[ Zavřít ] 


ZprávyRecenze softwareNávodyRecenze her 
 

RSS Kanál

 

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj navázaného botnetu Emotet, trojanu Trickbot a ransomwaru Ryuk.  

 

Emotet je trojským koněm, botnetem a dopravním prostředkem pro trojan Trickbot a ransomware Ryuk (Zdroj: Pixabay.com)

„Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra,“ uvádí útočný vektor GovCERT.CZ. Zákeřnost Emotetu je o to větší, že dokáže imitovat pokračování předcházející emailové komunikace: „Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.“ Ovšem ani tak neujde oku pozorného uživatele - ačkoliv se totiž „zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu.“ 

Strom procesů Emotet při testování kyberodborníky Cybereason (Zdroj: Cybereason.com)

Po otevření přílohy (wordu) dojde ke spuštění makra, které prostřednictvím příkazového řádku spustí PowerShell. Příkaz v příkazovém řádku je speciálně obfuskován (zamlžen) - v PowerShell se dá pak vyčíst, že se snaží vytvořit download 379.exe (SHA1: B521fe7ff72e68165ff767d7dfa868e105d5de8b) a spustit jej. Pokusy na stažení směřují na domény: 

  • efreedommaker[.]com
  • retro11legendblue[.]com
  • oussamatravel[.]com
  • cashcow[.]ai
  • shahdazma[.]com 

Obfuskovaný příkaz v příkazové řádce (Zdroj: Cybereason.com)

Po spuštění Emotet stáhne malware Trickbot. „Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo emaily.“ Sběrem informací ale jeho činnost nekončí, sám dokáže infikovat celou místní síť: „V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.“

Příkaz v PowerShell je již mnohem blíž rozluštění - Cybereason naznačují kritické prvky (Zdroj: Cybereason.com)

A ani odcizením citlivých informací a získáním vzdálené kontroly nad počítačem zkáza nekončí. Aby kyberzločinci maximalizovali možný profit z prolomení, dochází k nainstalování ransomwaru Ryuk. „Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné se obecně nedoporučuje platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje,“ uzavírá neradostnou bilanci prolomení bezpečnostních ochran GovCERT.cz. 

Jaké zásady dodržet a čemu se vyhnout při čelení hrozbám typu Emotet, Trickbot a Ryuk, radí GovCERT.cz

Bezpečnostní doporučení

GovCERT.cz vyjmenovává několik obecných doporučení: „doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144). Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů atp.)“

Komplexně doporučení pak rozvádí v dokumentech Bezpečnostní doporučení NCKB pro síťové správce, verze 3.0 - v podobě PDF. Zjednodušeno na pár bodů a do uživatelské češtiny:

  • neotevírejte podezřelé emaily - a už vůbec ne jejich přílohy;

...[dlouho nic a pak]...

  • aktualizujte operační systém; 
  • chraňte se pomocí antivirových programů a firewallu - automaticky aktualizovaných; 
  • používejte silná hesla; 
  • oddělujte administrátorské účty od uživatelských; 
  • kontrolujte a omezujte připojování externích umístění - fyzických disků a síťových umístění, ať už vzdálených či místních.

OKD Ostrava 20080203 (Zdroj: Wikipedia.org)

Oběti: OKD a nemocnice v Benešově

„Počítačová síť společnosti OKD se z neděle na pondělí (22./23. prosince 2019) stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejích serverů,“ vysvětluje, co se stalo, Ivo Čelechovský mluvčí OKD. „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“ V důsledku toho sáhl management k extrémnímu, ovšem z hlediska bezpečnosti jedinému přípustnému řešení - a ukončil těžbu ve všech dolech OKD. 

Jen několik dní předtím stejné útočné kombo napadlo nemocnici v Benešově. Ochromena byla celá počítačová síť, nemocnice byla nucena zrušit veškeré plánované operace a s návratem k běžnému provozu se počítá až v lednu 2020. 

Emotet, Trickbot a Ryuk jsou spojeny s celou řadou C&C serverů

IP adresy C&C serverů a hashe souborů

Coby dodatečný indikátor útoku zákeřným triem mohou sloužit IP adresy command and control serverů, se kterými napadené systémy komunikují - a to sice:

  • hXXps://5.182.210[.]132:443 09.12.2019
  • hXXps://23.94.70[.]12:443 09.12.2019
  • hXXps://64.44.51[.]106:443 06.12.2019
  • hXXps://85.143.220[.]41:443 02.12.2019
  • hXXps://107.172.29[.]108:443 02.12.2019
  • hXXps://107.181.187[.]221:443 28.11.2019
  • hXXps://172.82.152[.]136:443 09.12.2019
  • hXXps://184.164.137[.]190:443 09.12.2019
  • hXXps://186.232.91[.]240:449 26.10.2019
  • hXXps://194.5.250[.]62:443 09.12.2019
  • hXXps://195.54.162[.]179:443 09.12.2019
  • hXXps://198.46.161[.]213:443 09.12.2019

Případně pak hashe souborů: 

  • E051DEC1ED1B04419A9CD955199E2DE9
  • DBAE3CFBB12A99DFACB14294EB431E5C

Zdroje

 

 

 

 

 

Mistral Small 3: malý, ale s velkými možnostmi

Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...

DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny?

Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...

Grok od xAI: první kroky v podobě samostatné aplikace

Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...

VLC otitulkuje i neotitulkované... samozřejmě s pomocí AI

Nejhorší je, když najdete filmovou perlu, ale nemáte k ní titulky. A když už je najdete, tak nesedí. A i když ve VLC posunete jejich časování vůči časování zvukové stopy, tak se ty stopy neustále rozcházejí - a to dokonce nikoliv symetricky. To pak...


 
© 2005-2025 PS Media s.r.o. - digital world
 

reklama