Aktuálně z bezpečnosti (RSS)

Nárůst phishingových útoků na socilání síti Facebook

Aktuálně zaznamenáváme nárůst phishingových útoků přes Facebook. Jednou z variant je, že útočníci okopírují profil vybrané osoby a následně pošlou žádost o přátelství podle seznamu přátel. Oběti pak po přijetí obdrží zprávu s prosbou o telefonní číslo a následné přepsání kódu ze zaslané SMS zprávy. Zaslaný kód je od platební brány poskytovatele mobilních služeb oběti a potvrzuje platbu pohybující se kolem 1300 až 1400 Kč. Útočník si následně kód vyžádá (úroveň češtiny je velice špatná, připomínající strojový překlad).

Například:

“hi dej mi své císlo?”
“nyní sms dorazila vodafone ?”
“Vysvetlím Ti to. Napiš mi, prosím te, ten príchozí kód. ?”

Doporučujeme zvýšenou obezřetnost a nepřepisovat podobné platební kódy do konverzací. Alespoň pokud si nejsme opravdu 100% jisti, že víme, kdo sedí na druhé straně. V případě, že si myslíte, že jste se stali obětí tohoto útoku, zkuste neprodleně kontaktovat jak provozovatele platební brány, tak i policii.

Podobné útoky jsou zaznamenány i v zahraničí např.: zde.


Čtvrteční záplaty společnosti Oracle

V pravidelném čtvrtletním balíku záplat opravila tentokrát společnost Oracle 308 zranitelností. Třicet z nich bylo klasifikováno jako kritických. Zranitelnosti se týkají 22 produktů společnosti Oracle, jmenovitě např. Oracle Database Server, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle Hyperion, Oracle E-Business Suite, Oracle Primavera, Oracle Java SE a Oracle MySQL.


Na Lupa.cz vychází seriál o ransomwaru

Ve spolupráci se serverem Lupa.cz připravujeme seriál o ransomwaru. V úvodním díle jsme se zabývali shrnutím toho, co vše ransomware znamená, koho ohrožuje a jak ho dělíme. Další díl, který vyšel dnes, pak rozebírá historii od prvního bizarního případu až po současnost. Vedle tohoto seriálu vycházejí každé pondělí na Root.cz Postřehy z bezpečnosti. Na této aktivitě spolupracujeme s bezpečnostním týmem CESNET-CERTS.


Postřehy z bezpečnosti: krádež TLD

V dalším díle Postřehů z bezpečnosti jsme se podívali na zajímavý případ “krádeže” domény nejvyššího řádu, obvinění Kaspersky Lab ze spolupráce s ruskou zpravodajskou službou, vychytralý ransomware či poměrně rozšířený malware pro Android.


Microsoft a Adobe vydali opravy zranitelností ve svých produktech

Microsoft opravil 54 zranitelností při pravidelných měsíčních aktualizacích. Opravy se týkaly např. prohlížečů Edge a Internet Explorer, kancelářského balíku MS Office nebo celkově součástí operačního systému Windows. Jako kritických bylo označeno 19 z nich a je proto doporučeno, co nejdříve systémy aktualizovat. V úterý s opravami přišla i společnost Adobe, která vydala novou verzi Flash Playeru s opravami tří zranitelností, z nichž jedna byla označena jako kritická.


Vyděračský malware pro Android

Mobilní malware SpyDealer ohrožuje tisíce uživatelů Android. Po oběti požaduje 50 dolarů, jinak prý uvolní jejich osobní údaje, včetně fotorafií, historie webových stránek a textových zpráv. Podle pracovníků McAfee SpyDealer krade data z aplikací Facebook, WhatsApp a Skype. Uživatelé napadených zařízení jsou informováni, že pokud do 72 hodin nezaplatí 50 dolarů, budou jejich osobní data poslána všem kontaktům v telefonním a e-mailovém seznamu. Bezpečnostní pracovníci zjistili, že dvě aplikace v oficiálním obchodě Google Play obsahují škodlivý kód. Jedná se o aplikace „Wallpapers Blur HD“ a „Booster & Cleaner Pro“. Google již zahájil vyšetřování a obě aplikace vymazal z oficiálního trhu.


Postřehy z bezpečnosti: není ransomware jako ransomware

V dalším díle Postřehů z bezpěčnosti jsme rozebírali "slavný" ransomware Petya, zero-day zranitelnost v aplikaci Skype, další názor jak omezit vlnu phishingových útoků využívajících HTTPS certifikáty a také spojení neurovědy a bezpečnosti hesel.


Malá novela Zákona o kybernetické bezpečnosti

Od 1. července vstupuje v účinnost zákon č. 104/2017 Sb. (novela zákona o informačních systémech veřejné správy), který mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Jde o tzv. malou novelu Zákona o kybernetické bezpečnosti. Upravena je definice provozovatele informačních a komunikačních systému, zavádí se nový povinný subjekt, mění se pokuty či lhůty pro splnění povinností. Přehledně najdete všechny změny zde.


Zero-day zranitelnost u aplikace Skype

Bezpečnostní analytik Benjamin Kunz Mejri nalezl u aplikace Skype zero-day zranitelnost. Chyba přetečení zásobníku umožňuje útočníkům vzdáleně rozbít aplikaci s neočekávanou vyjímkou. Následně se dá útok využít ke spuštění škodlivého kódu, a to bez jakékoliv interakce účtu oběti.
Kritickou chybu, CVE-2017-9948, obsahují verze 7.2, 7.35 a 7.36. Zranitelnost by měla být opravena verzi 7.37.178.


Ransomware Petya - doplňující informace

Nová varianta Petya ransomware, také známá jako Petwrap, Nyetya nebo Petya.A - pravděpodobně verze Petya/Misha alias GoldenEye, se rychle rozšiřuje a celosvětově je na něj soustředěna pozornost. Na rozdíl od běžných variant ransomware rodiny Petya nešifruje soubory oběti jeden po druhém, ale infikovanou stanici restartuje a následně zašifruje hlavní tabulku souborů (MFT - Master File Table) obsahující záznamy o všech souborech, adresářích a metadatech na cílovém systému. Petya ransomware pak nahradí MBR (Master Boot Record) vlastním škodlivým kódem, který zobrazuje zprávu o infekci s požadavky na výkupné a počítač nemůže dále pokračovat v zavadění operačního systému.
Petya využívá zranitelnost známou jako EternalBlue a šíří v interních sítích se službami WMIC (Windows Management Instrumentation Command-line) a PSEXEC a může infikovat také plně aktualizované systémy. Zvýšená aktivita v souvistosti s tímto ransomwarem byla zaznamenána především na portech 445 a 139.
Autoři malwaru žádají po obětech výkupné v bitcoinech v hodnotě zhruba 300 USD. Obecně je v případě ransomwaru doporučeno neplatit. V případě Petya je z náhledu bitcoinové peněženky vidět, že některé oběti již zaplatily, přesto ale není znám případ, kdy by k rozšifrováni souborů došlo. E-mail, který má sloužit na komunikaci s útočníkem (wowsmith123456@posteo.net) byl již navíc zrušen e-mailovým providerem Posted.de.

Dle našich aktuálních informací není Česká republika v porovnání s jinými státy nikterak výrazně zasažena.

Některé další informace:
- z povahy šíření i zranitelnosti ransomwaru jsou ohrožené stanice a servery používající operační systémy Windows
- prozatím se zdá, že nejohroženější (nejvíce postižené) jsou stanice s operačním systémem Windows 7
- není stále jisté, zda je ransomware vyžaduje interakci uživatele k započetí samotného procesu šifrování

Opatření ke zmírnění dopadů:
- zakázání služby WMIC (Windows Management Instrumentation Command-line)
- k prevenci infekce, je dle posledních zpráv možné vytvořit soubor s názvem perfc v adresáři C:Windows
- proces šifrování začíná po restartu počítače, v případě, že se stanice restartuje a na obrazovce se objeví zpráva o výkupném, je doporučeno počítač okamžitě vypnout
- pravidelné zálohy systému a souborů jsou stále nejspolehlivější obrana proti ransomware
- přidání pravidla na routeru či firewallu k zablokování příchozího SMB provozu na portu 445 z nedůvěryhodných zdrojů, navíc je doporučeno také filtrování komunikace služby NetBIOS na portu 139, aby bylo ransomwaru zabráněno infikovat ostatní zařízení ve stejném segmentu sítě
- pravidelné udržování posledních verzí antivirových signatur

Analýzy a užitečné odkazy:
- Avast
- TrendMicro
- Microsoft
- Cisco Talos
- Kaspersky
- Malwarebytes - ThaiCERT
- https://www.govcert.cz/cs/informacni-servis/hrozby/2539-petrwrap-nova-varianta-ransomwaru/
- https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
- https://www.turris.cz/cs/news/petya-petrwrap-ransomware-utoky