Co je malware?

Malware funguje tak, že pomocí triků znemožňuje normální provoz zařízení. Jakmile kyberzločinec získá přístup k vašemu zařízení prostřednictvím jedné nebo několika různých technik, jako je phishingový e-mail, nakažený soubor, zneužití chyby v zabezpečení systému nebo softwaru, nakažený USB flash disk nebo škodlivý web, zneužije tuto situaci ke spouštění dalších útoků, získání přihlašovacích údajů k účtům, shromažďování osobních údajů ke zpeněžení, prodeji přístupu k výpočetním prostředkům nebo vylákání plateb od obětí.

Obětí malwarového útoku se může stát kdokoli. I když možná víte, jak odhalit některé způsoby, jakými útočníci cílí na obětí malwaru, kyberzločinci jsou sofistikovaní a neustále vyvíjejí své metody, aby udrželi krok s technologiemi a vylepšeními zabezpečení. Malwarové útoky také vypadají a probíhají odlišně v závislosti na typu malwaru. Například oběť rootkitového útoku o něm nemusí mít ani tušení, protože tento typ malwaru je navržený tak, aby byl nenápadný a zůstal co nejdéle bez povšimnutí.

Existuje mnoho typů malwaru – tady je několik nejběžnějších.


Adware

Adware se instaluje na zařízení bez souhlasu vlastníka, aby zobrazoval nebo stahoval reklamy, často ve formě automaticky otevíraných oken, aby vydělával peníze za kliknutí. Tyto reklamy často zpomalují výkon zařízení. Nebezpečnější typy adwaru můžou také instalovat další software, měnit nastavení prohlížeče a zvýšit zranitelnost zařízení vůči jiným malwarovým útokům.


Botnety

Botnety jsou sítě infikovaných zařízení ovládaných na dálku útočníky. Tyto sítě se často používají pro rozsáhlé útoky, jako jsou distribuované útoky typu denial-of-service (DDoS), spamování nebo krádeže dat.


Cryptojacking (nelegální těžba kryptoměn)

S nárůstem oblíbenosti kryptoměn se dolování mincí stalo výnosnou činností. Cryptojacking spočívá v tom, že se útočník bez vědomí majitele zařízení zmocní jeho výpočetního výkonu a těží kryptoměny, což výrazně zpomaluje infikovaný systém. Nakažení tímto typem malwaru často začíná u e-mailové přílohy, která se pokusí nainstalovat malware, nebo u webu, který zneužije chyby zabezpečení ve webových prohlížečích, případně využije výpočetní výkon počítače k přidání malwaru do zařízení.

Používáním složitých matematických výpočtů udržují útočníci blockchainový registr neboli decentralizovaný digitální systém záznamů, aby kradli výpočetní prostředky, které jim umožňují vytvářet nové mince. Dolování kryptomincí ale vyžaduje významný výpočetní výkon, přičemž se pak odcizí relativně malý objem kryptoměn. Z tohoto důvodu kyberzločinci často pracují v týmech, aby maximalizovali zisky, které si pak rozdělují.

Ne všichni těžaři ale pracují na zločinném základě – organizace někdy nakupují hardware a elektronickou energii pro legitimní těžbu. Tento postup se stává protiprávním, pokud kyberzločinec infiltruje firemní síť bez vědomí majitele a využije její výpočetní výkon k dolování.


Exploity a sady Exploit kit

Exploity (programy pro zneužití) využívají ohrožení zabezpečení v softwaru k obcházení zabezpečení počítače a instalaci malwaru. Hackeři se zlými úmysly vyhledávají zastaralé systémy, které v sobě mají kritická ohrožení zabezpečení, a pak je zneužijí nasazením malwaru. Zahrnutím kódu prostředí do exploitu, jehož cílem je zneužití slabého místa, můžou kyberzločinci stáhnout další malware, který napadne další zařízení a infiltruje organizaci.

