Prinášame prehľad míľnikov aj kurióznych správ, ktoré prvý kvartál rezonujú svetom kyberbezpečnosti.

Prinášame prehľad míľnikov aj kurióznych správ, ktoré prvý kvartál rezonujú svetom kyberbezpečnosti. 

Vypočujte si Report bezpečnosti, 1 550 slov, číta pre vás AI.

51 sekúnd

Sumár minulého roka má rekord. Najkratší čas, ktorý útočník potreboval na začatie laterálnych pohybov v napadnutej sieti, bol 51 sekúnd. Priemerný čas prieniku klesol v roku 2024 na 48 minút. V kontexte týchto čísel si je potrebné uvedomiť, že 79 % narušení bezpečnosti prebehlo bez použitia malvéru, keďže útočníci využívali priame ovládanie klávesnice a iné nenápadné taktiky na vyhnutie sa detekcii.

Vishing, keď útočníci ovládajú obete presvedčivým sociálnym inžinierstvom, zaznamenal medzi prvou a druhou polovicou roka 2024 nárast o 442 percent. Aktivity spájané s Čínou vzrástli celkovo o 150 percent, pričom niektoré priemyselné odvetvia zažili nárast útokov o 200 až 300 percent v porovnaní s predchádzajúcim rokom.

Lajdácka ochrana údajov

Technologický nadšenec Robert Polet si na blšom trhu v Holandsku kúpil päť pevných diskov a zistil, že obsahujú 15 GB citlivých lekárskych záznamov. Údaje obsahovali osobné informácie, ako sú čísla sociálneho poistenia, dátumy narodenia, adresy a údaje o liekoch z rokov 2011 až 2019, predovšetkým z regiónov ako Utrecht, Houten a Delft.

Záznamy patrili zaniknutej IT spoločnosti Nortade ICT Solutions, ktorá vyvíjala softvér pre zdravotnícky sektor. Pritom holandské právne predpisy nariaďujú odborné a certifikované vymazanie pamäťových zariadení obsahujúcich zdravotnícke údaje.

Counter-Strike

Kyberzločinci využívajú popularitu veľkých turnajov v hre Counter-Strike 2 (CS2), ako sú IEM Katowice a PGL Cluj-Napoca v roku 2025. Na platformách, napríklad aj YouTube, vysielajú falošné prenosy z týchto turnajov. Streamy často využívajú ukradnuté legitímne účty premenované tak, aby sa vydávali za profesionálnych hráčov CS2. Propagujú podvodné rozdávanie skinov CS2 a kryptomeny. Divákov lákajú na návštevu škodlivých webových stránok prostredníctvom QR kódov alebo odkazov. Tie vedú na phishingové stránky určené na krádež prihlasovacích údajov k účtu Steam alebo informácií z kryptopeňaženky.

Gmail

Sofistikovaná podvodná kampaň pod značkou Gmail ohrozuje 1,8 miliardy používateľov služby. AI pomáha útočníkom pri generovaní presvedčivých hlasových a video správ a e-mailov. Fejkoví zástupcovia zákazníckej podpory Google používateľov informujú o kompromitovaní účtu. Následne ich vyzývajú, aby poskytli citlivé informácie, ako napríklad kódy na obnovenie služby Gmail. Hackeri tak získavajú prístup k účtom, čo vedie k potenciálnym finančným stratám a krádeži identity. Používatelia musia byť opatrní voči nevyžiadanej komunikácii a všetky zmeny súvisiace s účtom overovať priamo oficiálnymi kanálmi.

PayPal

Ďalší phishingový podvod využíva funkciu „Nová adresa“ služby PayPal na odosielanie legitímne vyzerajúcich e-mailov z adresy service@paypal.com. Príjemcom oznamuje, že na ich účet bola pridaná nová dodacia adresa pre nákup tovaru vo vysokej hodnote. Obete vyzýva, aby zmenu overili na uvedenom telefónnom čísle. Ak na toto číslo zavolajú, sú prepojené s podvodníkmi vydávajúcimi sa za podporu PayPal – a tí sa pokúsia získať vzdialený prístup k zariadeniu používateľa.

Signal

Platforma Signal oznámila možné stiahnutie spoločnosti zo Švédska, ak vláda presadí zákony vyžadujúce prístup k zašifrovaným údajom používateľov. Švédsko uvažuje o právnych predpisoch, ktoré by službám šifrovaných správ nariadili uchovávať údaje o chatoch počas dvoch rokov a na požiadanie poskytnúť prístup orgánom činným v trestnom konaní.

