[ Zavřít ] 


 

RSS Kanál

 

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj navázaného botnetu Emotet, trojanu Trickbot a ransomwaru Ryuk.  

 

Emotet je trojským koněm, botnetem a dopravním prostředkem pro trojan Trickbot a ransomware Ryuk (Zdroj: Pixabay.com)

„Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra,“ uvádí útočný vektor GovCERT.CZ. Zákeřnost Emotetu je o to větší, že dokáže imitovat pokračování předcházející emailové komunikace: „Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.“ Ovšem ani tak neujde oku pozorného uživatele - ačkoliv se totiž „zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu.“ 

Strom procesů Emotet při testování kyberodborníky Cybereason (Zdroj: Cybereason.com)

Po otevření přílohy (wordu) dojde ke spuštění makra, které prostřednictvím příkazového řádku spustí PowerShell. Příkaz v příkazovém řádku je speciálně obfuskován (zamlžen) - v PowerShell se dá pak vyčíst, že se snaží vytvořit download 379.exe (SHA1: B521fe7ff72e68165ff767d7dfa868e105d5de8b) a spustit jej. Pokusy na stažení směřují na domény: 

  • efreedommaker[.]com
  • retro11legendblue[.]com
  • oussamatravel[.]com
  • cashcow[.]ai
  • shahdazma[.]com 

Obfuskovaný příkaz v příkazové řádce (Zdroj: Cybereason.com)

Po spuštění Emotet stáhne malware Trickbot. „Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo emaily.“ Sběrem informací ale jeho činnost nekončí, sám dokáže infikovat celou místní síť: „V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.“

Příkaz v PowerShell je již mnohem blíž rozluštění - Cybereason naznačují kritické prvky (Zdroj: Cybereason.com)

A ani odcizením citlivých informací a získáním vzdálené kontroly nad počítačem zkáza nekončí. Aby kyberzločinci maximalizovali možný profit z prolomení, dochází k nainstalování ransomwaru Ryuk. „Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné se obecně nedoporučuje platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje,“ uzavírá neradostnou bilanci prolomení bezpečnostních ochran GovCERT.cz. 

Jaké zásady dodržet a čemu se vyhnout při čelení hrozbám typu Emotet, Trickbot a Ryuk, radí GovCERT.cz

Bezpečnostní doporučení

GovCERT.cz vyjmenovává několik obecných doporučení: „doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144). Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů atp.)“

Komplexně doporučení pak rozvádí v dokumentech Bezpečnostní doporučení NCKB pro síťové správce, verze 3.0 - v podobě PDF. Zjednodušeno na pár bodů a do uživatelské češtiny:

  • neotevírejte podezřelé emaily - a už vůbec ne jejich přílohy;

...[dlouho nic a pak]...

  • aktualizujte operační systém; 
  • chraňte se pomocí antivirových programů a firewallu - automaticky aktualizovaných; 
  • používejte silná hesla; 
  • oddělujte administrátorské účty od uživatelských; 
  • kontrolujte a omezujte připojování externích umístění - fyzických disků a síťových umístění, ať už vzdálených či místních.

OKD Ostrava 20080203 (Zdroj: Wikipedia.org)

Oběti: OKD a nemocnice v Benešově

„Počítačová síť společnosti OKD se z neděle na pondělí (22./23. prosince 2019) stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejích serverů,“ vysvětluje, co se stalo, Ivo Čelechovský mluvčí OKD. „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“ V důsledku toho sáhl management k extrémnímu, ovšem z hlediska bezpečnosti jedinému přípustnému řešení - a ukončil těžbu ve všech dolech OKD. 

Jen několik dní předtím stejné útočné kombo napadlo nemocnici v Benešově. Ochromena byla celá počítačová síť, nemocnice byla nucena zrušit veškeré plánované operace a s návratem k běžnému provozu se počítá až v lednu 2020. 

Emotet, Trickbot a Ryuk jsou spojeny s celou řadou C&C serverů

IP adresy C&C serverů a hashe souborů

Coby dodatečný indikátor útoku zákeřným triem mohou sloužit IP adresy command and control serverů, se kterými napadené systémy komunikují - a to sice:

  • hXXps://5.182.210[.]132:443 09.12.2019
  • hXXps://23.94.70[.]12:443 09.12.2019
  • hXXps://64.44.51[.]106:443 06.12.2019
  • hXXps://85.143.220[.]41:443 02.12.2019
  • hXXps://107.172.29[.]108:443 02.12.2019
  • hXXps://107.181.187[.]221:443 28.11.2019
  • hXXps://172.82.152[.]136:443 09.12.2019
  • hXXps://184.164.137[.]190:443 09.12.2019
  • hXXps://186.232.91[.]240:449 26.10.2019
  • hXXps://194.5.250[.]62:443 09.12.2019
  • hXXps://195.54.162[.]179:443 09.12.2019
  • hXXps://198.46.161[.]213:443 09.12.2019

Případně pak hashe souborů: 

  • E051DEC1ED1B04419A9CD955199E2DE9
  • DBAE3CFBB12A99DFACB14294EB431E5C

Zdroje

 

 

 

 

 

Česká pošta se stala nástrojem phishingu

Obzvláště nebezpečný phishing koluje po českých emailech. Kyberútočníci si tentokrát coby nástroj na oblafnutí uživatele zvolili upozornění od České pošty. Za nepatrnou platbičku dlužného cla ve výši 1,10 Kč v podstatě slibují...

Nejvýkonnější superpočítač ČR se rodí v Ostravě

Superpočítačové centrum IT4Innovations se chystá na zkompletování nejnovějšího superpočítače v České republice. Ten bude ctít tradici všech superpočítačů a stane se nejvýkonnějším v lokalitě, a to sice díky výpočetnímu...

WhatsApp připravuje i nemobilní volání

WhatsApp by v budoucnu měl umožnit volání a videohovory i v jiných aplikacích než těch, které jsou určeny pro mobily a tablety. Konkrétně by se video/telefonie měla dostat i do webové aplikace a do aplikace desktopové. Otázkou zůstává, zda půjde o samostatné klienty...

Google Analytics přichází v novém

Google Analytics prochází konceptuální změnou. Jmenuje se Google Analytics 4. Namísto měření, fragmentovaného na platformy a zařízení, chce nabídnout měření komplexně zachycující chování zákazníka. Všechny segmenty...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama