Skupina Conti oficiálně ukončila svou činnost
Skupina Conti, známá úspěšnými ransomwarovými útoky cílenými zejména na velké korporace a významné instituce (vysoce efektivní a široce medializovaný byl například její nedávný útok na systémy Kostarické republiky), oficiálně ukončila v uplynulém týdnu své aktivity. Zánik „značky“ Conti však bohužel neznamená ukončení ransomwarových operací ze strany členů této skupiny.
Z dostupných informací totiž vyplývá, že vedení skupiny Conti navázalo partnerství s větším množstvím menších ransomwarových skupin (mj. AvosLocker, BlackByte, BlackCat, HelloKitty a Hive), v rámci nichž budou její členové od nynějšku aktivně působit. Útoky pod vlastní hlavičkou Conti tak už (alespoň v nejbližší budoucnosti) nejspíše neuvidíme, namísto nich lze však očekávat určité navýšení počtu útoků ze strany výše zmíněných menších ransomwarových skupin.
I s vypnutým iPhonem může útočník interagovat… ale
V návaznosti na publikaci výzkumu zaměřeného na zkoumání možností zneužití bezdrátové komunikace na vypnutých iPhonech, za nímž stojí akademický tým z univerzity v Darmstadtu a který byl zveřejněn 12. května, se v uplynulém týdnu objevila v médiích (i těch českých) řada článků upozorňujících na hypotetickou možnost zaútočit na iPhone s pomocí Bluetooth komunikace i ve chvílích kdy je daný iPhone vypnutý. Přestože mnoho médií explicitně zmiňuje „možnost nahrávat na vypnuté zařízení malware“, zjištění výzkumného týmu nejsou zdaleka tak hrozivá, jak mohou podobné titulky naznačovat.
Autoři výzkumu ve svém článku informovali o tom, že i po vypnutí iPhonu zůstávají vybrané komponenty (mj. Bluetooth čip) funkční až 24 hodin v rámci tzv. low-power módu (LPM), přičemž tento mechanismus slouží pro nalezení zařízení s pomocí funkce FindMy. Vzhledem k tomu, že integrita firmwaru Bluetooth čipu není zajištěná/ověřovaná s pomocí jeho podpisu, byli výzkumníci schopni na jailbreaknutém zařízení tento firmware modifikovat, a prokázat tak, že by hypotetický útočník s plným přístupem k zařízení mohl do firmwaru vložit i škodlivý kód, s nímž by bylo možné interagovat i po vypnutí zařízení.
Zmíněná zjištění jsou bezesporu zajímavá, avšak vzhledem k omezené využitelnosti výše popsaných skutečností v rámci reálných útoků mají, alespoň pro tuto chvíli, zejména akademický význam.
Ředitelství silnic a dálnic zasáhl ransomware
Ředitelství silnic a dálnic se dle vlastního vyjádření a informací poskytnutých NÚKIB stalo v úterý v ranních hodinách terčem ransomwarového útoku v důsledku něhož byly jeho vybrané systémy delší dobu nedostupné.
Bližší detaily k útoku nebyly poskytnuty, nicméně jeho dopad byl alespoň na venek citelný – po nějakou dobu nefungovala například bezplatná asistenční a informační linka pro řidiče, nástroj pro administraci veřejných zakázek, ani webové portály provozované ŘSD.
Zatímco zmiňovanou asistenční linku i portál Tender Arena se podařilo v průběhu týdne opět zprovoznit, webové portály dopravniinfo.cz a rsd.cz byly nedostupné ještě v době přípravy tohoto článku v průběhu víkendu.
Nešťastné ukládání hesel v prohlížeči Chrome
Ukládání hesel přímo v prohlížečích je odbornou komunitou dlouhodobě považováno za velmi špatnou bezpečnostní praxi. Důvodů pro obecné doporučování alternativních úložišť v podobě specializovaných správců hesel je více, avšak jedním z těch dominantních byla historicky ne vždy bezpečná forma ukládání hesel na straně prohlížečů.
To, že s hesly i v současnosti pracuje ne zcela bezpečně i velmi oblíbený prohlížeč Chrome ukazuje článek Xaviera Mertense z ISC z uplynulého týdne, v němž autor demonstruje, že hesla uložená tímto prohlížečem jsou sice v rámci relevantní databáze SQLite zašifrovaná s pomocí kryptografického algoritmu AES, avšak šifrovací klíč umožňující jejich rozšiřování je uložen ve volně přístupném souboru JSON. Získání hesel uložených v prohlížeči by tak nepředstavovalo pro hypotetického útočníka, který by získal schopnost vyčítat obsah souborů z datového úložiště, větší problém.
CISA publikovala několik zajímavých materiálů
Severoamerický regulátor v oblasti kybernetické bezpečnosti CISA (Cybersecurity & Infrastructure Security Agency) publikoval v uplynulém týdnu vedle doporučení pro mitigaci aktivně zneužívaných zranitelností v produktech firem VMware a F5 také seznam doporučení pro snížení rizik spojených z nejčastěji využívanými technikami pro získání úvodního přístupu k cílovému prostředí ze strany útočníků (tzv. Initial Access) a výstup z celkem 112 analýz zranitelností a rizik kritické infrastruktury a významných organizací v USA za rok 2021.
Zejména (avšak nejen) poslední zmiňovaný dokument může být zajímavý i pro organizace v České republice, vzhledem k tomu, že uvádí seznam taktik a technik útoků, které jsou v současnosti dle CISA nejaktuálnější, a na které tak může být smysluplné se zaměřit.
Skupiny APT jen zřídka využívají zranitelnosti 0-day
Výzkumný tým z univerzity v Trentu publikoval v pondělí zajímavou analýzu celkem 350 kampaní vedených 86 různými skupinami APT mezi lety 2008 a 2020, v níž demonstrují mj. omezené cílení na „unikátní“ (tedy jinými aktéry nevyužívané) a zranitelnosti 0-day ze strany jednotlivých skupin APT.
Vedle zájemců o problematiku útoků APT (Advanced Persistent Threat) mohou být výstupy z analýzy zajímavé také pro autory programů zaměřených na řízení zranitelností v organizacích, vzhledem k tomu že ukazují potřebu vhodné prioritizace patchů a nabízejí možné strategie pro tuto oblast.
Další zajímavosti
- Čínská APT skupina využívá války na Ukrajině při špionážních operacích cílených na ruské organizace
- Za ransomwary Jigsaw v.2 a Thanos stál dle obvinění amerického ministerstva spravedlnost venezuelský kardiolog
- K internetu je připojeno přes 380000 volně přístupných Kubernetes API serverů
- Spojené státy nově nebudou postihovat ofenzivní bezpečnostní výzkum prováděný „v dobré víře“
- Sberbank publikovala detaily o masivních DDoS útocích, které na ní cílí
- Microsoft publikoval opravu patche, který negativně ovlivňoval funkci autentizačních mechanismů
- EU varovala o potenciálních nežádoucích dopadech plánovaných mezinárodních úmluv o kyberzločinu na soukromí jednotlivců a ochranu jejich osobních dat
- Na Ukrajině byla identifikována nová verze loaderu užívaného při útocích s pomocí malwaru Industroyer2 a CaddyWiper
Pro pobavení
Reakce na úspěšný ransomwarový útok může překvapit i u národní banky
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
