Bezpečnostní přehled: Ransomware a Tor

Kolik stojí na černém trhu kompromitované účty. Kampaně cílí na ukrajinské banky a možná i energetickou soustavu. Triky s odkazy URL ohrožují podnikové uživatele MS Office 365. Kdo je ochoten platit za ransomware. Hesla českých uživatelů. Zranitelnosti a opravy: Joomla, Samba, platforma Mac OS X.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Ukrajinské cíle

Skupina útočníků Black Energy, respektive TeleBots (podle Esetu jde zřejmě o tytéž lidi) opět udeřila na Ukrajině. Na přelomu let 2015-2016 směřovala tato kampaň především proti místním elektrárnám, nyní cílí na banky. Malware šířený především e-maily s infikovaným excelovým souborem (vyžaduje povolení maker) krade informace, snaží se pronikat dál do sítě a maže z napadeného počítače systémové soubory.
17.-18. prosince přitom došlo k výpadku dodávek elektřiny, který zasáhl i Kyjev. Problém byl na úrovni rozvodny, i zde se jako jedna z možných příčin uvádí kybernetický útok. Komentátoři dodávají, že rozvodny (i když systémy některých z nich stále nejsou připojeny k internetu) bývají v energetických sítích z řady důvodů slabými místy – spíše než např. samotné elektrárny.

Platby vyděračům: firmy i rodiče

Průzkum IBM Security (X-Force) mezi 600 podniky uvádí, že až 70 % z nich bylo po napadení ransomwarem ochotno zaplatit podvodníkům za šanci dostat se zpět k datům. Polovina z těch, kdo by byli ochotni zaplatit, uvedla částku přes 10 000 dolarů, 20 % i přes 40 000 dolarů. Zkušenost s tímto útokem má 57 % středních podniků a 29 % malých (dle toho, jak jsou tyto kategorie chápány v USA).
V případě jednotlivců až 70 % naopak uvádělo, že by za své soukromé dokumenty, fotografie nebo seznamy kontaktů neplatili – alespoň pokud by nešlo o „finanční data“. Nadpoloviční většina by ještě byla ochotna platit za dešifrování fotografií svých dětí (data vztažená rodiče; v celém souboru respondentů by rodinné fotografie ovšem oželela více než polovina).
Další odhad zní, že letos získali podvodníci celosvětově ransomwarem až miliardu dolarů.

Účty za halíře

Databáze kompromitovaných účtů Yahoo, která údajně zahrnuje přes miliardu záznamů, se podle společnosti Info Armor nabízí na černém trhu za 300 000 dolarů. Po přepočtu to řádově vychází asi na halíř za účet, nabídka podobných dat tedy zřejmě převyšuje poptávku.
Viz také: Bezpečnostní přehled: Ransomware jako letadlová hra

Aktuální zveřejňování informací o únicích dat v Yahoo, když přitom k incidentům docházelo před lety, může souviset s plánovanou akvizicí Yahoo Verizonem za 4,8 miliard dolarů. Verizon by ovšem mohl od dohody odstoupit, eventuálně je ve hře snížení ceny.

Obávané kontejnery

Podle Tenable Network Security poklesla meziročně důvěra podniků v to, že jejich bezpečnostní řešení je dokáže ochránit před kybernetickými útoky. Průzkum uvádí, že se snížila např. důvěra v bezpečnost cloudu (IaaS i SaaS) i ve schopnost podniků vypořádat se z riziky způsobenými používání mobilních zařízení. Zvýšené obavy panují z nových režimů vývoje a nasazování aplikací (devops) stejně tak jako z technologií kolem kontejnerů.

Zranitelnosti a opravy

Skype pro Mac OS X údajně obsahuje bezpečnostní díru, která umožňuje dalším aplikacím přístup k přihlašovacím údajům a následně i nahrávání hovorů. Na problém upozorňuje Trustwave SpiderLabs a označuje ho jako backdoor. Microsoft chybu uznal, ale popřel, že by byla úmyslná.
Skype má rozhraní, které umožňuje přístup dalších aplikací, nicméně vše má fungovat pouze se souhlasem uživatele. Ve verzi Skype 7.37 a novější by už problém být neměl.

Šifrování FileVault 2 na počítačích Apple šlo prolomit. Pomocí zařízení PCILeech zapojeného přes rozhraní Thunderbolt 2 (možná šlo i USB) do počítače během restartu lze heslo získat přímým přístupem k paměti (DMA).
FileVault 2 používá šifrování XTS-AES-128 s 256bitovým klíčem, problém byl ovšem v implementaci. Zranitelnost byla opravena v aktualizaci MacOS 10.12.2. Chybu objevil švédský bezpečnostní výzkumník Ulf Frisk.

Několik kritických bezpečnostních zranitelností opravuje nová verze CMS systému Joomla. Největší riziko představuje chyba CVE-2016-9838, která útočníkovi umožňuje kompletně ovládnout příslušný web a libovolně nastavovat oprávnění. Problém přitom v systému existuje už od verze 1.6.0 z počátku roku 2011. Lze předpokládat, že pokusy o zneužití už v tuto chvíli probíhají.

