MITRE publikovalo ATT&CK v19
Americká nezisková organizace MITRE publikovala 28. dubna novou verzi svého rámce MITRE ATT&CK, který v mezinárodní bezpečnostní komunitě slouží jako de facto standard pro mapování chování škodlivých aktérů a funkcí malwaru.
Nová verze jmenovaného rámce s sebou přináší několik změn, z nichž nejvýznamnější je bezpochyby nahrazení taktiky „Defense Evasion“ v matici Enterprise dvěma novými taktikami nazvanými „Stealth“ a „Defense Impairment“. Jak jejich názvy napovídají, do první z těchto taktik byly přesunuty techniky a postupy, které škodliví aktéři používají ke skrytí svých aktivit před detekcí, zatímco do druhé byly umístěny techniky užívané ze strany útočníků pro omezení funkce či efektivity bezpečnostních mechanismů.
Přestože výše uvedená změna umožňuje intuitivnější mapování vybraných škodlivých postupů, nese s sebou rovněž jeden negativní efekt. Vzhledem k tomu, že nahrazení jedné taktiky dvěma novými bylo spojeno mj. s potřebou změnit řadu interních identifikátorů a mapování v datovém modelu, na němž je rámec ATT&CK založen, u v podstatě jakéhokoli automatizovaného mechanismu, který s ATT&CKem pracuje, bude pro zajištění kompatibility s nejnovější verzí potřeba provést relativně široké úpravy.
Mezi další významné změny, které s sebou ATT&CK v19 přinesl, se řadí mj. doplnění detekčních strategií do matice Mobile nebo doplnění tzv. sub-technik do matice ICS.
V souvislosti s rámcem MITRE ATT&CK zaslouží zmínku aktuálně běžící projekt českého Ministerstva průmyslu a obchodu spuštěný v loňském roce, v rámci něhož jsou všem českým organizacím, které o to požádají, periodicky bezplatně poskytovány modely hrozeb, indikující, na které techniky užívané škodlivými aktéry by se měly tyto organizace primárně zaměřit při budování bezpečnostních opatření ve svých prostředích.
Vzhledem k tomu, že nová sada těchto modelů založená na rámci ATT&CK v19 bude ze strany MPO distribuována v nadcházejících týdnech, lze případným zájemcům o tyto modely, kteří tak ještě neučinili, doporučit co nejdříve o jejich zasílání požádat. Detaily k celému projektu i možnostem podání žádosti o jejich poskytování naleznete na tomto odkazu.
Pro úplnost je v souvislosti s aktualizací rámce ATT&CK rovněž vhodné zmínit, že již tuto středu proběhne jedna z nejvýznamnějších oficiálních akcí s vazbou na tento rámec, a to EU MITRE ATT&CK Community Workshop. Akce se fyzicky koná v Bruselu, ale je možné zúčastnit se jí i online, a to zcela zdarma. Detailní program i možnost registrace najdete v případě zájmu na tomto odkazu.
FTC informovala o ztrátách spojených s podvody v kyberprostoru
Federal Trade Commision, americký federální úřad zodpovědný za ochranu spotřebitelů, publikoval v pondělí zprávu obsahující několik zajímavých statistických údajů týkajících se finančních ztrát spojených s kybernetickými podvody v roce 2025. Přestože FTC se ve své zprávě věnuje výhradně situaci ve Spojených státech, díky relativně vysokému detailu poskytnutých údajů ji lze považovat za přinejmenším informativní i pro globální a české prostředí.
Za nejvýznamnější závěr, který zpráva zmiňuje, lze považovat jednoznačné potvrzení trendu spojeného s přechodem podvodníků z fyzického prostředí do kybernetického prostoru. Ten vhodně dokumentuje mj. skutečnost, že téměř 30 % všech osob, které v roce 2025 nahlásily v USA finanční ztrátu v souvislosti s nějakým podvodem, oznámilo, že podvodné jednání mělo své počátky na sociálních sítích – zejména na Facebooku či Instagramu, nebo na platformě WhatsApp. Celkem měli v roce 2025 jen v souvislosti s podvody na těchto a obdobných platformách američtí občané přijít o 2,1 miliardy dolarů, což představuje osminásobný nárůst ztrát od roku 2020.
Rozpad jednotlivých typů podvodů na sociálních sítích byl rovněž relativně zajímavý – více než 52 % podvodů bylo údajně spojeno s falešnými investičními nabídkami a přes dalších 40 % podvodů bylo navázaných na podvodné reklamy.
Mezi dalšími typy podvodů zaslouží zmínku rovněž tzv. „romance scamy“, občas česky označované jako podvody s láskou. FTC informovalo, že v roce 2025 bylo téměř 60 % všech podvodů tohoto typu, které byly Američany ohlášeny, rovněž iniciováno na sociálních sítích.
Přestože pro české prostředí nejsou obdobná aktuální čísla k dispozici, vzhledem k tomu, že jen v uplynulém týdnu informovala Policie ČR o řadě nových, úspěšných, romantických i jiných podvodů realizovaných v kybernetickém prostoru, lze předpokládat, že domácí situace v mnoha ohledech odpovídá té americké.
Jak se z ransomwaru stal wiper
Velkou pozornost bezpečnostních specialistů i odborných médií si v uplynulém týdnu získala zpráva společnosti Checkpoint věnovaná ransomwaru VECT 2.0. Důvodem přitom nebylo zatčení jeho autorů, ani nová útočná kampaň, při níž by škodliví aktéři tento ransomware masivně využívali, ale chyba, díky níž byly všechny soubory větší než 128 kB zašifrované tímto ransomwarem nevratně poškozeny a ani zaplacení výkupného by tak nemohlo zajistit jejich obnovu.
Zmiňovaná chyba existuje ve všech verzích jmenovaného ransomwaru a je způsobená nevhodnou prací s noncemi – kód ukládá pouze 1 ze 4 noncí použitých pro šifrování jednotlivých částí souborů přesahujících výše zmíněnou velikost, a v důsledku absence 3 zbývajících noncí pak není možné data korektně dešifrovat.
Byť VECT 2.0 není zdaleka prvním ransomwarem, u něhož se problémy s nezáměrnou destrukcí dat vyskytly, vzhledem k významné profesionalizaci ransomwarových skupin v posledních cca 10 letech rozhodně nejde o situaci, která by byla v současnosti častá.
Přesto může být aktuální aféra okolo ransomwaru VECT 2.0 dobrým dodatečným argumentem pro neplacení výkupného škodlivým aktérům. Obětem, které přeci jen budou ochotné výkupné zaplatit, pak příklad tohoto škodlivého kódu vhodně ukazuje potřebu nejprve jednoznačně ověřit, že škodliví aktéři budou schopní rozšifrovat všechna zasažená data – včetně těch v souborech větších než 128 kB…
Další zajímavosti
- CSIRT.CZ varuje před podvodnými SMS s výzvou k úhradě pokuty
- Nově objevená zranitelnost Copy Fail umožňuje provést eskalaci oprávnění ve většině moderních distribucích Linuxu
- Australian Signals Directorate spolu s partnery publikoval doporučení pro bezpečnou adopci AI agentů
- Pro-íránská skupina podnikla DDoS útok na systémy společnosti Canonical
- Nový akademický článek popisuje možnosti odposlechu s pomocí optických vláken
- elementary-data se stal dalším kompromitovaným balíčkem v PyPI využitým pro šíření škodlivého kódu
- Kolektiv ShinyHunters publikoval data odcizená společnostem Udemy, Zara nebo 7-Eleven
- Údajný člen skupiny SilkTyphoon byl vydán do USA
- Údajný člen skupiny Scattered Spider byl zatčen ve Finsku
- SonicWall informoval o potřebě okamžité aktualizace tří generací svých firewallů
Pro pobavení
It has been −2,147,483,648 days since our last integer overflow.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU