se v dubnu dostala i jeho další varianta Win64/CoinMiner.

Nejčastější internetové hrozby v České republice za duben 2018:

• JS/CoinMiner (10,92 %)
• SMB/Exploit.DoublePulsar (6,07 %)
• JS/Redirector (3,81 %)
• JS/Adware.Agent.T (3,54 %)
• PDF/Fraud (2,97 %)
• JS/Adware.AztecMedia (2,46 %)
• JS/ProxyChanger (2,32 %)
• Win64/CoinMiner (2,13 %)
• Win32/GenKryptik (2,04 %)
• Java/Adwind (1,85 %)

Na rozdíl od většiny typů šifrovacího škodlivého softwaru má tento kód schopnosti podobné červům, které mu umožňují šířit se dál. Díky tomu se WannaCryptor rozšířil opravdu rychle. Obětem ve Velké Británii se na monitorech počítače objevil tento text:Škodlivá kampaň odstartovala ve španělském telekomunikačním sektoru a velice rychle se odtud rozšířila dál. Postihla zejména zdravotnická zařízení ve Velké Británii, ale i různé komerční webové stránky a firemní weby. Lidé z celého světa nám zasílají snímky napadených počítačů z kanceláří, nemocnic a škol, například tento je z Itálie:

Největší problém, s nímž se oběti potýkají, je zašifrování souborů uložených na počítači. Klíč k jejich odšifrování má útočník, který jediný může počítač uvést do původního stavu a odšifrovat soubory. Tato situace může mít vážné následky, zejména ve zdravotnictví. Zašifrované záznamy o pacientech, lékařské soubory – to vše může být zablokováno, pokud daná organizace nemá spolehlivou zálohu, díky níž by mohla tato data obnovit.

Výkupné požadované za dešifrování souborů se pohybuje okolo 300 dolarů (7 500 korun), což je o něco méně, než bývá u ransomware běžné. Škody způsobené tímto škodlivým kódem ale budou značné, zejména kvůli ztraceným souborům a dalším vedlejším škodám způsobeným tímto malware.

Jak se chránit před WannaCryptorem?

Naštěstí existuje několik možností, jak se ochránit před touto nejnovější hrozbou. Pokud se chcete vyhnout problémům, měli byste co nejdříve podniknout několik následujících kroků:

Nainstalujte si bezpečnostní software

Možná jste to už od někoho slyšeli a opakuje se to znovu a znovu. Někteří lidé tvrdí, že jim stačí aktualizovaný firewall nebo že jim instalace antivirového programu způsobuje problémy. Toto není argument. Nainstalujte si co nejdříve prověřený a kvalitní antivir a zlepšete svoji obranu proti těmto útokům.
Modul síťové ochrany společnosti ESET blokoval pokusy o zneužití zranitelnosti, které využili tvůrci WannaCryptoru, dokonce ještě předtím, než byl tento malware vytvořen. ESET proto zvýšil úroveň ochrany před touto konkrétní hrozbou, kterou detekuje jako Win32/Filecoder.WannaCryptor.D aktualizací detekčního modulu 15404 (12. května 2017, 15:20 CET). ESET LiveGrid ale poskytoval ochranu před tímto škodlivým útokem již od pátečních 13:26 hodin.

Rádi bychom vás ubezpečili, že uživatelé produktů #ESET byli a jsou proti hrozbě ransomware #WannaCry chránění. pic.twitter.com/S82b8uoTW3

— ESET Česká republika (@esetcz) May 17, 2017

Aktualizujte prosím své operační systémy Windows

Chápeme, že nasazení bezpečnostních záplat v celé síti může být obtížné. Tuto aktualizaci rozhodně nainstalujte. K dispozici je od poloviny dubna a skutečně zabraňuje zneužití vašich počítačů v této konkrétní kampani. Seznam patchů a kompletní seznam souborů skupiny Equation naleznete zde.
Další informace o hrozbě WannaCryptor a strategii ochrany vyvinuté společností ESET naleznete v naší databázi znalostí. Chcete-li zjistit, kolik peněz útočníci obdrželi prostřednictvím bitcoinových fondů během tohoto útoku, podívejte se na tento odkaz.

