Aktuálně z bezpečnosti (RSS)

Aktuálně zaznamenáváme nárůst phishingových útoků přes Facebook. Jednou z variant je, že útočníci okopírují profil vybrané osoby a následně pošlou žádost o přátelství podle seznamu přátel. Oběti pak po přijetí obdrží zprávu s prosbou o telefonní číslo a následné přepsání kódu ze zaslané SMS zprávy. Zaslaný kód je od platební brány poskytovatele mobilních služeb oběti a potvrzuje platbu pohybující se kolem 1300 až 1400 Kč. Útočník si následně kód vyžádá (úroveň češtiny je velice špatná, připomínající strojový překlad).

Například:

“hi dej mi své císlo?”
“nyní sms dorazila vodafone ?”
“Vysvetlím Ti to. Napiš mi, prosím te, ten príchozí kód. ?”

Doporučujeme zvýšenou obezřetnost a nepřepisovat podobné platební kódy do konverzací. Alespoň pokud si nejsme opravdu 100% jisti, že víme, kdo sedí na druhé straně. V případě, že si myslíte, že jste se stali obětí tohoto útoku, zkuste neprodleně kontaktovat jak provozovatele platební brány, tak i policii.

Podobné útoky jsou zaznamenány i v zahraničí např.: zde.

V pravidelném čtvrtletním balíku záplat opravila tentokrát společnost Oracle 308 zranitelností. Třicet z nich bylo klasifikováno jako kritických. Zranitelnosti se týkají 22 produktů společnosti Oracle, jmenovitě např. Oracle Database Server, Oracle Enterprise Manager, Oracle Fusion Middleware, Oracle Hyperion, Oracle E-Business Suite, Oracle Primavera, Oracle Java SE a Oracle MySQL.

Ve spolupráci se serverem Lupa.cz připravujeme seriál o ransomwaru. V úvodním díle jsme se zabývali shrnutím toho, co vše ransomware znamená, koho ohrožuje a jak ho dělíme. Další díl, který vyšel dnes, pak rozebírá historii od prvního bizarního případu až po současnost. Vedle tohoto seriálu vycházejí každé pondělí na Root.cz Postřehy z bezpečnosti. Na této aktivitě spolupracujeme s bezpečnostním týmem CESNET-CERTS.

V dalším díle Postřehů z bezpečnosti jsme se podívali na zajímavý případ “krádeže” domény nejvyššího řádu, obvinění Kaspersky Lab ze spolupráce s ruskou zpravodajskou službou, vychytralý ransomware či poměrně rozšířený malware pro Android.

Microsoft opravil 54 zranitelností při pravidelných měsíčních aktualizacích. Opravy se týkaly např. prohlížečů Edge a Internet Explorer, kancelářského balíku MS Office nebo celkově součástí operačního systému Windows. Jako kritických bylo označeno 19 z nich a je proto doporučeno, co nejdříve systémy aktualizovat. V úterý s opravami přišla i společnost Adobe, která vydala novou verzi Flash Playeru s opravami tří zranitelností, z nichž jedna byla označena jako kritická.

Mobilní malware SpyDealer ohrožuje tisíce uživatelů Android. Po oběti požaduje 50 dolarů, jinak prý uvolní jejich osobní údaje, včetně fotorafií, historie webových stránek a textových zpráv. Podle pracovníků McAfee SpyDealer krade data z aplikací Facebook, WhatsApp a Skype. Uživatelé napadených zařízení jsou informováni, že pokud do 72 hodin nezaplatí 50 dolarů, budou jejich osobní data poslána všem kontaktům v telefonním a e-mailovém seznamu. Bezpečnostní pracovníci zjistili, že dvě aplikace v oficiálním obchodě Google Play obsahují škodlivý kód. Jedná se o aplikace „Wallpapers Blur HD“ a „Booster & Cleaner Pro“. Google již zahájil vyšetřování a obě aplikace vymazal z oficiálního trhu.

V dalším díle Postřehů z bezpěčnosti jsme rozebírali "slavný" ransomware Petya, zero-day zranitelnost v aplikaci Skype, další názor jak omezit vlnu phishingových útoků využívajících HTTPS certifikáty a také spojení neurovědy a bezpečnosti hesel.