Sady Exploit Kit jsou automatizované nástroje používané kyberzločinci k vyhledání a zneužití známých ohrožení zabezpečení softwaru, což jim umožňuje rychle a efektivně provádět útoky. Jako příklady potenciálně infikovaného softwaru lze uvést Adobe Flash Player, Adobe Reader, webové prohlížeče, Oracle Java a Sun Java. Mezi běžné sady tohoto typu patří Angler/Axpergle, Neutrino a Nuclear.

Exploity a sady Exploit kits obvykle využívají škodlivé weby nebo e-mailové přílohy k narušení sítě nebo zařízení, ale někdy se také skrývají v reklamách na legitimních webech.


Bezsouborový malware

Tento typ kybernetického útoku obecně označuje malware, který k prolomení sítě nevyužívá soubory, jako je infikovaná e-mailová příloha. Můžou například přicházet prostřednictvím škodlivých síťových paketů nebo malých segmentů větší datové sady přenášené přes počítačovou síť, zneužít nějaké ohrožení zabezpečení a pak nainstalovat malware, který žije pouze v paměti jádra. Bezsouborové hrozby je zvlášť obtížné najít a odstranit, protože většina antivirových programů není navržena tak, aby kontrolovala firmware.


Ransomware

Ransomware je typ malwaru, který vyhrožuje obětem tím, že pokud nezaplatí výkupné, jejich klíčová data budou zničena nebo přístup k nim bude zablokován. Při ransomwarových útocích řízených lidmi dojde k napadení organizace prostřednictvím obvyklých chyb v konfiguraci systému a zabezpečení. Ransomware následně infiltruje organizaci, projde si podnikovou síť a přizpůsobí se prostředí a případným slabým místům. Běžnou metodou získání přístupu k síti organizace za účelem zanesení ransomwaru je krádež přihlašovacích údajů skutečného zaměstnance, aby se kyberzločinec mohl za něho vydávat a získal přístup k jeho účtům.

Útočníci, kteří používají ransomware řízený člověkem, cílí na velké organizace, protože ty můžou zaplatit vyšší výkupné než běžný člověk – často jde o mnoho milionů dolarů. Vzhledem k vysokým rizikům spojeným s narušením takového rozsahu se mnoho organizací raději rozhodne zaplatit výkupné, než aby nechaly uniknout svá citlivá data nebo riskovaly další útoky. Platba však nezaručuje prevenci ani jednoho z těchto výsledků.

S rostoucím počtem útoků ransomwaru řízených lidmi jsou zločinci, kteří za nimi stojí, stále organizovanější. Mnoho ransomwarových útoků dnes používá model „ransomeware jako služba“ (Ransomware as a Service), což znamená, že skupina zločineckých vývojářů vytvoří samotný ransomware a pak najme další kyberzločince, aby se nabourali do sítě organizace a ransomware do ní nainstalovali. Zisky si pak obě skupiny po dohodě rozdělí.


Rootkity

Při použití rootkitu skryje kyberzločinec malware na zařízení na co nejdelší dobu, někdy i na celé roky, aby mohl průběžně krást informace a prostředky. Díky zachycování a změnám standardních procesů operačního systému může rootkit upravovat informace, které zařízení o sobě hlásí. Zařízení nakažené rootkitem nemusí například zobrazovat přesný seznam spuštěných programů. Rootkity můžou také kyberzločincům zajistit správcovská nebo zvýšená oprávnění k zařízením, takže nad nimi můžou převzít úplnou kontrolu a provádět aktivity, jako jsou krádeže dat, sledování obětí a instalace dalšího malwaru.


Spyware

Spyware shromažďuje osobní nebo citlivé informace bez vědomí uživatele, často sleduje jeho zvyky při procházení webu, přihlašovací údaje nebo finanční údaje, které pak můžou být použity ke krádeži identity nebo prodány třetím stranám.


Útoky na dodavatelské řetězce

Tento typ malwaru cílí na vývojáře a poskytovatele softwaru tím, že přistupuje ke zdrojovým kódům, vytváří procesy nebo aktualizuje mechanismy v legitimních aplikacích. Jakmile kyberzločinec objeví nezabezpečený síťový protokol, nechráněnou serverovou infrastrukturu nebo nebezpečný kódovací postup, dostane se dovnitř, změní zdrojové kódy a skryje malware v buildovacích a aktualizačních procesech. Když je napadený software odeslán zákazníkům, napadá také systémy zákazníků.


