Hlavní navigace

Postřehy z bezpečnosti: úspěchy ransomwaru v roce 2019

Minule jsme společně oslavili třicátiny ransomwaru a dnes si připomeneme nějaké úspěchy z nedávné doby, jako zcela revoluční způsob práce s kartotékami, přivedení firmy ke krachu nebo ochromení přístavu v USA.
CSIRT.CZ
Doba čtení: 5 minut

Sdílet

V souvislosti s nedávným případem benešovské nemocnice, na dvacet dní vyřazené z běžného provozu, se o kybernetické bezpečnosti psalo tak intenzivně jako naposled v květnu 2017, kdy celý svět zachvátila nákaza virem WannaCry.

Přestože to nebylo poprvé, co se zdravotnické zařízení v Česku potýkalo s virovou nákazou, publicita věnovaná útoku, na který naštěstí nikdo nedoplatil životem, snad pomůže některým tuzemským společnostem probudit se z letargie. Je těžké si přiznat, že nákaza ransomwarem je jen otázkou času, nikoli něčím abstraktním, a brát online hrozby vážně. Zrušené operace v Benešově provedou do konce února. Nemusí tedy zavřít jako zdravotnické centrum v Michiganu, které z kraje minulého roku přišlo o všechny kartotéky.

Nebo jako telemarketingová společnost z Arkansasu, která těsně před Vánoci propustila 300 zaměstnanců. Důvod? Před dvěma měsíci je napadl ransomware, neměli offline zálohy a byť se to nedoporučuje, ze zoufalství zaplatili obrovskou sumu vyděračům. Potom se však už firma nedovedla znovu postavit na nohy a nemajíc na platy, všechny propustila. Firma existovala od roku 1963 a po síti koluje jímavý text, jímž se CEO se zaměstnanci loučí a omlouvá se jim.

Majitelé ransomwaru mezitím užili Vánoc a někteří nabídli dokonce sváteční slevy: “Dáváme 25 % slevu od 25. do 31. prosince. Šťastné a veselé,” píšou operátoři ransowmaru Maze. Jako bonus se rozhodli, že floridskému městu Pensacola sníží požadavek na výkupné jen na půl miliónu dolarů a soukromé dokumenty města nezveřejní.

Zdá se, že útoků na veřejné statky bude jenom přibývat. Například americká pobřežní stráž se právě teď vzpamatovává z 30hodinového ochromení jednoho přístavu, ke kterému následkem jednoho e-mailu došlo ještě v minulém roce.

Portál BleepingComputer.com doporučuje neplatit a jste-li nuceni, pak se přiklání k vyjednávání o ceně. A pokud nechcete vyjednávat sami, doporučují služby Coveware, která vyjedná lepší cenu za vás.

Nomen omen

Harry Denley, ředitel bezpečnosti společnosti MyCrypto zjistil, že rozšíření pro Google Chrome pojmenované Shitcoin Wallet krade hesla a privátní klíče peněženek uživatelů. Rozšíření pro Google Chrome vkládalo JavaScriptový kód do webových stránek za účelem krádeží hesel a privátních klíčů z peněženek a portálů kryptoměn. Ukradené informace jsou pak ukládány na adrese erc20wallet.tk. Rozšíření uvolněné 9. prosince si zatím stáhlo 621 uživatelů.

Proof-of-concept exploit pro D-Link routery

Byl zveřejněn Proof-of-concept exploit umožňující využít zranitelností postihující mnoho D-Link routerů. Jedna ze zranitelností umožňuje útočníkovi získat ze zařízení konfigurační soubor VPN, druhá umožňuje vzdálené spuštění kódu. Detailní technický popis zranitelnosti, která spočívá v kódu zpracovávajícím UPnP požadavky najdete na Medium.com. Pro část zařízení již byl uvolněn nový firmware, pro část bude uvolněn v dohledné době, ale zařízení, která již nejsou podporována, nový firmware nedostanou.

Microsoft převzal domény skupiny Thallium

Soudní příkaz umožnil společnosti Microsoft převzít kontrolu nad 50 doménami, které skupina Thallium využívala k provádění kyberútoků ze Severní Koreje. Weby již nebude nadále možné používat k provádění útoků typu spear-phishing. Digital Crimes Unit (DCU) společnosti Microsoft a středisko pro zpravodajské služby Microsoft Threat Intelligence Center (MSTIC) sledovaly a shromažďovaly informace o Thalliu. Sledovaly aktivity skupiny za účelem vytvoření a provozování sítě internetových stránek, domén a internetově propojených počítačů.