Ochrana i pro Windows XP

Pokud máte počítač s operačním systémem Windows XP, Windows 8 nebo Windows Server 2003, pro které nebyla vydána žádná ekvivalentní oprava, máte štěstí. Společnost Microsoft mimořádně kvůli kampani WannaCryptoru vydala veřejné aktualizace pro tyto verze svého operačního systému. Tyto aktualizace by měly být zpravidla zpřístupněny jen těm, kteří mají s Microsoftem uzavřeny smlouvy o podpoře, na jejichž základě mohou zákazníci dostávat aktualizace pro ty verze operačních systémů, které už nejsou veřejně podporovány. Používáte-li takové systémy, které již nemohou být aktualizovány, pečlivě zvažte, zda počítače, na kterých je používáte, v dlouhodobém horizontu zcela neizolovat od přístupu k internetové síti.

Pokud jste si ještě neinstalovali záplatu na vaše Windows, udělejte to co nejdříve

Možná jste zaznamenali, že kdosi byl schopen „vypnout“ tento útok registrováním určité internetové domény („Jak náhodně zastavit globální počítačový útok“). Ačkoli to vypadá, jako by dotyčný vykoupil celý svět, v žádném případě tom neznamená, že nepřijdou další útoky. Ve skutečnosti již existují informace o aktualizacích škodlivého softwaru, které neobsahují přepínač kill.

Jinými slovy, pokud jste si ještě neinstalovali záplatu na vaše Windows, udělejte to co nejdříve! K tématu ransomware WannaCry jsme připravili video:

DDoS útok na DNS servery společnosti Dyn

Vůbec první velký DDoS útok, při němž hackeři využili stovky tisíc „zotročených“ zařízení Internetu věcí včetně chytrých žárovek, IP kamer, dětských chůviček nebo termostatů, proběhl v říjnu 2016 ve Spojených státech.

Hackerské skupiny Anonymous a New World Hackers je zneužily pro hromadný požadavek přístupu na DNS servery americké společnosti Dyn, které standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Tím vyřadili z provozu řadu velkých webů na východním pobřeží USA, včetně známých mediálních společností, ale i třeba sociální sítě Twitter.

Zdaleka největší byl ale letošní DDoS útok na službu GitHub, na který 28. února mířil datový provoz o síle až 1,35 Tb/s, což představovalo neskutečných 126,9 milionu paketů za sekundu.

Ransomware WannaCry

Dosud největší škodlivá kampaň ransomwaru, vyděračského softwaru, který zašifruje disk napadeného zařízení a na monitoru či displeji požaduje po oběti výkupné, proběhla loni v květnu.

Svým tvůrcům WannaCry příliš mnoho peněz nevydělal

Ransomware WannaCry, jehož autorství je přisuzováno hackerům ze Severní Koreje, postupně napadl až 300 tisíc počítačů ve 150 zemích světa. Šířil jej backdoor DoublePulsar a několik další exploitů prostřednictvím škodlivých příloh e-mailů, reklamních bannerů nebo webových stránek. Svým tvůrcům WannaCry příliš mnoho peněz nevydělal (odhadem jen 73 tisíc dolarů), ale to zřejmě nebyl účel této škodlivé kampaně. Mezi nejpostiženější země patřilo Rusko, Ukrajina, Tchaj-wan a Indie.

Únik uživatelských dat na Yahoo!

V roce 2016 oznámila společnost Yahoo! Dosud největší únik osobních dat v historii. Dojít k němu mělo již v roce 2013 a neznámí hackeři při něm měli odcizit informace z 200 tisíc uživatelských účtů této internetové společnosti.