Od 1. července vstupuje v účinnost zákon č. 104/2017 Sb. (novela zákona o informačních systémech veřejné správy), který mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Jde o tzv. malou novelu Zákona o kybernetické bezpečnosti. Upravena je definice provozovatele informačních a komunikačních systému, zavádí se nový povinný subjekt, mění se pokuty či lhůty pro splnění povinností. Přehledně najdete všechny změny zde.

Bezpečnostní analytik Benjamin Kunz Mejri nalezl u aplikace Skype zero-day zranitelnost. Chyba přetečení zásobníku umožňuje útočníkům vzdáleně rozbít aplikaci s neočekávanou vyjímkou. Následně se dá útok využít ke spuštění škodlivého kódu, a to bez jakékoliv interakce účtu oběti.
Kritickou chybu, CVE-2017-9948, obsahují verze 7.2, 7.35 a 7.36. Zranitelnost by měla být opravena verzi 7.37.178.

Nová varianta Petya ransomware, také známá jako Petwrap, Nyetya nebo Petya.A - pravděpodobně verze Petya/Misha alias GoldenEye, se rychle rozšiřuje a celosvětově je na něj soustředěna pozornost. Na rozdíl od běžných variant ransomware rodiny Petya nešifruje soubory oběti jeden po druhém, ale infikovanou stanici restartuje a následně zašifruje hlavní tabulku souborů (MFT - Master File Table) obsahující záznamy o všech souborech, adresářích a metadatech na cílovém systému. Petya ransomware pak nahradí MBR (Master Boot Record) vlastním škodlivým kódem, který zobrazuje zprávu o infekci s požadavky na výkupné a počítač nemůže dále pokračovat v zavadění operačního systému.
Petya využívá zranitelnost známou jako EternalBlue a šíří v interních sítích se službami WMIC (Windows Management Instrumentation Command-line) a PSEXEC a může infikovat také plně aktualizované systémy. Zvýšená aktivita v souvistosti s tímto ransomwarem byla zaznamenána především na portech 445 a 139.
Autoři malwaru žádají po obětech výkupné v bitcoinech v hodnotě zhruba 300 USD. Obecně je v případě ransomwaru doporučeno neplatit. V případě Petya je z náhledu bitcoinové peněženky vidět, že některé oběti již zaplatily, přesto ale není znám případ, kdy by k rozšifrováni souborů došlo. E-mail, který má sloužit na komunikaci s útočníkem (wowsmith123456@posteo.net) byl již navíc zrušen e-mailovým providerem Posted.de.

Dle našich aktuálních informací není Česká republika v porovnání s jinými státy nikterak výrazně zasažena.

Některé další informace:
- z povahy šíření i zranitelnosti ransomwaru jsou ohrožené stanice a servery používající operační systémy Windows
- prozatím se zdá, že nejohroženější (nejvíce postižené) jsou stanice s operačním systémem Windows 7
- není stále jisté, zda je ransomware vyžaduje interakci uživatele k započetí samotného procesu šifrování

Opatření ke zmírnění dopadů:
- zakázání služby WMIC (Windows Management Instrumentation Command-line)
- k prevenci infekce, je dle posledních zpráv možné vytvořit soubor s názvem perfc v adresáři C:Windows
- proces šifrování začíná po restartu počítače, v případě, že se stanice restartuje a na obrazovce se objeví zpráva o výkupném, je doporučeno počítač okamžitě vypnout
- pravidelné zálohy systému a souborů jsou stále nejspolehlivější obrana proti ransomware
- přidání pravidla na routeru či firewallu k zablokování příchozího SMB provozu na portu 445 z nedůvěryhodných zdrojů, navíc je doporučeno také filtrování komunikace služby NetBIOS na portu 139, aby bylo ransomwaru zabráněno infikovat ostatní zařízení ve stejném segmentu sítě
- pravidelné udržování posledních verzí antivirových signatur

Analýzy a užitečné odkazy:
- Avast
- TrendMicro
- Microsoft
- Cisco Talos
- Kaspersky
- Malwarebytes - ThaiCERT
- https://www.govcert.cz/cs/informacni-servis/hrozby/2539-petrwrap-nova-varianta-ransomwaru/
- https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
- https://www.turris.cz/cs/news/petya-petrwrap-ransomware-utoky