Hlavní navigace

Postřehy z bezpečnosti: poražený RansomWarrior

CSIRT.CZ

V dnešním díle se podíváme na to, jak se podařilo dešifrovat jeden ransomware, zneužívání neaktualizovaných routerů od MikroTiku, upravený doplněk pro Chrome, válku v šifrování a další.

Doba čtení: 3 minuty

Bezpečnostním expertům se podařilo dešifrovat nový ransomware s názvem RansomWarrior, který byl objeven na začátku srpna skupinou nazývanou „Malware Hunter Team“. Samotný RansomWarrior vyžadoval po obětech zaplacení v Bitcoinu a navíc obsahoval seznam „bonusových tipů“ pro uživatele.

Například radil, aby starší uživatelé požádali o pomoc mladé příbuzné a nehlásili incident na policii, protože je to bude stát jejich drahocenný čas a navíc, policie stejně nebude schopna obětem pomoci. Zpráva je pak zakončená veselým pozdravem „Přejeme hezký den. S láskou Indie.“

Tvůrci malwaru však udělali několik chyb při psaní zlomyslného kódu. Kód napsaný v .NETu není zabalený nebo nějakým způsobem chráněný, což dává možnost bezpečnostním pracovníkům analyzovat malware. Ti nakonec zjistili, že způsob generování šifrovacího klíče si tvůrci malwaru usnadnili tím, že si vytvořili seznam obsahující 1000 klíčů, ze kterých pak náhodně generovali jeden. Pracovníkům týmu „Check Point Research“ se povedlo díky extrahovaným klíčům vytvořit dešifrovací nástroj, který napadeným uživatelům zpátky dešifruje jejich zašifrovaná data.

Naše postřehy

V poslední době bylo zaznamenáno četné zneužívání zranitelnosti CVE-2018–14847 na zařízeních MikroTik. Zranitelnost byla opravena v rámci aktualizací z dubna letošního roku, nicméně zařízení, která nemají čerstvé aktualizace, se na Internetu stále vyskytují. Netlab 360 uvádí, že více než 7500 těchto zařízení odposlouchává své majitele a přeposílá data útočníkům. Mezi nejčastěji odposlouchávané pak patří porty číslo 21 (FTP), 143 (IMAP – e-mail), a 110 (POP3 – také e-mail).

Richard Porter a Xavier Mertens se rozhodli otestovat rozhraní OctoPrint využívané pro 3D tiskárny. Zjistili, že více než 3700 tiskáren je volně vystaveno na Internetu bez nutnosti autentizace. Uživatelé mohou díky prostředí vzdáleně ovládat a sledovat tiskové úlohy pomocí webového prohlížeče. Pokud však útočník narazí na takto nezabezpečenou tiskárnu, může začít sám tisknout a způsobit případně i požár, protože některé 3D tiskárny se nevypnou při přehřátí. Můžou taky získat citlivá data nebo změnit tiskovou frontu.

Společnost Trend Micro Incorporated odhalila, že organizace po celém světě se vystavují zbytečnému riziku tím, že při plánování projektů zahrnujících IoT nekonzultují projekty s bezpečnostními týmy. Průzkum ukázal, že 79 % projektů kooperuje s IT odděleními, ale pouze 38 % jich spolupracuje s bezpečnostními týmy.

Neznámým útočníkům se podařilo pozměnit rozšíření MEGA pro prohlížeč Chrome. Toto rozšíření usnadňuje uživatelům práci s cloudovým úložištěm souborů Mega.nz. Jeho upravená verze ovšem požádala uživatele o zvýšení přístupových oprávnění na úroveň přístupu k osobním informacím, což jí umožňovalo krást přihlašovací údaje ke službám jako jsou Amazon, Github, Google, MyEtherWallet, MyMonero, nebo Idex.market. Získaná data pak byla ukládána na server na Ukrajině. Brian Krebs si v této souvislosti pokládá otázku, zda rozšíření prohlížečů za to riziko stojí.

Vládní činitelé z Austrálie, Kanady, Spojeného království, USA a Nového Zélandu vyhlásili válku šifrování, neboť v něm nevidí ochranu, ale hrozbu. Odpovědní činitelé očekávají, že s nimi budou technologické firmy spolupracovat, i kdyby k tomu měly být donuceny zákonem. Příslušné zákony se ostatně již připravují. V podstatě chtějí, aby příslušné firmy snížily úroveň šifrování a vytvořily zadní vrátka pro vládní instituce, bez ohledu na dopady na celkovou bezpečnost daného řešení.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?