Yahoo! zřejmě ani nemělo v úmyslu informaci zveřejňovat, ale v roce 2016 vyjednávalo o svém prodeji se společností Verizon a obávalo se, aby nelichotivá skutečnost nevyšla najevo neoficiální cestou.

Verizon po uskutečněné akvizici útok z roku 2013 znovu prověřil a došel k závěru, že napadeny byly všechny účty Yahoo!, celkem tři miliardy! Hackeři odcizili jména, uživatelská jména, e-maily, telefonní čísla, data narození a kontrolní součty hesel (tzv. hashe). Samotná hesla útočníci nezískali.

Útok na energetické společnosti na Ukrajině

V prosinci roku 2015 došlo k rozsáhlému výpadku dodávek elektrické energie v Ivanofrankivské oblasti na Ukrajině. Bez elektřiny tehdy zůstalo po dobu několika hodin až 700 tisíc lidí.

Z následných analýz útoku, které provedl ESET, vyplynulo, že se nejednalo o náhodný výpadek, ale koordinovanou součinnost skupiny hackerů. Ti pomocí trojského koně BlackEnergy pronikli do jednotlivých komponent distribuční sítě a následně ji poškodili nebo ochromili.

Kromě klasických funkcí destruktivního malware (odstranění systémových souborů, které znemožní spustit systém) se tato varianta speciálně zaměřila na sabotáže v průmyslových systémech. Podobný trojský kůň byl využit i pro útok na ukrajinská média po volbách nedlouho předtím a spekulovalo se i o hrozbě pro kyjevské letiště, kterou se však údajně podařilo včas zastavit.

Při napadení zařízení se oběti zobrazí obrazovka s výzvou. Tento ransomware však namísto finanční částky požaduje, aby uživatel hrál hru PlayerUnknown’s Battlegrounds (PUBG). V textu výzvy je uvedeno, že uživatel musí hrát 1 hodinu, ve skutečnosti však k dešifrování zablokovaných dat stačí tři vteřiny.

Výzkumník ESETu David Harley poukazuje na to, že tento incident by neměl být brán na lehkou váhu. „Ačkoli je tento incident označován jako vtip, ve skutečnosti až tak vtipný není. Pokud by oběť přesně nepochopila, co se děje, mohl by způsobit vážné škody. Škodlivý kód navíc nebyl nijak sofistikovaný, připomínal kód, který napsal někdo pro zábavu a mohl se chovat všelijak,“ uvedl.

Android ransomware však nepokračoval v růstu z minulých let. Počet incidentů rostl jen do roku 2016 a vrcholu dosáhl v první polovině roku. V roce 2017 byla vidět zřetelná změna trendu. Přestože se množství tohoto malwaru zvyšovalo, počet ransomwaru na platformu Android se snížil.

Více podrobnějších informací o ransomwaru pro Android najdete (v angličtině) v tomto dokumentu společnosti ESET. Pokud byste měli zájem a příležitost, více informací se můžete dozvědět 26. února – 1. března v Barceloně na stánku ESET během konference Mobile World Congress.

Jak útok probíhal?

Po stažení a instalaci aplikace se na obrazovce objevil falešný dopis FBI s upozorněním na porušení zákona a požadavkem na zaplacení pokuty. Stránka byla otočená na stranu, což naznačuje, že útočník spíše cílil na uživatele chytrých telefonů nebo tabletů. Majitel tehdy tři rok starého televizoru, vývojář softwaru z Kansasu Darren Cauthon, se pokusil problém vyřešit obnovením továrního nastavení televizoru, ale nepodařilo se mu to ani po delší konzultaci s dalšími kolegy na Twitteru.

Cauthon tedy kontaktoval technickou podporu společnosti LG Electronics, která ho odkázala na externí smluvní firmu. Za osobní zásah technika by majitel televizoru zaplatil přibližně 340 dolarů, což se blížilo částce požadovaného výkupného (500 dolarů). Cauthon proto kontaktoval technické experty přímo z LG. Výkupné zaplatit nemohl, ani kdyby chtěl, protože nebylo možné kliknout na odkaz vedoucí k informacím, kam má poslat peníze. Jediné, co na televizoru fungovalo, byla možnost přesouvat kurzor na obrazovce pomocí doprovodného inteligentního dálkového ovladače.