Takýto postup pre komunikačné platformy znamená povinnosť zaviesť dešifrovanie komunikácie používateľov, čo je v prípade end-to-end šifrovania nemožné. Vytvorenie backdoorov pre koncové šifrovanie by vytvorilo zraniteľnosti zneužiteľné ktoroukoľvek stranou.

Apple po prvýkrát: šifrovanie

Spoločnosť Apple zrušila funkciu rozšírenej ochrany údajov pre používateľov v Spojenom kráľovstve. Na základe požiadavky tamojšej vlády. Tá v rámci zákona o vyšetrovacích právomociach požaduje backdoor na prístup k šifrovaným údajom v službe iCloud. Zálohy iCloudu, úložisko, fotografie, poznámky a ďalšie údaje už nebudú mať E2E úroveň šifrovania. Stanú sa prístupnými pre Apple a s príslušným zákonným povolením aj pre orgány činné v trestnom konaní. Šifrovaním v pokoji (encryption-at-rest) ostanú chránené zdravotnícke informácie, iMessage a FaceTime hovory.

Bagetoví vydierači. Vtip

Ransomvérová skupina Hellcat zintenzívnila útoky na kritické odvetvia vrátane vládneho a energetického sektora. Gang využíva najmä taktiku dvojitého vydierania. Ich prístup zahŕňa verejné ponižovanie obetí, ako to bolo vidieť pri útoku na spoločnosť Schneider Electric, kde požadovali výkupné 125-tisíc amerických dolárov v „bagetách“.

„Bagety“ boli vtipom s odkazom na francúzsky pôvod spoločnosti Schneider Electric. Skupina však reálne požadovala platbu v kryptomene Monero, ktorá je zameraná na súkromie, anonymitu a bezpečnosť a na rozdiel od Bitcoinu, kde sú transakcie verejné a sledovateľné, Monero má súkromný blockchain, kde nie je možné sledovať odosielateľa, príjemcu ani sumu transakcie. Takéto incidenty poukazujú na stupňujúcu sa sofistikovanosť ransomvérových hrozieb zameraných na organizácie závislé od umelej inteligencie.

AI to ešte stále nemá s bezpečnosťou vyladené

Výskumný tím spoločnosti Microsoft pre umelú inteligenciu neúmyselne odhalil 38 terabajtov súkromných údajov v dôsledku nesprávne nakonfigurovaného tokenu Azure SAS v úložisku GitHub. Odhalené údaje obsahovali súkromné kľúče, heslá a viac ako 30-tisíc interných správ Microsoft Teams.

Bezpečnostní výskumníci preukázali, že na manipuláciu s modelmi umelej inteligencie, ako je Gemini spoločnosti Google, možno použiť nepriateľské techniky, ktoré ich prinútia ignorovať bezpečnostné pokyny a generovať škodlivý obsah. To poukazuje na zraniteľnosť veľkých jazykových modelov a potrebu spoľahlivých bezpečnostných opatrení.

Severokórejská skupina hrozieb Andariel použila techniku nazývanú RID hijacking na zvýšenie oprávnení v systémoch Windows. Úpravou relatívneho identifikátora (RID) účtu s nízkymi právami na účet správcu môžu útočníci získať zvýšený prístup, čím môžu vytvoriť skryté účty správcu. Táto situácia predstavuje riziko pre systémy umelej inteligencie pracujúce na platformách Windows, čo zdôrazňuje dôležitosť monitorovania systému a bezpečnostných protokolov.

DeepSeek má ďalší problém. Údaje používateľov zdieľa s materskou spoločnosťou TikToku – ByteDance. Tajný prenos údajov odhalila Komisia na ochranu osobných údajov v Južnej Kórei. Komisia uviedla, že zakaždým, keď používatelia pristupovali k aplikácii DeepSeek, údaje sa automaticky odosielali na servery ByteDance bez ich vedomia alebo výslovného súhlasu.

Hoci presná povaha a rozsah zdieľaných údajov zostávajú nejasné, odhalenie prinútilo juhokórejské orgány odstrániť DeepSeek z obchodov s aplikáciami. Zároveň sa uvažuje o sprísnení predpisov pre zahraničné spoločnosti pôsobiace v krajine.

