[ Zavřít ] 


 

RSS Kanál

 

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj navázaného botnetu Emotet, trojanu Trickbot a ransomwaru Ryuk.  

 

Emotet je trojským koněm, botnetem a dopravním prostředkem pro trojan Trickbot a ransomware Ryuk (Zdroj: Pixabay.com)

„Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra,“ uvádí útočný vektor GovCERT.CZ. Zákeřnost Emotetu je o to větší, že dokáže imitovat pokračování předcházející emailové komunikace: „Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.“ Ovšem ani tak neujde oku pozorného uživatele - ačkoliv se totiž „zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu.“ 

Strom procesů Emotet při testování kyberodborníky Cybereason (Zdroj: Cybereason.com)

Po otevření přílohy (wordu) dojde ke spuštění makra, které prostřednictvím příkazového řádku spustí PowerShell. Příkaz v příkazovém řádku je speciálně obfuskován (zamlžen) - v PowerShell se dá pak vyčíst, že se snaží vytvořit download 379.exe (SHA1: B521fe7ff72e68165ff767d7dfa868e105d5de8b) a spustit jej. Pokusy na stažení směřují na domény: 

  • efreedommaker[.]com
  • retro11legendblue[.]com
  • oussamatravel[.]com
  • cashcow[.]ai
  • shahdazma[.]com 

Obfuskovaný příkaz v příkazové řádce (Zdroj: Cybereason.com)

Po spuštění Emotet stáhne malware Trickbot. „Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo emaily.“ Sběrem informací ale jeho činnost nekončí, sám dokáže infikovat celou místní síť: „V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.“

Příkaz v PowerShell je již mnohem blíž rozluštění - Cybereason naznačují kritické prvky (Zdroj: Cybereason.com)

A ani odcizením citlivých informací a získáním vzdálené kontroly nad počítačem zkáza nekončí. Aby kyberzločinci maximalizovali možný profit z prolomení, dochází k nainstalování ransomwaru Ryuk. „Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné se obecně nedoporučuje platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje,“ uzavírá neradostnou bilanci prolomení bezpečnostních ochran GovCERT.cz. 

Jaké zásady dodržet a čemu se vyhnout při čelení hrozbám typu Emotet, Trickbot a Ryuk, radí GovCERT.cz

Bezpečnostní doporučení

GovCERT.cz vyjmenovává několik obecných doporučení: „doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144). Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů atp.)“

Komplexně doporučení pak rozvádí v dokumentech Bezpečnostní doporučení NCKB pro síťové správce, verze 3.0 - v podobě PDF. Zjednodušeno na pár bodů a do uživatelské češtiny:

  • neotevírejte podezřelé emaily - a už vůbec ne jejich přílohy;

...[dlouho nic a pak]...

  • aktualizujte operační systém; 
  • chraňte se pomocí antivirových programů a firewallu - automaticky aktualizovaných; 
  • používejte silná hesla; 
  • oddělujte administrátorské účty od uživatelských; 
  • kontrolujte a omezujte připojování externích umístění - fyzických disků a síťových umístění, ať už vzdálených či místních.

OKD Ostrava 20080203 (Zdroj: Wikipedia.org)

Oběti: OKD a nemocnice v Benešově

„Počítačová síť společnosti OKD se z neděle na pondělí (22./23. prosince 2019) stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejích serverů,“ vysvětluje, co se stalo, Ivo Čelechovský mluvčí OKD. „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“ V důsledku toho sáhl management k extrémnímu, ovšem z hlediska bezpečnosti jedinému přípustnému řešení - a ukončil těžbu ve všech dolech OKD. 

Jen několik dní předtím stejné útočné kombo napadlo nemocnici v Benešově. Ochromena byla celá počítačová síť, nemocnice byla nucena zrušit veškeré plánované operace a s návratem k běžnému provozu se počítá až v lednu 2020. 

Emotet, Trickbot a Ryuk jsou spojeny s celou řadou C&C serverů

IP adresy C&C serverů a hashe souborů

Coby dodatečný indikátor útoku zákeřným triem mohou sloužit IP adresy command and control serverů, se kterými napadené systémy komunikují - a to sice:

  • hXXps://5.182.210[.]132:443 09.12.2019
  • hXXps://23.94.70[.]12:443 09.12.2019
  • hXXps://64.44.51[.]106:443 06.12.2019
  • hXXps://85.143.220[.]41:443 02.12.2019
  • hXXps://107.172.29[.]108:443 02.12.2019
  • hXXps://107.181.187[.]221:443 28.11.2019
  • hXXps://172.82.152[.]136:443 09.12.2019
  • hXXps://184.164.137[.]190:443 09.12.2019
  • hXXps://186.232.91[.]240:449 26.10.2019
  • hXXps://194.5.250[.]62:443 09.12.2019
  • hXXps://195.54.162[.]179:443 09.12.2019
  • hXXps://198.46.161[.]213:443 09.12.2019

Případně pak hashe souborů: 

  • E051DEC1ED1B04419A9CD955199E2DE9
  • DBAE3CFBB12A99DFACB14294EB431E5C

Zdroje

 

 

 

 

 

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast...

Kyberhrozby 2020

Rok 2020 vyhlíží implementaci nových technologií, které pozmění způsoby, kterými chápeme je, sebe samé i svět. Bezprostřední přítomnost informací se bude v důsledcích rovnat neskutečnému nárůstu vstupních bodů všemožných...

AIRBUS a KOMP: PČR proti darknetu

Policie České republiky rozbila sny fanouškům seriálu Jak prodávat drogy přes internet (rychle). Že nejsou nedohledatelní, nekontrolovatelní a schopni zneužívat služeb dopravců se Národní protidrogové centrále podařilo dokázat ve spolupráci s...

Sedmičky končí

14. ledna 2020 byly uvolněny poslední aktualizace pro operační systém Windows 7. A s tím ukončil jejich podporu i Microsoft. Nejen v českých luzích a hájích populární Sedmičky se tak vydají cestou nekompatibility s dalším softwarem, posléze i hardwarem...


 
© 2005-2020 PS Media s.r.o. - digital world