Bezpečnost

Bezpečnost

Bezpečnost #22 - 2022

-> Spohos zveřejnil studii popisující nový typ kybernetické kriminality cílící na sítě DeFi zpracovávající automaticky obchody s digitálními měnami, vše popisuje například ITBiz. [W] 

 -> Podle Esetu byl nejčastější hrozbou pro uživatele Androidu v dubnu v Česku trojan Andreed šířený nelegitimními aplikacemi – jde nicméně „pouze“ o adware. Na Andreed připadalo 40 % záchytů, na druhé příčce skončil nebezpečnější bankovní trojan Cerberus s 10 % záchytů. [CZ] 

 -> FBI vydala varování americké akademické sféře ohledně uniklých přihlašovacích a osobních údajů, které jsou šířené bezplatně i za peníze na internetu. Například v květnu 2021 byla objevena sbírka 36 tisíc e-mailových adres s koncovkami .edu a k nim příslušejících hesel. Vzdělávací instituce by proto měly urychleně zavést vícefaktorové ověřování. [W] 

 -> Máte vůz vybavený technologií BLE (Bluetooth Low Energy), která umožňuje jeho odemčení a nastartování pomocí chytrého telefonu (za přítomnosti chytrého telefonu namísto klíče)? Pak byste se měli mít na pozoru, protože podle výzkumníků z NCC Group je takový vůz až překvapivě snadné odcizit, více na Živé.sk. [W] 

 -> Bezpečnostní varování týkající se chytrých elektroměrů ze třetích zemí s nedůvěryhodným právním prostředím, instalovaných v rozvodných sítích, vydal NÚKIB (v podstatě tím nepřímo míří prstem na Čínu). [CZ] [W] 

Bezpečnost #21 - 2022

-> Zatímco antivirové společnosti se předbíhají ve zprávách o rostoucím počtu kybernetických útoků prakticky neustále a po ruské invazi na Ukrajinu zvláště, slovenský NBÚ se pro Živé.sk vyjádřil, že nezaznamenal zásadní nárůst počtu kyberútoků směřujících na Slovensko ani v uplynulých týdnech a měsících, ani meziročně. [SK] 

-> Nedostupnost webu ŘSD a portálu Dopravniinof.cz či informační linky pro řidiče způsobil v minulém týdnu (v úterý brzy ráno) kybernetický útok patrně typu DDoS. Útok se podle dostupných informací nedotkl klíčových systémů. [CZ] 

Bezpečnost #20 - 2022

-> Dlouhé tři dny trvalo, než se provozovatelům podařilo po kybernetickém útoku (načasovaném na počátek vysílání vojenské přehlídky 9. května) obnovit ruskou videoplatformu RuTube, která je obdobou Youtube obsluhující výhradně ruskojazyčné trhy. Ostatně oslavy dne vítězství si „vychnutnala“ řada ruských TV stanic či IPTV platforem – v jejich EPG se objevovaly opakovaně hacknuté hlášky typu „máte na rukou krev“.  [W]  

-> NÚKIB připravil nový Národní plán výzkumu a vývoje v kybernetické a informační bezpečnosti do roku 2025. Ten zahrnuje například zřízení Národního koordinačního centra výzkumu a vývoje kybernetické bezpečnosti a rozvoj procesu sledování nových trendů (sic!) Podrobnosti v původním PDF. [CZ] 

-> Analýzu vývoje kybernetických útoku na Slovensku vydal tým Checkpointu, vyplývá z ní jasný výrazný nárůst po ruské invazi na Ukrajinu i formování útoků do vln. Mezi nejčastěji se vyskytujícím malwarem jsou Emotet, AgentTesla, XMRig, GuLoader a QRat, tedy veskrze staří známí. Podrobnosti s grafy nabízí živé.sk. [SK] 

Bezpečnost #19 - 2022

-> Tým Sentinel Labs objevil v produktech Avastu a AVG dvě vážné zranitelnosti, které zůstaly nepovšimnuty po řadu let (patrně od roku 2012) – stalo se tak již na sklonku minulého roku a chyby byly opraveny před zveřejněním, podle Sentinelu tak patrně nedošlo k jejich zneužití. [CZ] [W] 

-> Zpráva Avastu o stavu informační bezpečnosti v prvním kvartálu se pochopitelně točí kolem změn, jež přinesl konflikt na Ukrajině (patří mezi ně například mírný pokles útoků ransomwaru v globálním měřítku). Popisuje například aktivity skupiny Gmaredon, která dělá přímo na Ukrajině rozsáhlé DDoS útoky. Další podrobnosti například na ITBizu. [SK] [W] 

Bezpečnost #18 - 2022

-> Podle studie The State of Ransomware, kterou zveřejnila společnost Sophos, zasáhl tento typ malwaru v roce 2021 plné dvě třetiny organizací (v Česku šlo dokonce o 77 % z dotazovaných subjektů). Průměrné výkupné činilo 812 tisíc dolarů, tedy pětinásobek hodnoty z roku 2020, firem, které zaplatily víc než milion dolarů, bylo celosvětově třikrát víc oproti roku 2020. V Česku zaplatila podle Sophosu třetina postižených 100–250 tisíc dolarů, a dalších 29 % dokonce 250 až 500 tisíc dolarů, více než milion dolarů zaplatilo v Česku 7 % postižených organizací. Bezmála polovina firem zaplatila i v situaci, kdy měly jiný způsob obnovy dat (například ze záloh), neboť šlo o rychlejší cestu. [CZ] [W] 

 -> Vyřadit informační infrastrukturu může být snadnější, než se zdá, jak ukazuje situace, jež nastala ve Francii minulý týden ve středu po „vandalském útoku“ na optickou infrastrukturu, který po většinu dne odřízl od internetu buď zcela, či téměř hned několik velkých francouzských měst. [W] 

 -> Hlavním vektorem útoku je v případě SMB segmentu e-mail, a tak nepřekvapí výsledek průzkumu GFI, podle nějž je pro české SMB nejdůležitějším prvkem IT zabezpečení právě ochrana elektronické pošty, která tak omezuje rizika spojená s phishingem, ransomwarem i exploity. [CZ] 

 -> Skupina Anonymous získala a zveřejnila přes milion e-mailů ruské energetické společnosti Eletrocentromontaž, která spravuje značnou část ruské energetické infrastruktury a je také dodavatelem služeb pro některé evropské partnery (vč. například francouzské Arevy). [W] 

 -> Objevily se podrobnosti o tom, jak proběhl hack, který v prvních dnech invaze na Ukrajinu prakticky zastavil železniční dopravu v Bělorusku. Tajemstvím úspěchu byl mimo jiné fakt, že běloruské železnice stále používají staré (a děravé) Windows XP nebo že jejich zaměstnanci zveřejnili některé citlivé informace na Telegramu. [W] 

 -> Dalším DDoS útokům čelily v minulém týdnu weby a portály státní správy, například ministerstva vnitra (ty byly během středy část dne nedostupné) či (opět) Českých drah. Postiženy byly také některé samosprávy – například městský úřad ve Žďáru nad Sázavou musel přerušit svůj provoz kvůli útoku, který „zasáhl všechny interní agendy“.  [CZ] 

Bezpečnost #16 - 2022

-> Rozsáhlá krádež bezmála čtrnácti miliard Kč v kryptoměnách po útoku na hru Axie Infinity (v Observeru jsme o ní již informovali) je podle FBI dílem severokorejských hackerů (respektive hackerské skupiny s vazbami na KLDR – Lazarus a APT38). Severokorejský režim využívá krádeže kryptoměn jako jeden ze zdrojů příjmů dlouhodobě. Více o tomto případu například ITBiz. W  

-> Velký útok na energetickou soustavu Ukrajiny odhalila společnost Eset společně s CERT-UA v předminulém týdnu (8. dubna). Použit byl malware Industroyer2 a CaddyWipper, za útokem by pak měla být skupina Sandworm s údajnými vazbami na GRU. W 

-> Před pokračující vishingovou kampaní v Česku varuje NÚKIB. Jejím základem jsou telefonáty (často z belgických, německých či francouzských čísel), v nichž se volající s cizím přízvukem vydávají za zaměstnance Microsoftu a následně se od oběti pokusí získat vzdálený přístup k jejímu PC a údaje z platební karty. CZ W 

-> Březnu podle statistik Esetu v Česku vládl spyware útočící na uživatelská hesla – konkrétně trojany Agent Tesla, Formbook a Fareit, které si společně připsaly přes 50 % všech útoků. CZ 

-> Které komunikační aplikace doporučuje z hlediska zabezpečení NÚKIB? V nedávném srovnání si nejlépe vedla Threema, následovaná Signalem a  (kupodivu) WhatsApp. Nejhůře skončily Google Messages. CZ W  

-> Doporučení pro vývoj open source SW vydaly NÚKIB společně s resortem vnitra a za přispění odborné komunity. Více než dvacetistránkový dokument naleznete zde. CZ 

Bezpečnost #15 - 2022

-> Nová hrozba napadající weby s CMS WordPress a Joomla nese podle Avastu název Fakeupdate – napadené weby jsou proměněny na phishingové stránky vyzývající uživatele k aktualizaci prohlížeče, čímž je stažen a instalován RAT nástroj pro vzdálený přístup. [CZ] [SK] [W]  

-> Servery a bitcoiny v celkové hodnotě v přepočtu přes půl miliardy Kč byly zabaveny v Německu při odpojení ilegální ruskojazyčné platformy Hydra (nabízející na darknetu řadu ilegálních služeb a položek). Platforma fungovala údajně od roku 2015 a použilo ji na 19 tisíc prodejců a 17 milionů zákazníků, jen v roce 2020 dosáhla obratu přes 1,2 miliardy eur. [W] 

-> Google odstranil z Play obchodu desítky aplikací, které kradly svým uživatelům data. Do budoucna také společnost omezí možnosti instalace .apk souborů (dalších aplikací) jen na appky a nástroje, jež jsou k tomuto účelu svými tvůrci přímo určeny (velká část malwaru a škodlivých appek se šířila právě tak, že je instalovaly jiné, na první pohled „neškodné“ appky. [W] 

Bezpečnost #14 - 2022

-> Odcizení kryptoměny Ether a USD Coin v přepočtu za více než 13 miliard Kč oznámila blockchainová platforma Ronin, kterou využívá zejména NFT hra Axie Infinity. Jde patrně o druhou největší krádež kryptoměn v historii. [W] 

-> Čtrnáct dnů po kybernetickém útoku obnovil v minulém týdnu plně svou činnost Úřad městské části Prahy 5, některé agendy (například vydávání hotových dokladů) byly zprovozněny již dříve. [CZ] 

-> Americká FCC zařadila společnost Kaspersky na „černou listinu“ firem, jež představují potenciální hrozbu pro národní bezpečnost (pozn. red.: Netušili jsme, že tak zpátečnický termín je dnes v USA ještě přípustný), na níž se již nacházejí například čínské firmy Huawei a ZTE. Zařazení na seznam v praxi znamená, že organizace nemůže získávat federální prostředky, obecně má ale „odrazující“ účinek i v komerční sféře. [W] 

Bezpečnost #13 - 2022

-> S poněkud opožděným (a tím i nadbytečným) varováním přišel v minulém týdnu NÚKIB, když upozornil před rostoucí hrozbou, že dodavatelé IT služeb produktů s významnými vztahy k Rusku nemusejí být schopni dodržet své závazky. Problémy pochopitelně postihují zejména společnosti, které v Rusku či na Ukrajině realizovaly svůj vývoj. [CZ] [W] 

-> Tým společnosti Check Point upozorňuje na nové aktivity ransomwarové skupiny Conti (ta provozuje RaaS – Ransomware as a Service – na víceméně profesionální úrovni). Útoky v současné době míří zejména na kritickou infrastrukturu a zdravotnictví, podrobnosti popisuje na ITBizu Pavel Houser. [W] 

-> Společnost Check Point upozorňuje na prudký nárůst (+133 % oproti počátku března a +226 % oproti počátku roku) kyberútoků na cíle v ČR pocházející z čínských IP adres, útoky z čínských adres vzrostly po celém světě, nicméně nárůsty jsou obvykle menší – jen o 60, resp. 70 procent. [W] [CZ] 

-> Jasnou jedničkou mezi hrozbami na Androidu v Česku je podle Esetu bankovní malware Cerberus – za únor 2022 na něj připadalo bezmála 90 % detekcí. Zbylé pozice žebříčku top 10 obsadily různé trojany (Agent.IEG, Andreed, GriftHorse a jiné). [CZ] 

-> Společnost HP upozornila, že řada modelů jejích tiskáren má vážné zranitelnosti, které by mohly až umožňovat spuštění škodlivého kódu přímo na těchto zařízeních. Záplaty jsou již k dispozici. Informace zde a zde. [W] 

-> Úspěšný útok na centrální banku Ruské federace oznámila skupina Anonymous, bylo při něm zcizeno asi 35 tisíc dokumentů, které měly být následně postupně zveřejňovány on-line. Dalším zajímavým údajným útokem Anonymous bylo ovládnutí velkého počtu tiskáren v Rusku – na nichž bylo následně vytisknuto víc než 100 tisíc letáků popisujících válečnou situaci na Ukrajině. Další útok s cílem zveřejňovat informace o konfliktu byl úspěšně proveden na sociální síť VKontakte. [W] 

Bezpečnost #12 - 2022

-> Zajímavý typ kryptopodvodu kombinující svět kryptoměn (a investic do nich) se světem on-line seznamek typu Tinder a propracovaným systémem „romantického“ sociálního inženýrství popisuje tým Sophosu. CryptoRom pracuje s falešnými systémy tradingu s kryptoměnami, které lákají oběti, aby investovaly, následně jim hlásí obrovské zisky, za jejichž výběr ale požaduje 20% „daň“, kterou dokonce lze v podvodném ekosystému získat jako půjčku. Do všeho jsou pak zapojeni aktéři ze seznamek a v případě uživatelů, kteří se snaží získat ztracené prostředky zpět, dokonce i falešné weby slibující, že jim pomohou se k penězům dostat. [W] 

-> Ruským softwarovým společnostem nastaly těžké časy a platí to i pro ty, které se roky snaží dokázat, že vlastně ani ruské nejsou, a zvládly nejednu nástrahu – jako Kaspersky, před jehož produkty aktuálně varoval německý spolkový úřad pro IT bezpečnost BSI s odůvodněním, že existuje riziko kybernetických útoků vedených přes něj. Kaspersky pochopitelně podobná tvrzení odmítá a odvolává se na přesunutí své infrastruktury do Švýcarska, nezávislé audity či možnost prověřovat zdrojové kódy. [W]  

-> To, co se nejprve zdálo být rozsáhlým kybernetickým útokem na polské železnice PKP, jež vyřadil centra řízení dopravy a způsobil rozsáhlá zpoždění napříč téměř celou vlakovou sítí, se nakonec ukázalo být obyčejnou softwarovou chybou. [W] 

-> Další malware „mazacího typu“ CaddyWiper odhalil tým Esetu na Ukrajině. Cílem jeho útoků jsou zejména banky a finanční instituce, je zároveň příbuzným dříve objevených HermeticWiper a IsaacWiper. [W] 

-> Kybernetický útok odstavil minulý týden dočasně mimo provoz systémy UMČ Praha 5. [CZ] 

-> Za bezprecedentní označily ruské úřady útok typu DdoS, jenž ve čtvrtek směřoval na stránky státních úřadů a agentur – jeho síla údajně přesáhla 1 Tbit/s. Podobnou intenzitu měly již útoky z 26. února, těch ale na souhrnné překonání hranice terabitu bylo třeba přes 50. S největším DDoS útokem se minulý týden potýkal také Izrael – vyřadil z provozu vládní weby a byl za ním podle všeho Írán. [W]