Hlavní navigace

Postřehy z bezpečnosti: Zlý králík ohrožuje počítačové systémy

CESNET CERTS

V dnešním díle Postřehů se dozvíme o cryptolockeru Bad Rabbit, o novém typu útoků na uživatele MS Wordu, o nově se rodícím botnetu IoT Reaper a o možném problému se zálohováním počítačů firmy Dell.

Nový cryptolocker Bad Rabbit

Dne 12. října 2017 varovala ukrajinská bezpečnostní služba SBU před plánovaným masivním kybernetickým útokem proti Ukrajině, který by měl podobně jako červnový útok ransomwaru Petya/NotPetya směřovat proti vládním institucím i soukromým firmám. Ten napadl asi 12500 počítačových systémů běžících pod systémem Windows, zašifroval na nich soubory a za jejich dešifrování požadoval výkupné 300 USD, což je dnes asi 6600 Kč; podle bezpečnostních expertů však dešifrování nemohlo fungovat.

Dne 24. října byl skutečně na Ukrajině zjištěn rozsáhlý počítačový útok nového cryptolockeru pojmenovaného Bad Rabbit („Zlý králík“), který napadl např. mezinárodní letiště v Oděse, metro v Kyjevě a ukrajinské Ministerstvo infrastruktury. Další cíle útoku se nacházejí v Ruské federaci, v Bulharsku, Japonsku, Německu, Turecku, v Černé Hoře a pravděpodobně i v USA.

Prvotní infekce počítače proběhne poté, co jeho uživatel navštíví zkompromitované webové stránky a dá se přesvědčit, aby kliknutím spustil instalaci údajného updatu Adobe Flash; ve skutečnosti tím nainstaluje malware, který se pokusí rozšířit do dalších strojů s využitím útoku ETERNALROMANCE (MS17–010) a samozřejmě zašifruje soubory na disku, zobrazí výstražné hlášení a požaduje výkupné ve výši 0.05 BTC, což je v současnosti asi 6400 Kč.

Část kódu malwaru Bad Rabbit je skutečně převzata z malwaru Petya/NotPetya. Na rozdíl od předešlého ransomwaru ale bezpečnostní týmy uvádějí, že mechanismus potenciálního dešifrování by skutečně měl fungovat; před placením výkupného je však třeba varovat stejně jako obvykle.

Rozsáhlé útoky malwaru na uživatele MS Wordu

Nový útok malwaru, který zneužívá dávno známé Dynamic Data Exchange (DDE) v systému Microsoft Office, umožňuje spustit na počítači škodlivý software. Nebezpečí teď nespočívá v tom, že by uživatel měl povolit spuštění maker, jak to dosud bylo běžné; tentokrát se před uživatelem objeví dva podstatně méně burcující dotazy:

This document contains links that may refer to other files. Do you want to update this document with the data from the linked files?

The remote data (...) is not accessible. Do you want to start the application c:\windows\system32\cmd.exe?

Tento malware se už teď ve velké míře využívá. Nejlepší obranou je zdravý rozum, který velí nepřijímat slepě každou nevyžádanou nabídku.

Smrtka IoT se chystá k útoku

Právě před rokem, 25. října 2016, proběhl extrémně silný útok DDoS botnetu Mirai na doménové servery firmy DYN; to způsobilo masivní výpadek mnoha známých internetových služeb. Postiženy byly např. firmy Amazon, BBC, Fox, PayPal, Visa. Zdá se, že v blízké budoucnosti by mohlo dojít k podobnému či ještě rozsáhlejšímu útoku: Firma CheckPoint nyní varuje před novým botnetem „IoT Reaper“ („Smrtka IoT“), který se skládá ze zkompromitovaných zařízení typu IoT (Internet věcí), údajně už nyní zahrnuje přes milion botů a každý den jich asi 10 tisíc přibývá. Využívá zranitelností např. v produktech firem AVTECH, Goahead, JAWS, Vacron (IP kamery), D-Link, TP-link, Linksys, MikroTik, NetGear (směrovače). Tak veliké množství botů by se opět velmi dobře hodilo k provádění masivních útoků DDoS.

Názory na skutečný počet infikovaných botů v IoT Reaperu se sice různí, ale nebezpečí je reálné.

Firma Dell dočasně ztratila přístup k doméně DellBackupandRecoveryCloudStorage.com

Tato doména normálně slouží k zálohování a obnově zálohovaných souborů na počítačích firmy Dell. Doména expirovala 1. června 2017 a poté ji koupila jiná firma; na serveru pak byl detekován malware. Podle Dellu skončila podpora služby Dell Backup and Recovery už v roce 2016; mnoho zákazníků si toho ale pravděpodobně nebylo vědomo a mohlo tedy dojít k úniku jejich dat nebo k infekci jejich systémů.

Ve zkratce

Android bude podporovat DNS over TLS (RFC 7858)

Chytrý robotický vysavač dokáže špehovat domácnost svého majitele

Pro pobavení

Našli jste v článku chybu?