Index Index "Check Point"

Check Point

Bezpečnost #48 - 2022 

-> Slovenští šéfové informační bezpečnosti byli osloveni, aby řekli, co si myslí, že budou klíčové trendy kyberbezpečnosti pro rok 2023. Například podle nich nastanou legislativní změny díky nové směrnici NIS2, navíc začíná rezonovat velké množství sdělovací povinnosti národním regulátorům. Kybernetické hrozby budou čím dál sofistikovanější, obránci se už nebudou moci spoléhat na detekci hrozeb prostřednictvím IOC, signatur či artefaktů. Řešením proto bude spoléhat se víc na detekci anomálií pomocí strojového učení. Jiní doporučili v duchu „těžko na cvičišti, lehce na bojišti“ zařadit různé formy tabletop cvičení, která pomáhají připravit organizaci na různé scénáře kybernetických akcidentů. Také doporučili vytváření podmínek pro vzdělávání nových kyberspecialistů. Více přímo na Živé. [SK]  

-> Podle společnosti Check Point budou mezi hrozbami v příštím roce dominovat jak „staří známí“ typu ransomware, tak novější hrozby jako útoky na kritickou infrastrukturu zejména v oblasti energetiky a novým trendem by pak mohl být vzestup útoků využívajících tzv. deep fake – tedy podvržený obsah, identity apod. vytvářený s pomocí AI. [W] [CZ] [SK] 

-> Sophos ve svém výhledu na rok 2023 zdůrazňuje především komercializaci celého odvětví kybernetického zločinu a rostoucí trend malware, zejména pak ransomware, jako služby. S pokračujícím úspěchem ransomware tržišť pak nejspíše přijdou i kreativnější způsoby vydírání – jako příklad uvádí systém odměn skupiny Lockbit 3.0 nabízející kyberzločinné komunitě odměny za objevování slabin či chyb v jejím malware a sdílení „tvůrčích“ nápadů, jak s ním pracovat. [W] 

Bezpečnost #44 - 2022 

-> Český operátor T-Mobile měl 24. 10. ráno celorepublikový výpadek mobilních služeb, příčinou mohl být hackerský DDoS útok, řekla ČTK mluvčí společnosti Zuzana Netolická. Výpadek trval dvanáct minut, než operátor problém odstranil.  CZ 

-> Adware Andreed zůstává nejčastějším malwarem pro platformu Android v České republice, který se šíří především prostřednictvím mobilních her. Nepatří však mezi nejzávaznější hrozby, neboť uživatele „pouze“ přesměrovává na agresivní reklamu. CZ 

-> Check Point zveřejnil Celosvětový index dopadu hrozeb. Rychlý rozbor si můžete na ITBiz.cz přečíst zde.  W 

-> Slovenské Národní centrum zdravotnických informací (NCZI) informovalo, že už finišuje se zřízením nového bezpečnostního operačního centra (SOC), který má zajišťovat nepřetržitý monitoring. SK 

-> Únik dat 65 tisíc entit nemusí znít jako zásadní záležitost, pokud se ovšem nejedná o data poměrně citlivá včetně podepsaných smluv či duševního vlastnictví, jako v případě tzv. BlueBleed, který postihl úložiště Microsoft Azure. Mezi postiženými jsou i české subjekty včetně ministerstev, více na SOC Radaru. W 

Bezpečnost #32 - 2022 

-> Podle společnosti Check Point čelily ve druhém kvartále „rekordnímu počtu kyberútoků“ – v průměru šlo o 1800 „útoků“ týdně, v případě výrobní sféry dokonce víc než 2000 „útoků“ týdně. Pozn. red.: Uvozovky nejsou samoúčelné – v rámci kybernetického strašení je totiž bezpečnostními firmami jako „útok“ nezřídka označen každý spamový mail s potenciálně škodlivou přílohou či odkazem. [CZ] 

-> Novou verzi svého Mobiledit Forensic 9 pro dolování dat z chytrých zařízení (nově včetně chytrých hodinek řady značek) vydává tuzemská společnost Compelson. Software používá řada bezpečnostních složek po celém světě. Je dobré jej (a jeho možnosti) znát už jen proto, abyste věděli, kam skutečně citlivá data neukládat… [CZ]  

-> NÚKIB vydal svou pravidelnou měsíční zprávu, zmiňuje v ní že vzhledem k zasažení místních samospráv se bude nadále více věnovat právě útokům na obce, města a kraje, které mohou být zajímavé i s ohledem na slabší zabezpečení. [CZ] 

-> MPSV vydalo varování ohledně falešných domén jež napodobovaly jeho web s cílem phishingu, respektive zcizení osobních dat (podání žádosti o příspěvek na bydlení). Podvodné weby byly registrovány přes zahraničního registrátora a provozovány skotským hostingem na ukrajinských serverech. [CZ] 

Bezpečnost #25 - 2022

-> Na Slovensku došlo v minulém týdnu k několika rozsáhlejším kybernetickým útokům – mezi cíli byly například web ministerstva obrany či systémy resortu financí. Podle zástupců úřadů nicméně šlo pouze o DDoS útoky bez vážnějších následků, resort financí se nicméně nakonec uchýlil k dočasnému vypnutí přístupu ze zahraničí. [SK]

