Hlavní navigace

Postřehy z bezpečnosti: pět stovek zákazníků Crypto.com přišlo o miliony

24. 1. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnes se podíváme na záplaty od Microsoftu a také na to, že hašovat hesla v MD5 bez soli, nebo být kyberzločincem se ne vždy vyplatí. Útočníci, kteří napadli Crypto.com, si bohužel přijdou na tučnou sumu.

Chyby z nepovedeného Patch Tuesday byly opraveny

Lednová sada aktualizací na systémy Windows obsahovala několik chyb, které znepříjemnily život IT administrátorům po celém světě. Jedna z chyb například znemožňovala připojení využívající IPSEC, IPSEC IKE nebo L2TP, což způsobovalo velké problémy hlavně u organizací, ve kterých zaměstnanci pracují primárně z domova. Další chyby způsobené těmito aktualizacemi způsobovaly neočekávané restartování doménových řadičů nebo nebylo možné nastartovat některé Hyper-V virtuální stroje.

Pro některé z těchto chyb existují postupy, jak je odstranit i bez dalších záplat, avšak ne vždy je to možné nebo to nemusí být z pohledu dané organizace žádoucí. Společnost Microsoft však pro některé verze systémů Windows dne 18. ledna vydala out-of-band aktualizace, které opravují výše zmíněné i další problémy spojené s touto sadou aktualizací.

Únik údajů téměř 7 milionů uživatelů OpenSubtitles

V úterý 18. ledna byla na populární stránce OpenSubtitles zveřejněna zpráva o tom, že došlo k úniku informací o uživatelích z databáze této služby. Útočníkovi se podařilo získat super-administrátorská oprávnění a tím získat přístup ke skriptu, který mu umožnil zneužít SQL Injection zranitelnost a získat tak veškerá data z databáze.

Útočník po exfiltraci dat kontaktoval vlastníky OpenSubtitles stránek a požadoval výkupné za to, že data smaže, a že nebudou zveřejněna. Po zaplacení výkupného se však data objevila veřejně dostupná na internetu. Informace v databázi obsahovaly přihlašovací jméno, email a hesla všech uživatelů. Hesla byla v databázi ukládána v podobě MD5 hašů bez soli. Vlastníci stránek OpenSubtitles vynutili všem uživatelům změnu hesla a doporučují uživatelům, kteří použili stejné heslo i jinde, aby si ho změnili i tam.

Crypto.com napadena hackery

Třetí největší a zároveň jedna z mediálně nejznámějších směnáren s kryptoměnami Crypto.com byla napadena hackery. Ti byli schopni ovládnout účty téměř pěti set zákazníků a z nich údajně vybrat měny Ether a bitcoin v hodnotě okolo 35 miliónů dolarů.

Když se 17. ledna správci Crypto.com dozvěděli o malém množství uživatelů u kterých docházelo k neoprávněným výběrům, okamžitě pozastavili transakce pro všechny tokeny. Tyto neoprávněné výběry probíhaly bez dvoufaktorového ověření. Proto Crypto.com zahájilo vyšetřování a zároveň před znovu povolením požadovalo re-login všech uživatelů a znovunastavení všech 2FA tokenů. Výpadek trval přibližně 14 hodin a Crypto.com bohužel neposkytlo jakékoliv detaily ohledně útoku. 

REvil gang zatčen, Ruský symbol „boje“ s kyberzločinem?

Ruská zpravodajská služba FSB oznámila, že zadržela čtrnáct členů ruského ransomwarového gangu REvil, společně s měnami a luxusním zbožím v celkové hodnotě přesahující šest milionů dolarů. FSB prý jednala na základě informací obdržených z Amerických informačních služeb

REvil je gang známý svojí činností v oblasti„“Ransomware as a Service“ – RaaS (například Gand Crab, nebo Sodinokibi) a také díky nedávnému útoku suply chain s využitím monitoring a management systému Kaseya VSA, kde se jim podařilo nakazit několik desítek tisíc zákazníků. 

Důvod proč se FSB rozhodla v tomto případě konat, namísto tradičního přehlížení kyberzločinu (pokud jde o útoky mimo Rusko), se pravděpodobně nedozvíme. Položit si tuto otázku v širším geopolitickém měřítku bychom si ale pravděpodobně měli.

Ukrajinu zasáhl masivní kybernetický útok 

Útok na servery ukrajinských společností začal podle Microsoftu 13. ledna 2021. Microsoft Threat Intelligence Center jako jeden z prvních zaznamenal indikace, informoval o tom na svých stránkách a pojmenoval malware WhisperGate. Napadené servery v sobě měly Master Boot Record (MBR) wiper, tedy destruktivní malware, který je určený k mazání dat. I když nakažené počítače obsahovaly ransomware zprávu pro zaplacení výkupného, výzkumníci potvrdili, že malware je pouze destruktivní a v případě zaplacení soubory zůstanou poškozené. Analýzu malware zveřejnil na Youtube výzkumník Nicolas Brulez.

Tato událost má mnoho společného s NotPetya útokem a bohužel, nebyl to jediný kybernetický útok vedený proti Ukrajině za poslední dobu. Sedmdesát serverů Ukrajinské vlády bylo poškozeno, nebo vyřazeno z provozu a zprávy napsané na napadených webech naznačují, že jde o hybridní válku vedenou Ruskou stranou: Ukrainians! … All information about you has become public. Be afraid and expect worse. It’s your past, present and future.

Zároveň s probíhající mobilizací Ruské armády na Ukrajinské hranici není složité vidět spojitosti.

Moonbounce – výzkumníci objevili rootkit skrytý uvnitř UEFI

Skupina výzkumníků z Kaspersky Lab odhalila rootkit v UEFI firmwaru u jednoho ze svých zákazníků. Celkem logicky byl rootkit umístěn v SPI flash paměti namísto harddisku a tím si zajistil perzistenci v případě formátu celého disku.

Rootkit byl navržen tak, že umožňoval instalaci dalšího malware a podle Kaspersky, nález celkem jasně indikuje, že za útokem stojí Čínská státem sponzorovaná skupina APT41. Pokud se chcete dozvědět více, můžete se podívat na detailní popis na stránkách společnosti Kaspersky.

UX DAy - tip 2

Rootkity se díky složitější odhalitelnosti a persistenci stávají poměrně populární mezi hackery, a to obzvláště mezi skupinami, které používají sofistikované metody útoků.

Další zajímavosti

Pro pobavení


Autor: xkcd

Pravda někdy bolí

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.