Podvody spojené s technickou podporou

Podvody spojené s technickou podporou se vyskytují v celém odvětví a uplatňují zastrašovací taktiku, aby lidi přiměly k zaplacení za nepotřebné služby technické podpory v návaznosti na zfalšovaný problém související se zařízením, platformou nebo softwarem. Při tomto typu malwaru kyberzločinec někomu přímo zavolá a vydává se za zaměstnance softwarové společnosti nebo vytvoří klikací reklamy, které mají vypadat jako systémová varování. Jakmile si útočník získá důvěru, naléhá na potenciální oběti, aby si nainstalovaly aplikace nebo poskytli vzdálený přístup ke svým zařízením.


Trojské koně

Trojské koně se maskují jako legitimní software a snaží oklamat lidi a přimět je si je stáhnout. Po stažení můžou:
 

• Stahovat a instalovat další malware, jako jsou viry nebo červi.
• Používat infikované zařízení pro podvodná kliknutí tím, že uměle zvyšují počet kliknutí na nějaké tlačítko, reklamu nebo odkaz.
• Zaznamenávat stisknutí kláves a weby, které navštívíte.
• Odesílat hackerovi informace o infikovaném zařízení (například hesla, přihlašovací údaje a historii procházení).
• Poskytnout kyberzločinci kontrolu nad infikovaným zařízením.
   

Červi

Většinou se nachází v přílohách e-mailů, v textových zprávách, v programech pro sdílení souborů, na webech sociálních sítí, v síťových sdílených složkách a na vyměnitelných jednotkách. Červ se šíří přes síť tím, že zneužívá ohrožení zabezpečení a kopíruje se. V závislosti na typu může červ krást citlivé informace, měnit nastavení zabezpečení nebo bránit v přístupu k souborům. Na rozdíl od virů nepotřebují červi k šíření žádnou lidskou interakci – replikují se sami.


Viry

Viry jsou jednou z nejstarších forem malwaru, Jejich cílem je narušit nebo zničit data v infikovaných zařízeních. Obvykle infikují systém a replikují se, když oběť otevře škodlivé soubory nebo e-mailové přílohy.

Malware může firmám způsobit značné škody s následky, které přesahují rámec počátečního útoku a zahrnují:
 

• Finanční ztráty. Finanční náklady, včetně výkupného, nákladů na obnovu a ztracených příjmů během výpadku, jsou běžným výsledkem malwarových útoků.
• Úniky dat a problémy s ochranou osobních údajů. Malware může vést ke krádeži dat a ohrožení citlivých informací, jako jsou zákaznická data nebo duševní vlastnictví.
• Provozní narušení. Útoky mohou zastavit provoz firmy, pokud je zaměstnancům znemožněn přístup k důležitým systémům nebo datům.
• Poškození reputace. Veřejná známost útoku může narušit důvěru a poškodit vztahy se zákazníky a dlouhodobé obchodní vyhlídky.

Včasné odhalení malwaru je klíčové pro minimalizaci škod na vašich systémech. Malware často zobrazuje drobné příznaky, jako je nízký výkon, častá chybová ukončení a neočekávaná automaticky otevíraná okna nebo programy, které by mohly signalizovat napadení.

Firmy používají různé nástroje k detekci malwaru, včetně antivirového softwaru, firewallů, systémů pro detekci a reakci u koncových bodů (EDR), služeb spravované detekce a reakce (MDR), řešení pro rozšířenou detekci a reakci (XDR), a procesy proaktivního vyhledávání kybernetických hrozeb. Zatímco EDR se zaměřuje na detekci a reakci na hrozby na úrovni koncových bodů, XDR jde nad rámec koncových bodů a koreluje signály napříč více doménami, jako jsou e-maily, identity a cloudové aplikace, což poskytuje komplexní pohled na hrozby. MDR kombinuje tyto nástroje se službami monitorování a reakce vedenými odborníky a nabízí firmám dodatečnou podporu při správě hrozeb.

Když se zjistí neobvyklá aktivita, spuštění úplných systémových kontrol a kontrola protokolů může pomoct potvrdit přítomnost malwaru. EDR hraje v tomto procesu důležitou roli tím, že identifikuje a izoluje ohrožené koncové body, zatímco XDR rozšiřuje detekci v celé organizaci a nabízí kompletní přehled o útocích. Služby MDR tento proces dále vylepšují průběžným monitorováním a odbornou analýzou, což umožňuje rychlejší a efektivnější reakce. Tyto nástroje a služby společně poskytují jednotný přístup ke zjišťování a zmírňování malwarových hrozeb a pomáhají firmám omezit škody a udržovat zabezpečení.

Prevence malwaru vyžaduje proaktivní přístup k zabezpečení a jeho efektivní odebrání závisí na včasné detekci a rychlé akci. Organizace můžou blokovat nebo detekovat malwarové útoky pomocí kombinace antivirových programů a pokročilých řešení pro detekci a reakci na hrozby, která poskytují komplexní způsob, jak rychle identifikovat a zmírnit hrozby.

Tady je několik způsobů, jak zabránit malwarovému útoku:


Nainstalujte antivirový program

Nejlepší formou ochrany je prevence. Organizace můžou zablokovat nebo detekovat mnoho malwarových útoků pomocí důvěryhodného řešení zabezpečení, které zahrnuje antimalware, jako je Microsoft Defender for Endpoint. Když použijete takový program, vaše zařízení nejprve zkontroluje všechny soubory nebo odkazy, které se chystáte otevřít, aby se ověřila jejich bezpečnost. Pokud je soubor nebo web škodlivý, program vás upozorní a navrhne, abyste ho neotevírali. Tyto programy můžou také odebrat malware ze zařízení, které už je nakažené.


Implementace ochrany e-mailů a koncových bodů

Pomozte zabránit malwarovým útokům pomocí řešení XDR, jako je Microsoft Defender for XDR. Tato jednotná řešení bezpečnostních incidentů poskytují holistický a efektivní způsob ochrany před pokročilými kybernetickými útoky a reakce na ně. XDR staví na základech MDR, které kombinuje monitorování vedené odborníky s pokročilými nástroji pro detekci, a díky integraci signálů mezi koncovými body, e-maily, identitami a cloudovými aplikacemi posouvá zabezpečení na vyšší úroveň. Tato rozšířená viditelnost umožňuje organizacím rychleji a přesněji identifikovat a narušovat sofistikované útoky.

Microsoft Defender for Endpoint, který je také součástí řešení Microsoft Defender XDR, využívá senzory chování koncových bodů, analytiku zabezpečení cloudu a analýzu hrozeb, čímž organizacím pomáhá předcházet pokročilým hrozbám, detekovat a prošetřovat je a reagovat na ně.


Pořádejte pravidelná školení

Udržujte zaměstnance informované o tom, jak rozpoznat známky phishingu a dalších kybernetických útoků, pomocí pravidelně aktualizovaných školení o novinkách v taktice útočníků. Seznámí se nejen s bezpečnějšími pracovními postupy, ale také s tím, jak bezpečněji používat svá osobní zařízení. Simulační a školicí nástroje pomáhají simulovat reálné hrozby ve vašem prostředí a přiřazovat školení koncovým uživatelům na základě výsledků.


Využívejte cloudové zálohy

Pokud svá data přesunete do cloudové služby, budete je moci snadno zálohovat, takže budou ve větším bezpečí. Pokud by někdy došlo k ohrožení dat malwarem, pomohou tyto služby zajistit okamžité a zároveň i komplexní obnovení.


Implementujte model nulové důvěry (Zero Trust)

Model nulové důvěry (Zero Trust) posoudí každé zařízení a každého uživatele z hlediska rizik, a teprve pak jim povolí přístup k aplikacím, souborům, databázím a dalším zařízením. Snižuje se tak pravděpodobnost, že by k prostředkům mohla získat přístup škodlivá identita nebo zařízení a nainstalovat malware. Příkladem je implementace vícefaktorového ověřování, což je jedna z komponent modelu nulové důvěry (Zero Trust) – to snižuje efektivitu útoků na identitu o více než 99 %. Pokud chcete vyhodnotit úroveň vyspělosti své organizace z hlediska této strategie, absolvujte naše posouzení připravenosti na model nulové důvěry (Zero Trust).


Připojte se ke skupině pro sdílení informací

Skupiny pro sdílení informací, které se obvykle organizují podle odvětví nebo geografické polohy, motivují podobně strukturované organizace ke spolupráci na řešeních kybernetické bezpečnosti. Rovněž organizacím nabízejí další výhody, jako jsou služby pro reakci na incidenty a digitální forenzní služby, novinky o nejnovějších hrozbách a monitorování rozsahů a domén veřejných IP adres.


Udržujte offline zálohy

Cílem malwaru může být i vyhledání a odstranění všech vašich online záloh, a proto je vhodné udržovat aktualizované offline zálohy citlivých dat, která budete pravidelně testovat, abyste měli jistotu, že je bude možné použít k obnovení po malwarovém útoku.


Udržujte software v aktualizovaném stavu

Kromě udržování všech antivirových řešení v aktualizovaném stavu (zvažte automatické aktualizace pro zjednodušení tohoto procesu) si nezapomeňte stahovat a instalovat všechny další aktualizace systému a opravy softwaru, jakmile jsou k dispozici. Přispějete tím k minimalizaci slabých míst v zabezpečení, která by kyberzločinec mohl zneužít k získání přístupu k vaší síti nebo zařízením.


Vytvořte plán reakce na incident

Plán reakce na incident vám poskytne kroky, které je potřeba provést v různých scénářích útoku, abyste se mohli co nejdříve vrátit k normálnímu a bezpečnému provozu.

Malware není vždy snadno zjistitelný, zejména v případě bezsouborového malwaru. Organizace i jednotliví uživatelé by si měli všímat jevů, jako je zvýšení počtu automaticky otevíraných reklam, přesměrování webových prohlížečů, podezřelé příspěvky na účtech sociálních médií a zprávy o ohrožených účtech nebo zabezpečení zařízení. Změny v výkonu zařízení, jako je jeho výrazné zpomalení, můžou být také známkou infekce malwarem.

V případě sofistikovanějších útoků na organizace, které antivirové programy nedokážou detekovat a zablokovat, jsou tu nástroje SIEM (Security Information and Event Management) a XDR (Security Information and Event Management), které poskytují bezpečnostním specialistům cloudové metody zabezpečení koncových bodů. Ty usnadňují detekci útoků na koncová zařízení a reakci na ně. Protože tyto typy útoků jsou mnohostranné a cílem kyberzločinců je víc než jen převzetí kontroly nad zařízeními, pomáhají nástroje SIEM a XDR organizacím rozpoznat útoky ve všech doménách – včetně zařízení, e-mailů a aplikací.

Používání nástrojů SIEM a XDR, jako jsou Microsoft Sentinel, Microsoft Defender XDR a Microsoft Defender for Cloud, poskytuje antivirové schopnosti. Specialisté na zabezpečení by měli zajistit, aby se nastavení zařízení vždy aktualizovala podle nejnovějších doporučení, čímž pomáhají předcházet malwarovým hrozbám. Jedním z nejdůležitějších kroků, které je třeba podniknout k přípravě na útok malwaru, je vyvinout plán reakce na incidenty – podrobný, strukturovaný přístup, který organizace používají k řízení a zmírnění dopadu kybernetických útoků, včetně infekcí malwarem. Popisuje konkrétní kroky pro identifikaci, potlačení a odstranění hrozeb, a také pro zotavení ze způsobených škod. Dobře definovaný plán reakce na incidenty pomáhá firmám minimalizovat prostoje, snižovat finanční ztráty a chránit citlivá data tím, že zajišťuje, aby všichni členové týmu věděli o svých rolích a zodpovědnostech během kybernetické krize. Tato proaktivní příprava je klíčem k zachování provozní kontinuity.

