České firmy ohrožuje Emotet, Trickbot a RyukVládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj navázaného botnetu Emotet, trojanu Trickbot a ransomwaru Ryuk.
„Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra,“ uvádí útočný vektor GovCERT.CZ. Zákeřnost Emotetu je o to větší, že dokáže imitovat pokračování předcházející emailové komunikace: „Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.“ Ovšem ani tak neujde oku pozorného uživatele - ačkoliv se totiž „zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu.“ Po otevření přílohy (wordu) dojde ke spuštění makra, které prostřednictvím příkazového řádku spustí PowerShell. Příkaz v příkazovém řádku je speciálně obfuskován (zamlžen) - v PowerShell se dá pak vyčíst, že se snaží vytvořit download 379.exe (SHA1: B521fe7ff72e68165ff767d7dfa868e105d5de8b) a spustit jej. Pokusy na stažení směřují na domény:
Po spuštění Emotet stáhne malware Trickbot. „Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo emaily.“ Sběrem informací ale jeho činnost nekončí, sám dokáže infikovat celou místní síť: „V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.“ A ani odcizením citlivých informací a získáním vzdálené kontroly nad počítačem zkáza nekončí. Aby kyberzločinci maximalizovali možný profit z prolomení, dochází k nainstalování ransomwaru Ryuk. „Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné se obecně nedoporučuje platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje,“ uzavírá neradostnou bilanci prolomení bezpečnostních ochran GovCERT.cz. Bezpečnostní doporučeníGovCERT.cz vyjmenovává několik obecných doporučení: „doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144). Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů atp.)“ Komplexně doporučení pak rozvádí v dokumentech Bezpečnostní doporučení NCKB pro síťové správce, verze 3.0 - v podobě PDF. Zjednodušeno na pár bodů a do uživatelské češtiny:
...[dlouho nic a pak]...
Oběti: OKD a nemocnice v Benešově„Počítačová síť společnosti OKD se z neděle na pondělí (22./23. prosince 2019) stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejích serverů,“ vysvětluje, co se stalo, Ivo Čelechovský mluvčí OKD. „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“ V důsledku toho sáhl management k extrémnímu, ovšem z hlediska bezpečnosti jedinému přípustnému řešení - a ukončil těžbu ve všech dolech OKD. Jen několik dní předtím stejné útočné kombo napadlo nemocnici v Benešově. Ochromena byla celá počítačová síť, nemocnice byla nucena zrušit veškeré plánované operace a s návratem k běžnému provozu se počítá až v lednu 2020. IP adresy C&C serverů a hashe souborůCoby dodatečný indikátor útoku zákeřným triem mohou sloužit IP adresy command and control serverů, se kterými napadené systémy komunikují - a to sice:
Případně pak hashe souborů:
Zdroje
Daniel Beránek, 29.12.2019 23:27 Aktualizace AI generátoru obrázků od Freepiku přináší revoluční zlepšení v rychlosti a fotorealističnosti, což umožní grafickým designérům, marketérům a grafikům tvorbu vizuálů s nepřekonatelnou přesností a detaily. Jaké možnosti... Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... |