Bezpečnostní chyby látají rovněž nové verze protokolu Samba 4.5.3, 4.4.8 a 4.3.13.

CSIRT.CZ upozorňuje/varuje

Uživatelé kancelářského balíku Office 365 pro firmy se stali cílem nového phishingového útoku. E-mail předstírá, že jeho odesilatelem je např. FedEx, zpráva obsahuje na první pohled autentické URL k získání informací o doručované zásilce. Pro zamaskování reálné škodlivé adresy útočníci používají tzv. punycode syntaxi, kvůli tomu je URL vyhodnoceno jako bezpečné antiphishingovým filtrem obsaženým v Office 365. V případě, že uživatel na URL klikne, je již přesměrován na phishingovou stránku, která se tváří jako přihlašovací stránka Office 365. Zde je oběť vyzvána k zadání přihlašovacích údajů.

Poznámka: Shrnuto – uživatel vidí http s doménou Fedexu nebo jiné neškodné URL. Filtr v Office v 365 vidí také neškodné URL. Odkaz vede na podvodný web. Punycode je způsob, jak dostat do názvu domény ne-ASCII znaky.

Ze světa firem

Analýza dat hesel odcizených z českého e-shopu (ta, která se útočníkovi podařilo získat z hash, nebo byla odcizena už v podobě prostého textu) vede k následujícím závěrům. Čtvrtina vzorku používá 8znaké heslo (4 401). Téměř shodný počet lidí používá kratší heslo (4 857), zbylá polovina má heslo delší (7 329). Celých 90 % hesel je mezi 6 a 11 znaky. Z celkem 16 587 hesel přes 10 000 obsahuje nějaké rozpoznatelné slovo.
Zdroj: Blog CZNIC

Dva z pěti pokročilých uživatelů internetu chtějí používat pouze šifrované služby. Téměř polovina by chtěla mít jen přiměřeně kvalitní soukromí napříč všemi službami, více než jeden ze tří naopak věří, že soukromí již neexistuje.
Zdroj: tisková zpráva společnosti Ericsson, prognóza 10 největších spotřebitelských trendů na rok 2017

K dispozici je nástroj pro odšifrování souborů uzamčených nejnovější verzí ransomwaru CryptXXX. Nástroj RannohDecryptor od Kaspersky Lab dokáže odemknout většinu souborů s koncovkou .crypt, .cryp1 a .crypz.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Nová kampaň využívá nevyžádanou poštu k šíření ransomwaru Cerber 5.0.1. Oběť obdrží jednoduchý odkaz, který využívá přesměrování Google a anonymizační služby Tor. Po kliknutí na odkaz dojde ke stažení infikovaného dokumentu v MS Wordu, ransomware se instaluje v případě povolení maker. Ransomwarové kampaně vždy využívaly Tor, nyní však zřejmě vůbec poprvé Tor slouží k hostingu nakaženého dokumentu i spouštěného souboru. Tento postup znamená, že je mnohem obtížnější odstavit servery, na kterých je škodlivý obsah umístěn.
Užití domény onion.to v prvotním přesměrování umožňuje útočníkům využít proxy službu Tor2Web k přístupu ke zdrojům v síti Tor bez nutnosti instalace klienta Tor do napadeného systému. Administrátoři podnikových sítí by měli kvůli podobným hrozbám zvážit zablokování provozu se sítí Tor a proxy Tor2Web.
Zdroj: tisková zpráva společnosti Cisco/Talos

Nové případy útoků na české a slovenské uživatele Facebooku. V předvánočním období se útočníci rozhodli zneužít jména známých módních značek, aby vylákali z uživatelů informace o jejich platebních kartách. Lákadlem jsou falešné stránky propagující nákup kabelek Michael Kors, bot Ugg či sandálů Birkenstock s výraznými slevami.
Zdroj: tisková zpráva společnosti Eset

V listopadu oproti předešlému měsíci vzrostl počet ransomwarových útoků Locky a Cryptowall o 10 %. Bankovní trojan Ramnit zaznamenal v průběhu listopadu celosvětově vůbec největší nárůst útoků a poprvé se dostal mezi Top 10 jako 6. nejběžnější malware. Útočil hlavně v Turecku, Brazílii, Indii, Indonésii a USA.
Check Point analyzoval i malware v ČR. Na prvním místě je i nadále Conficker a na druhém místě ransomware Cryptowall. Do Top 3 se vrátil ransomware Locky, naopak z Top 10 vypadl jinak velmi výrazný a rozšířený trojan Zeus, který je nejčastěji používán ke krádežím bankovních přihlašovacích údajů.
Zdroj: tisková zpráva společnosti Check Point Software Technologies

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také
Datasys s nástroji pro monitoring a analýzu

Exit mobile version