Specialisté z LG Electronics prostřednictvím speciální sekvence stisku několika tlačítek na televizoru v určitém pořadí znovu zapnuli „televizní část“ televizoru a poté mohli spustit režim obnovení nastavení televizoru do továrního nastavení. Režim obnovení systému Android umožňuje vymazání datového oddílu a odstraní tím všechna uživatelská nastavení, aplikace a data a rovná se v podstatě továrnímu nastavení televizoru. Protože k napadení televizoru došlo prostřednictvím škodlivé aplikace pro sledování filmů, kterou do zařízení stáhl rodinný příslušník, bylo smazání této aplikace jediným možným řešením problému. Majitelé televizoru si ale museli znovu nahrát a zprovoznit všechny další bezproblémové aplikace.

Podobných útoků, jakému čelila rodina Darrena Cauthona, bude přibývat

Výrobci chytrých televizorů sice mohou zabezpečit svůj operační systém před stahováním nelegitimních aplikací, uživatelé ale stále mohou k televizoru připojovat externí datová zařízení, která mohou šířit různé druhy malwaru včetně ransomware. I u chytrých televizorů tak platí, že by divák měl nejprve důkladně promyslet, co dělá, než si přivodí zbytečnou škodu.

Žebříček deseti nejčetnějších hrozeb zcela ovládly kódy, které se dají označit za tzv. obálky, tedy šiřitele dalšího nebezpečného malwaru. Šlo především o skriptové škodlivé kódy, dále droppery a downloadery, které samy o sobě nejsou tak nebezpečné, ale umožňují jiným, mnohem nebezpečnějším kódům, proniknout do napadeného zařízení a aktivovat se.

WannaCry neuškodil

JS/Danger.ScriptAttachment je velmi nebezpečný downloader, který otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji vyděračské viry z rodiny ransomware. Ty zašifrují obsah napadeného zařízení a požadují od uživatele zaplacení výkupného. JS/Danger.ScriptAttachment byl použit i pro šíření nechvalně proslulého ransomwaru WannaCry. Přestože se této jednorázové kampani dostalo velké mediální pozornosti, České republiky se prakticky nedotkla. Její celkový podíl v přehledu nejčastějších hrozeb v letošním roce je tak mizivý, že se do přehledu ani nedostal.

ESET zachytil v České republice pouze několik stovek detekcí WannaCry, což z celoročního hlediska představuje setiny promile podílu na všech zachycených internetových hrozbách. Pro srovnání: škodlivé kódy na předních příčkách žebříčku představovaly miliony detekcí. Zákazníci ESETu byli navíc jako jedni z mála před útokem WannaCry chráněni, protože na úrovni síťové detekce v předstihu zachytil exploitaci, která šířila malware mezi počítači.

Druhým nejčastějším virem zachyceným zařízeními chráněnými bezpečnostními produkty od ESET v České republice byl trojan JS/ProxyChanger. Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. A může například oběť přesměrovat na web útočníka. Trojan Win32/Obfuscated.NJT na třetí příčce je downloader, který provádí infiltrace zařízení, jež souvisí s adwarem, tedy nevyžádanou reklamou.

Nejčastější internetové hrozby v České republice za rok 2017:

• JS/Danger.ScriptAttachment (31,71 %)
• JS/ProxyChanger (31,61 %)
• Win32/Obfuscated.NJT (14,30 %)
• VBS/TrojanDownloader.Agent (7,92 %)
• JS/Chromex.Submelius (5,47 %)
• JS/TrojanDownloader.Pegel (4,30 %)
• JS/Kryptik (2,52 %)
• Java/Kryptik (1,53 %)
• PDF/TrojanDropper.Agent (0,63 %)
• ostatní (0,01 %)