Bezpečnostní přehled: Vývoj ve světě ransomwaru

Symantec kupuje LifeLock. Další „čínský“ spyware na levných smartphonech. Ransomware a IoT. Jak se vůbec rozšířil Locky? Masivní kampaň Cobalt zasáhla bankomaty, vybíralo se po celém světě. Ocenění pro síťovou kartu, která mj. filtruje útoky. Malware, který se sám vymaže při restartu.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Symantec znovu nakupuje za miliardy

Symantec koupil za 2,5 miliardy dolarů firmu LifeLock, která dodává řešení pro ochranu identity. Jedná se o další velkou akvizici poté, co v létě Symantec získal za 4,65 miliard dolarů společnost Blue Coat (viz starší Bezpečnostní přehled). Tento krok je hodnocen jako snaha získat další zákazníky a zdroje příjmů v souvislosti s tím, jak kvůli produktům dostupným zdarma stále klesá prodej klasických antivirů; navíc Symantec má k dispozici hotovost, kterou utržil prodejem své dřívější divize do firmy Veritas za 7,4 miliard dolarů.

Aktuální transakci ještě musí schválit akcionáři LifeLock (cena je však oproti aktuální ceně akcií na burze navýšená cca z 21 na 24 dolarů, takže problémy se neočekávají) a regulátoři. Cena za celkem neznámou firmu jse zdá být poměrně vysoká, ovšem o LifeLock stáli údajně ještě jiní zájemci; firma měla ve 3. čtvrtletí 2016 zisk 14,4 milionů dolarů při obratu 170,3 milionu.

Výpadek Google v minulém týdnu, který zasáhl služby poskytované v ČR, SR i některých jiných zemích, nebyl podle Google i většiny nezávislých analytiků způsoben bezpečnostním incidentem.

Ze světa ransomwaru

Útok ImageGate vkládá malware do obrázků. Podvodníci pak šíří škodlivý kód pomocí těchto obrázků na Facebooku a LinkedIn. Po kliknutí na podvodný „obrázek“ se namísto zobrazení většinou začne stahovat soubor (koncovky SVG, JS, HTA…), po jeho otevření se už spouští šifrování. Specialisté Chek Pointu se domnívají, že popsaná metoda stojí za masivním rozšířením ransomwaru Locky v posledních měsících.

(Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Mezi českými a slovenskými uživateli Facebook messengeru se začal šířit škodlivý soubor připomínající fotografii. Soubor se pokouší o přesměrování na web připomínající YouTube, kde je oběť vyzvána k instalaci plug-inu pro přehrávání videa. Ve skutečnosti se nainstaluje škodlivý kód Nemucod, jehož dalším úkolem je stáhnout do infikovaného počítače ransomware Locky. Současně se pak škodlivý soubor rozesílá dál. (Zdroj: tisková zpráva společnosti Eset)

Carl Redberger ze společnosti Radware se domnívá, že v příštím roce začne trend ransomwarových útoků proti zařízením IoT. Vyděrači začnou požadovat výkupné za znovuzpřístupnění systémů ovládajících domácí termostaty, auta nebo dokonce medicínské implantáty. Nakonec současné DDoS útoky ukazují, že ovládnout zařízení IoT je pro podvodníky poměrně snadné…

Robert Graham, CEO firmy Errata Security, uvedl, že bezpečnostní kamera JideTech se po připojení k internetu stala součástí botnetu Mirai za necelé dvě minuty. Nepomůže ani měnit hesla a mazat účty, protože jeden výchozí účet přístupný přes Telnet prý stejně zůstane. Jediným řešením je podle Grahama umísťovat podobná zařízení za firewall.

Bezpečnostní analytik Nathan Scott zveřejnil nástroj pro obnovení souborů zašifrovaným ransomwarem TeleCrypt. Tento malware cílil především na oběti v Rusku.

Eset nabízí nástroj pro dešifrování dat napadených ransomwarem Crysis. Tento software byl připraven za pomocí dešifrovacích klíčů, které byly zveřejněny na fóru BleepingComputer.com, a je k dispozici ke stažení zdarma na webu technické podpory Esetu. (Zdroj: tisková zpráva společnosti Eset)

Levné telefony mívají svá úskalí

Ukázalo se, že další levný smartphone s Androidem obsahuje firmware, který bez vědomí uživatele odesílá data o telefonu (IMEI, telefonní číslo…) na servery v Číně. Po telefonech Adups Technology (viz předcházející bezpečnostní přehled) bylo podobné chování dokumentováno i pro zařízení Regentek.

Poslední dny SHA-1

Na počátku příštího roku přestanou Chrome (verze 56), Firefox (verze 51), MS Edge i Internet Explorer podporovat https certifikáty na bázi hashovací funkce SHA-1. Algoritmus SHA-1 pochází již z roku 1995 a první návody na to, jak je zde možné dosáhnout kolizí, se objevily už v roce 2005. Loni výzkumníci z Nanyang Technological University v Singapuru ukázali, že k prolomení by dnes stačil výpočetní výkon, který je v cloudu dostupný za asi 75 000 dolarů.

Podvodné výběry z bankomatů po celém světě

V létě došlo k další masové kampani skupiny Cobalt, koordinovaným výběrům z bankomatů v Evropě, Rusku i v jihovýchodní Asii. Na počátku akce stály phisgingové e-maily do bank nebo k výrobcům bankomatů. Následně podvodníci dokázali získat kontrolu nad různými počítači v rámci sítí příslušné instituce. Odtud se pátralo po stanicích, z nichž by šlo nahrávat software i do bankomatů. Po ovládnutí bankomatů dostali prostředníci (bílí koně) SMS určující polohu bankomatu a čas výběru, následně odtud vysáli veškerou dostupnou hotovost. Poté se pokusili vymazat z bankomatu maximum informací a restartovat ho. V síti bank došlo také k mazání stop za účelem zkomplikování forenzní analýzy.

Při akci se používal např. penetrační nástroj Cobalt Strike, TeamViewer pro vzdálený přístup, terminálové servery… Mimochodem, software z bankomatu také odeslal na vzdálené servery informace o tom, jaké bankovky byly vydány, to aby bílí koně nezkoušeli organizátory ošidit. Postiženy byly banky v řadě zemí, ČR ani SR v seznamu uvedena není, např. na rozdíl od sousedního Polska.

Zranitelnosti a opravy

Siemens vydal bezpečnostní záplatu pro zranitelnost CVE-2016-9155, která umožňovala získat přístupové údaje k CCTV kamerám (administrátorské jméno a heslo vracel vestavěný web server jako odpověď na speciální http požadavek). Příslušné produkty dnes prodává Vanderbilt Industries, která loni koupila od Siemensu jeho kamerovou divizi.

Chyba v aktualizačním serveru WordPressu teoreticky umožňovala útočníkům nahrát sem svůj vlastní škodlivý kód a pak ho dále šířit ke všem, kdo si odsud budou stahovat nové verze tohoto CMS. Další možností bylo zakázat na dotčených webech automatické aktualizace. Problém má mj. být i v tom, že aktualizace WordPressu nejsou podepisovány.

CSIRT.CZ upozorňuje/varuje

Byla vydána nová verze NTP 4.2.8p9, která přináší téměř 40 záplat i dalších aktualizací. Nejzávažnější z opravovaných zranitelností se týká ntpd na Windows, kde může příliš velký UDP paket způsobit DoS.

Bezpečnostní rada státu projednala Návrh rozvoje kapacit a schopností Národního centra kybernetické bezpečnosti Národního bezpečnostního úřadu do roku 2025. V Brně se má stavět nová budova Centra, už předtím se bude zvyšovat počet zaměstnanců.
zdroj: Vlada.cz

Ze světa firem

Představena byla beta verze řešení GFI OneConnect, což je cloudová platforma pro zajištění bezpečnosti a kontinuity podnikové elektronické pošty. Finální verze má být k dispozici na začátku příštího roku. (Zdroj: tisková zpráva společnosti GFI Software)

Téměř třetina Čechů nepoužívá žádný zámek displeje mobilních telefonů. (Zdroj: tisková zpráva společnosti Eset)

Na trh přichází monitorovací kamera D-Link DCS-936L určená pro nasazení doma nebo v kanceláři. Otočná hlava umožňuje umístit kameru podle potřeby na polici nebo namontovat na zeď či strop. (Zdroj: tisková zpráva společnosti D-Link)

Prognóza na rok 2017 od Kaspersky Lab. Očekává se nárůst malwaru usazeného v paměti, který zpravidla nezůstane v přístroji déle než do prvního restartu, po němž je vymazán. Tento druh malwaru je navržen pro všeobecný průzkum a sběr osobních údajů, přičemž je útočníky nenápadně šířen tak, aby ve vysoce citlivém prostředí vůbec nevzbudil podezření. Další trendy: Špionážní akce se zaměří více na mobilní zařízení. Bezpečnostní firmy jen s obtížemi získávají plný přístup do mobilních operačních systémů za účelem forenzní analýzy. Ransomware i nadále poroste, nicméně důvěra obětí v dešifrování dat po zaplacení výkupného bude klesat s tím, jak se k těmto druhům útoků budou uchylovat „nižší vrstvy“ kyberzločinců. To možná povede k menší ochotě lidí zaplatit. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

42 % českých uživatelů se setkalo nebo bylo napadeno malwarem a 24 % Čechů se stalo jeho obětí. 33 % napadených uživatelů pak neví, jak se malware do jejich zařízení dostal. 41 % dotázaných v Česku muselo zaplatit za vyřešení problému způsobeného malwarovým útokem, průměrná částka za „zásah“ přesahuje 3 000 Kč. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Podle nejnovější studie Check Point Security Report stahují zaměstnanci do podnikových sítí 9krát více malwaru něž před rokem. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Každoroční studie Network Barometer Report 2016 od Dimension Data: V rámci posouzení 97 tisíc síťových zařízení se zjistilo, že podíl zařízení s alespoň jednou známou zranitelností se ze 60 % v roce 2015 zvýšil na letošních 76 % – to je nejvyšší hodnota za posledních pět let. Také speciálně podíl síťových zranitelností v evropských firmách se výrazně zvyšuje, a to z 26 % v roce 2014 přes 51 % v roce 2015 až na současných 82 %. Naopak se zrychlují reakce na bezpečnostní incidenty a zkracuje průměrná doba opravy. (Zdroj: tisková zpráva společnosti Dimension Data, průzkum ve 28 zemích včetně ČR)

Letošní cenu Industrie, kterou v rámci soutěže Česká Hlava uděluje ministerstvo průmyslu za nejvýznamnější inovační technologii, získaly firma Netcope Technologies a sdružení Cesnet, které vyvinuly první síťovou kartu pro zpracování 100G Ethernetu. Na základě této karty zákazníci a partnerské instituce vybudovali několik řešení včetně řešení pro detekci a ochranu před kybernetickými útoky, testování sítě či zabezpečení komunikace šifrováním. (Zdroj: tisková zpráva sdružení Cesnet)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečnostní přehled: V botnetu Mirai převládají DVD rekordéry, ne kamery

Exit mobile version