Hlavní navigace

Postřehy z bezpečnosti: nový modus operandi kyberzločinců požadujících výkupné

6. 6. 2016
Doba čtení: 3 minuty

Sdílet

Dnes se budu zabývat novým ransomware se schopnostmi internetového červa, softwarovým update managerům představujícím riziko a budu opět apelovat na šíření osvěty ohledně škodlivého softwaru.

Kyberzločinci přišli s novým postupem, jak přijít k výkupnému. Po úspěšném průniku do počítačové sítě významného podniku znepřístupní životně důležitá data, a následně požadují výkupné za jejich opětovné zpřístupnění, přičemž tvrdí, že vlastně odhalením zranitelnosti prokázali oběti laskavost či službu, za kterou si odměnu zasluhují. Tento druh trestné činnosti je momentálně na vzestupu u všech společností, které jsou závislé na IT.

Podle analytiků z IBM’s X-Force researchers je tato taktika (nazývaná „bug poaching“) jen variantou ransomware. V případě bug poachingu „zlí hoši“ obvykle požadují jako odměnu poměrně vysoké sumy (zpráva hovoří o 30 000 USD) výměnou za informace o tom, jakým způsobem byl průnik proveden, a navrácení systému do původního stavu (někdy prý je nabízena i služba zabezpečení informačního systému – ale kdo by si nechal instalovat sejf od známého kasaře?)

root_podpora

Podle zprávy analytiků X-Force researchers bylo za poslední rok zaznamenáno více než 30 individuálních případů tohoto typu. Podle názoru člena tohoto týmu bude podobných útoků pravděpodobně přibývat, a podniky by měly být na takovéto incidenty připraveny.

V závěru samozřejmě připomínají, že zaplacení výkupného je ta nejhorší volba. Nejen, že oběť nemá absolutně žádnou záruku že protistrana dodrží slovo, a po zaplacení uloupená data navrátí, navíc zaplacení výkupného darebáky povzbudí k pachání dalších útoků. Stejně jako v případě ransomwaru pak i zde hrozí riziko předání dat do nepovolaných rukou.

Naše postřehy

Microsoft varoval před novým ransomware, označeným jako Ransom:Win32/ZCryptor.A . Tento ransomware využívá podobných infekčních vektorů jako ostatní malware, tedy nevyžádané e-maily, macro malware, podvržené instalátory apod. Na rozdíl od ostatních „rodinek“ malwaru ovšem tento „výtečník“ disponuje schopnostmi starých známých – síťových „červů“. Tato schopnost mu umožňuje šíření mezi počítači v rámci sítě a to buď přes připojená přenosná zařízení s využitím souboru autorun.inf, nebo pomocí síťových disků.

Nástroje pro update softwaru předinstalovaného na PC od některých největších světových výrobců představují závažné ohrožení bezpečnosti, protože vystavují tato zařízení vzdáleným útokům. Problémy se obecně týkají nezabezpečeného nebo ne dost dobře zabezpečeného přenosu softwarových updatů, a seznamů aktualizovaných programů. Dalším problémem bývají self-signed certifikáty, případně vkládání dodatečných „certifikačních autorit“ do řetězu důvěry. Prostřednictvím podvržených softwarových updatů může “zlý hoch” přimět uživatele nainstalovat si v dobré vůli škodlivý software.

Poslední dobou je žhavým tématem možná kompromitace nástroje TeamViewer. Vývojáři stojící za tímto nástrojem však tuto možnost popírají. Namísto toho poukazují na uživatele, používající jedno heslo pro všechny aplikace. To zní jako docela dobrá výmluva, kdyby mezi postiženými nebylo i množství lidí, kteří jsou si jisti, že tento nešvar není jejich případ, a dokonce i lidé používající vícefaktorovou autentizaci. Je tedy možné, že TeamViewer trpí zranitelností, kterou jeho vývojářský tým není schopen objevit, nicméně raději počkáme s úsudkem až do vyjasnění celého případu.  

Ve zkratce

  • Facebook Messenger zavádí end-to-end šifrování, ale pouze na požádání. Navíc uživatelé budou muset oželet některé vymoženosti, které messengeru umožňují využívat určité prvky umělé inteligence, které se zapnutým šifrováním nefungují.

  • Nabíječka na mobil, kterou jste si půjčil od kolegy, může být ve skutečnosti maskovaný Keylogger 

  • V Rusku bylo zatčeno více než 50 lidí, obviněných z kyberzločinů v úhrnné hodnotě 45 mil. USD

  • Byla vydána nová verze anonymního prohlížeče TOR Browser

  • Nejaktivnější malware tohoto týdne: Stuxnet (SCADA/ICS), Locky (Ransomware), TeslaCrypt (Ransomware), Dridex (bankovní trojan), Irongate (SCADA/ICS)

Pro pobavení

Co myslíte, že se stane, když vezmete nový iPhone 6s, obalíte ho 50 dalšími iPhony v hodnotě cca 730 000 Kč, toto vše omotáte bleskovicí (páska z termitu, určená k řezání ocelových nosníků) a následně bleskovici odpálíte?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?