Pokud se obáváte, že jste se stali obětí malwarového útoku, jsou naštěstí k dispozici možnosti, jak ho detekovat a odstranit. Okamžité kroky, které je třeba podniknout, zahrnují:
 

• Spuštění antivirových produktů, například těch, které jsou nativně nabízeny v systému Windows, za účelem vyhledání všech škodlivých programů nebo kódu. Pokud program zjistí malware, uvede jeho typ a poskytne návrhy na jeho odstranění. Po odstranění nezapomeňte udržovat software aktualizovaný a funkční, aby se zabránilo budoucím útokům.
• Izolování ovlivněných systémů. Zabraňte šíření malwaru vypnutím postiženého systému nebo zakázáním síťové konektivity systému. Vzhledem k tomu, že útočníci se zlými úmysly můžou monitorovat komunikaci organizace a hledat důkazy o tom, že byl jejich útok odhalen, používejte k projednání dalších kroků netypická zařízení a metody, jako jsou telefonní hovory nebo osobní schůzky.
• Informování zúčastněných stran. Postupujte podle pokynů pro oznamování v plánu reakce na incidenty a zahajte postupy pro omezení, zmírnění a obnovu. Incident byste měli nahlásit také úřadu pro kybernetickou bezpečnost a zabezpečení infrastruktury, místní pobočce Federálního úřadu pro vyšetřování (FBI), centru FBI pro stížnosti na internetovou kriminalitu nebo místní pobočce tajných služeb USA. Zajistěte dodržování zákonů o porušení zabezpečení dat a oborových předpisů, abyste se vyhnuli dalším potížím.

S vývojem technologií se malware stále přizpůsobuje, stává se sofistikovanějším a hůře odhalitelným. Pochopení budoucích trendů pomáhá firmám udržet si náskok před hrozbami.

Nové typy malwaru jsou stále sofistikovanější a často jsou navrženy tak, aby obcházely tradiční bezpečnostní opatření pomocí technik obfuskace. Mezi tyto techniky patří polymorfní malware, který při každé infekci mění strukturu svého kódu, což ztěžuje jeho odhalení. Dalším příkladem je malware, který se skrývá v legitimních procesech nebo používá šifrování k zamaskování škodlivé datové části. Bezsouborový malware, který pracuje přímo v paměti a nezanechává stopu, se také vyhýbá detekci tradičními antivirovými programy. K řešení těchto vyvíjejících se hrozeb potřebují organizace pokročilá řešení, jako jsou nástroje pro kyberbezpečnost využívající umělou inteligenci, které nejen vylepšují úsilí o detekci a prevenci, ale umožňují také automatické přerušení útoků. Tyto nástroje můžou izolovat nakažená zařízení a pozastavit ohrožené účty v reálném čase, zastavit probíhající hrozby a omezit škody.

Tyto nástroje zvyšují míru detekce tím, že odhalují anomálie nebo neobvyklé chování, které by mohly naznačovat útok, ještě dříve, než by je odhalily tradiční metody. Modely AI mohou také předpovídat potenciální hrozby tím, že se učí z předchozích útoků, což umožňuje provádět preventivní opatření. Algoritmy strojového učení navíc průběžně vylepšují možnosti detekce a pomáhají bezpečnostním týmům udržet si náskok před vyvíjejícími se hrozbami tím, že předpovídají a zabraňují útokům dříve, než k nim dojde.

Při ochraně před malwarovými hrozbami se organizace můžou spolehnout na sjednocenou platformu SecOps využívající umělou inteligenci od Microsoftu. Toto řešení integruje pokročilou detekci hrozeb s asistencí AI a automatizované reakce za účelem boje proti nově vznikajícím typům malwaru. Spojuje detekci koncových bodů, analýzu hrozeb a zabezpečení cloudu a nabízí sjednocenou platformu pro detekci malwarových útoků, reakce na ně a jejich prevenci v reálném čase. Tato platforma poskytuje komplexní přehled a automatizovanou ochranu napříč sítěmi a pomáhá firmám posílit jejich ochranu před vyvíjejícími se hrozbami.