K cílům skupiny Thallium patřili například vládní zaměstnanci, univerzitní zaměstnanci, členové organizací zaměřených na světový mír a lidská práva a jednotlivci, kteří pracují na otázkách šíření jaderných zbraní. Informace o cílových osobách z USA, Japonska, Jižní Koreje shromažďovali na sociálních sítích a veřejných personálních seznamech od organizací.

Po úspěšné kompromitaci účtu oběti lze procházet e-maily, seznamy kontaktů, schůzky v kalendáři a cokoliv dalšího. Thallium často změnila nastavení účtu oběti, tak, že i po aktualizaci hesla k účtu oběti nadále viděly e-mail, který oběť obdržela. Kromě toho užívali malware „BabyShark“ a „KimJongRAT“. Jedná se již o čtvrtý případ, ve kterém Microsoft podal podobnou žalobu (Barium-Čína, Strontium-Rusko, Fosfor-Írán.)

Možnosti pro bezpečnější autentizaci

Autentizace využívající jen heslo je dnes už mrtvá. Jestliže společnostem záleží na datech, doporučujeme kombinovat hesla s vícefaktorovou autentizací, přihlašováním přes sociální sítě, biometrií nebo autentizací založenou na rizicích, abyste lépe chránili uživatele a svou pověst. Nejlepší, co lze říci o používání hesla pro autentizaci, je, že je to lepší než nic.

V případech intenzivně sledovaných narušení bezpečnosti jako například u společnosti Equifax však došlo k vyzrazení milionů hesel a identifikačních čísel uživatelů, takže i tato slabá pochvala je v důsledku toho zpochybněna. Pokud spotřebitelé nepředpokládají, že minimálně některá z jejich hesel byla vyzrazená, vytvářejí si jen falešný pocit bezpečí. Společnosti, které stále spoléhají na autentizaci pouhým heslem pro přístup k důležitým zákaznickým a firemním datům, dělají totéž. Ochrana pouhým heslem je už navždy nedostatečná a každá organizace, která se na ni spoléhá, vystavuje své aktivity i pověst riziku.

Nebyli jste napadeni útokem APT?

Máte ve své síti cenná data? Všimli jste si zvláštního chování sítě? Mohli byste se stát obětí sofistikovaných skrytých ataků typu APT (Advanced Persistent Threat). Jak to poznáte? Hackeři a malware používající útoky APT jsou rozšířenější a důmyslnější než v minulosti. APT využívají profesionální hackeři, kteří pracují buď pro svou vládu, nebo pro příslušného zadavatele v nějakému oboru. Jejich prací je napadnout konkrétní firmy a cíle.

Vykonávají akce podle zájmů svých sponzorů, což může zahrnovat přístup k důvěrným informacím, spuštění destruktivního kódu nebo umístění programů se skrytými zadními vrátky, které umožní budoucí vstup na vyžádání do cílové sítě nebo počítače. APT hackeři jsou vysoce kvalifikovaní a mají obrovskou „provozní“ výhodu v tom, že nikdy nebudou zatčeni. Představte si, o kolik úspěšnější a vytrvalejší by mohli být jiní zloději, pokud by dostali stejnou záruku.

tip-efektivni-rizeni-prace-temata

Soul nainstaluje kamery s umělou inteligencí pro detekci zločinu

Kamery s umělou inteligencí (AI), o nichž jihokorejská vláda tvrdí, že mohou odhalit pravděpodobnost zločinu, budou do Soulu nainstalovány v průběhu roku. Kamery používají AI software, který zpracovává umístění, čas a vzorce chování kolemjdoucích k měření pravděpodobnosti výskytu trestného činu. Tyto kamery automaticky měří, zda někdo chodí normálně nebo někoho sleduje. Zjistí také, co mají kolemjdoucí na sobě – ​​například klobouky, masky nebo brýle, a co s sebou nosí například tašky nebo nebezpečné předměty, které mohou být použity ke spáchání trestného činu.

Ve zkratce

Pro pobavení

Zdroj:https://twitter.com/xme

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…