Apple po druhýkrát: koniec pokojných časov

Počítače Mac čelia novej vlne kybernetických hrozieb v podobe škodlivého softvéru na odcudzenie informácií. Infostealer je určený na získavanie citlivých údajov, ako sú heslá a údaje o kreditných kartách. Takéto hrozby trápili najmä používateľov so systémom Windows, no v posledných dvoch rokoch sa čoraz častejšie zameriavajú aj na používateľov Macov.

Jedným z významných príkladov je malvér Banshee, ktorý zasiahol približne 100 miliónov používateľov spoločnosti Apple. Banshee preniká do systémov a získava poverenia prehliadača, peňaženky s kryptomenami, používateľské heslá a citlivé súbory. Často sa maskuje ako legitímny softvér, napríklad Chrome alebo Telegram, a šíri sa prostredníctvom phishingových stránok. Alarmujúce je, že Banshee sa predáva za tritisíc amerických dolárov. Jeho vývojári dokonca začlenili ukradnutý kód z antivírusového systému XProtect spoločnosti Apple, aby zlepšili jeho skryté schopnosti.

Ďalšou významnou hrozbou je infostealer Poseidon zodpovedný za 70 % všetkých takýchto detekcií na Macu koncom roka 2024. Dokáže extrahovať údaje z viacej ako 160 peňaženiek s kryptomenami a kradnúť heslá z webových prehliadačov, správcov hesiel, ako sú Bitwarden a KeePassXC, aplikácií na prenos súborov FileZilla a konfigurácií VPN vrátane Fortinetu a OpenVPN.

Výskumníci identifikovali dva útoky nazvané SLAP a FLOP, zamerané na procesory Apple kompatibilné s technológiou ARM vrátane čipov M2 a A15. Zraniteľnosti využívajú slabiny v LAP prediktore (Load Address Predictor), čo útočníkom umožňuje prístup k citlivým údajom, ako sú e-maily a história prehliadania. Útoky sa dajú vykonať prostredníctvom škodlivých webových stránok v prehliadačoch ako Safari a Chrome, čo zdôrazňuje potrebu spoľahlivých hardvérových bezpečnostných opatrení v aplikáciách AI.

Zdravotníctvo (zas)

Ransomvérový gang Medusa tentoraz útočil na spoločnosť HCRG Care Group, poskytovateľa zdravotných a sociálnych služieb so sídlom v Spojenom kráľovstve. Útočníci tvrdia, že ukradli 2,275 TB údajov vrátane citlivých informácií, ako sú skeny pasov a vodičských preukazov, rozvrhy zamestnancov a rodné listy. Za vymazanie alebo spätný predaj údajov požadujú výkupné vo výške dva miliónov dolárov. Termín platby bol 27. februára, potom malo nasledovať zverejnenie údajov. Spoločnosť ubezpečuje, že služby fungujú, a neposkytuje informácie o incidente ani o tom, či bolo výkupné zaplatené.

Ani v ransomvérovom gangu neplatí rovnosť

Používateľ s názvom ExploitWhispers publikoval na Telegrame stovky tisíc interných správ od ransomvérového gangu Black Basta. Súbor JSON s veľkosťou 50 MB už odstránili, avšak bezpečnostní výskumníci stihli získať cenné informácie. Predbežné analýzy naznačujú vnútorné konflikty v skupine, ktorých hnacou silou je kľúčová postava známa ako Tramp, podieľajúca sa na distribúcii malvéru Qbot. Úniky konverzácie odhaľujú aj požiadavky na výkupné dosahujúce desiatky miliónov aj diskusie o obstaraní exploitov VPN. Výskumníci poukazujú aj na nezhody v gangu v prípade odmeňovania.

Profesionáli si viacej veria

IT a bezpečnostní profesionáli sa prestávajú desiť, čo sa stane, ak sa stanú terčom kyberútoku. Štúdia inštitútu Ponemon naznačuje, že sú čoraz viac presvedčení o svojej schopnosti zvládnuť ransomvérové útoky. A to aj napriek tomu, že 88 percent z nich čelilo takýmto incidentom v minulom roku. Mierne sa znížil aj počet tých, ktorí si myslia, že ich organizácia môže byť terčom útoku. Od roku 2021, keď to bolo 68 percent respondentov, je prepad štyri percentuálne body. Znížili sa aj obavy z rizík dodávateľského reťazca a úniku údajov. Vzrástla dôvera v bezpečnostné opatrenia, pričom viac ako polovica odborníkov (54 %) verí, že ich nástroje na zmarenie útokov sú dostatočné. Predstavuje to výrazný nárast v porovnaní s rokom 2021, keď si verila iba necelá tretina profesionálov.