Postřehy z bezpečnosti: malware jako podnikatelský plán

12. 12. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V aktuálním díle Postřehů se podíváme na bizarní soudní spor s Googlem, na problematiku chybějící kontroly kvality u ransomware, na přípravu na kyberútoky Ruska během zimy a na řadu dalších zajímavostí.

I malware je podnikání

Dva muži prohráli spor s Googlem. Obžalovali ho, že jim maří jejich podnikatelský plán, botnet Glupteba. Nabídli přitom Googlu, že botnet sami zlikvidují, pokud jim zaplatí. Soudce to nepobavilo. Glupteba krade přihlašovací údaje, vypíná antiviry a poskytuje základ množství nezákonných aktivit. Majitelé botnetu prodávají získané informace dalším zločincům nebo od nich naopak přijímají platby za to, že oběti uvidí reklamu, případně přepronajmou nakažené počítače.

Příběh se stává ještě zajímavějším, protože pachatelé v jisté fázi slíbili, že botnet vypnou. Měli k němu přístup skrz ruskou firmu Valtron, pak ale svůj plán nemohli uskutečnit, protože už byli z firmy propuštěni. Pokud by jim však Google zaplatil nižší miliony dolarů, získali by od Valtronu soukromé klíče, kterými by botnet vypnuli. Google nabídku považoval za vyděračskou a předal ji soudu. Glupteba loni patřil k největším botnetům vedle Necurs, Raccoon, Andraomeda a Flubot.

Jak udělat z ransomware náhodný likvidátor dat

Analytici Fortinetu upozornili na vzorek malware, který byl vytvořen pomocí open-source ransomware toolkitu Cryptonite a který oproti běžným zvyklostem ve světě ransomware nenabízí možnost dešifrování. Dle expertů se tento typ „okleštěného ransomware“ objevuje častěji a je využíván především v politicky motivovaných útocích.

V popsaném případě se však pravděpodobně nejednalo o úmysl, ale o lajdáctví. Zpráva společnosti Fortinet pak lakonicky konstatuje, že problémem boje s ransomware je někdy jeho přílišná složitost, občas naopak přílišná jednoduchost a chybějící „quality assurance“.

Státy USA zakazují TikTok na vládních zařízeních

Maryland se připojil k Jižní Dakotě a oznámil zákaz státním zaměstnancům nebo agenturám používat TikTok na vládou vydaných zařízeních, zatímco Jižní Karolína požádala o jeho zablokování.

Guvernér Marylandu Larry Hogan podepsal nouzovou směrnici o kybernetické bezpečnosti, která zakazuje používání různých produktů od společností, o nichž se předpokládá, že jsou pod vlivem čínské a ruské vlády. Mezi tyto firmy patří například TikTok, Kaspersky, Tencent (který provozuje WeChat), Alibaba a telekomunikační společnosti Huawei a ZTE.

Příprava na ruské zimní kyberútoky

Microsoft před půl rokem koupil Miburo, společnost zabývající se výzkumem kybernetických hrozeb se specializací na zahraniční informační operace. Šéf a zakladatel Miburo Clint Watts se poté ujal vedení Centra pro analýzu digitálních hrozeb (DTAC). Minulou sobotu mu vyšel článek, ve kterém popisuje aktivity Ruska v kyberprostoru provázané s válkou na Ukrajině.

Popisuje, co v Microsoftu pozorují od doby, kdy ukrajinská protiofenzíva zatlačila ruskou armádu na ústup, a nastiňuje, jak by mohly vypadat kybernetické a vlivové operace Ruska směřující do zimních měsíců. Věnuje se ruskému působení a ovlivňování dění v zemích, které Ukrajinu podporují – uvádí například rozšíření kyberútoků na Polsko. Zvlášť zdůrazňuje situaci v Německu s jeho několikamilionovou rusky mluvící populací a kromě jiných zmiňuje i Česko.

Formbook v příloze .one

To, že jsou k šíření škodlivého kódu často používány dokumenty různých typů, je všeobecně známo. Stále se však objevují nové typy dokumentů, které jsou takto zneužívány. Ve Trustwave Spider Labs zachytili malware Formbook, šířený pomocí OneNote dokumentu. Formbook je malware prodávaný jako malware-as-a-service a slouží k extrakci dat z web prohlížečů a dalších aplikací. Obsahuje také keylogger a umí dělat screenshoty.

Analytiky byl zachycen 6. prosince 2022 v OneNote (.one) souboru zaslaném jako příloha emailu. Do dokumentu je vložen WindowsScriptFile (WSF), který po spuštění uživatelem spustí PowerShell a stáhne dva soubory. Jeden je klamný OneNote soubor, který má za úkol skrýt probíhající download, a druhý je .exe soubor se samotným malwarem. Zaznamenejte si tedy do svého seznamu podezřelých příloh i .one soubory.

Snadný přístup k vozidlům využívající SiriusXM

Byla objevena chyba, která mohla umožnit vzdálené převzetí kontroly nad automobily značky Honda, Nissan, Infiniti a Acura, které využívaly službu „ConnectedVehicles (CV) SiriusXM. Službu využívá více než 10 milionů vozidel především v Severní Americe. Systém poskytuje uživatelům rozšířené funkce, jako jsou například automatické upozornění na nehodu, rozšířená silniční asistence, dálkové odemykání dveří, dálkové startování motoru atd.

Kvůli chybě však mohlo dojít k odemykání, nastartování a troubení kýmkoliv, kdo znal identifikační číslo vozidla, uvedl bezpečnostní pracovník Sam Curry minulý týden na Twitteru. Útočník mohl zneužít chyby zasláním speciálního HTTP požadavku obsahující identifikační číslo vozu do systému SiriusXM a tím získat osobní údaje majitele vozu a také přístup k dálkovému ovládání vozu.

bitcoin školení listopad 24

Kybernetické incidenty pohledem NÚKIB – listopad 2022

Národní úřad pro kybernetickou bezpečnost vydal přehled Kybernetických incidentů za listopad 2022. Počet kybernetických incidentů se v tomto měsíci vrátil na mírně nadprůměrné hodnoty po rapidním nárůstu v měsíci říjnu. Převážně to byly incidenty, které hlásily povinné osoby ze sektoru veřejné správy, zdravotnictví, dopravy či bankovnictví.

Ve zkratce

Pro pobavení

Autor: Balbix

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.