-> Podle celosvětového indexu dopadu hrozeb, sestavovaného společností Check Point, byl tou největší v dubnu trojan Emotet. Česko je v žebříčku kyberútoků celosvětově na 26. pozici a v rámci Evropy páté (na jednu organizaci bylo během týdne vykonáno v průměru 1 800 útoků, průměr evropský činí 1 100). Zajímavé je, že Slovensko je co do počtu útoků výrazně bezpečnější – skončilo až na 84. pozici. [CZ] [SK] [W]

-> Podle studie Active Adversary Playbook 2022 sestavené společností Sophos se v minulém roce zvýšila průměrná doba pobytu útočníka v napadené síti o 36 % na medián 15 dnů (oproti 11 dnům v roce 2020). Souviselo to mimo jiné s dopadem zranitelnosti ProxyShell v MS Exchange, jež byla zneužívána pro získání přístupu do sítí, kterou následně útočníci dál přeprodávali. Nejdelší doba „pobytu“ v sítích byla asi nepřekvapivě u menších organizací – přibližně 51 dnů. Další podrobnosti nabízí například ITBiz. [W]

-> Zatímco antivirové firmy hořekují nad „hrozbami“ trasovacích aplikací používaných nejčastěji rodiči a označují je za malware, případ z USA ukazuje, že pro partnerský stalking končící vraždou stačí obyčejný Apple AirTag. Ten dala do vozu svého partnera podezřívavá G. Morissová. Muže pomocí tagu sledovala a následně jej našla v baru s jinou ženou. Vše vyvrcholilo tím, že svého partnera na parkovišti před barem srazila a opakovaně přejela autem. Zneužívání upravovaných (ztišených) air tagů pro sledování obětí (například aut, která mají být odcizena) přitom není žádnou novinkou. [W]

Bezpečnost #13 - 2022

-> S poněkud opožděným (a tím i nadbytečným) varováním přišel v minulém týdnu NÚKIB, když upozornil před rostoucí hrozbou, že dodavatelé IT služeb produktů s významnými vztahy k Rusku nemusejí být schopni dodržet své závazky. Problémy pochopitelně postihují zejména společnosti, které v Rusku či na Ukrajině realizovaly svůj vývoj. [CZ] [W] 

-> Tým společnosti Check Point upozorňuje na nové aktivity ransomwarové skupiny Conti (ta provozuje RaaS – Ransomware as a Service – na víceméně profesionální úrovni). Útoky v současné době míří zejména na kritickou infrastrukturu a zdravotnictví, podrobnosti popisuje na ITBizu Pavel Houser. [W] 

-> Společnost Check Point upozorňuje na prudký nárůst (+133 % oproti počátku března a +226 % oproti počátku roku) kyberútoků na cíle v ČR pocházející z čínských IP adres, útoky z čínských adres vzrostly po celém světě, nicméně nárůsty jsou obvykle menší – jen o 60, resp. 70 procent. [W] [CZ] 

-> Jasnou jedničkou mezi hrozbami na Androidu v Česku je podle Esetu bankovní malware Cerberus – za únor 2022 na něj připadalo bezmála 90 % detekcí. Zbylé pozice žebříčku top 10 obsadily různé trojany (Agent.IEG, Andreed, GriftHorse a jiné). [CZ] 

-> Společnost HP upozornila, že řada modelů jejích tiskáren má vážné zranitelnosti, které by mohly až umožňovat spuštění škodlivého kódu přímo na těchto zařízeních. Záplaty jsou již k dispozici. Informace zde a zde. [W] 

-> Úspěšný útok na centrální banku Ruské federace oznámila skupina Anonymous, bylo při něm zcizeno asi 35 tisíc dokumentů, které měly být následně postupně zveřejňovány on-line. Dalším zajímavým údajným útokem Anonymous bylo ovládnutí velkého počtu tiskáren v Rusku – na nichž bylo následně vytisknuto víc než 100 tisíc letáků popisujících válečnou situaci na Ukrajině. Další útok s cílem zveřejňovat informace o konfliktu byl úspěšně proveden na sociální síť VKontakte. [W] 

Bezpečnost #6 - 2022

-> NÚKIB vydal upozornění na kritickou zranitelnost CVE-2021-44142 ve službě SAMBA (protokol SMB v linuxových OS) umožňující vzdálené spuštění kódu bez autorizace. [CZ] [W] 

-> Prosincový index dopadu hrozeb společnosti Check Point staví na první příčky mezi zranitelnostmi Apache Log4j Remote Code Execution (dopad měla na bezmála polovinu všech firem), žebříčku malwaru dominují Trickbot, Emotet a FormBook (ten byl jedničkou v Česku), mobilnímu hardwaru pak vládnou AlienBot, xHelper a FluBot. [CZ] [W]  

-> Ddos útok na servery ČT z minulého týdne se jeví v jiném světle, poměříme-li jej útokem na servery Microsoftu v asijském regionu, ten měl celkový „tok“ 3,47 Tb/s a přicházel celosvětově z asi deseti tisíc míst.

Bezpečnost #3 - 2022

-> Podle informací Notářské komory došlo k praktickému uplatnění databáze ověřovacích doložek dokumentů, když notářka v Praze zabránila podvodnému převodu obchodní společnosti poté, co zjistila, že předložená plná moc se v databázi nenachází, a je tedy podvržená. [CZ]

-> Podle přehledů incidentu za prosinec 2021, který publikoval NÚKIB, figurovala vážná zranitelnost Log4j jen ve dvou z patnácti případů. Jak upozorňuje Lupa, NÚKIB spustil zveřejňování dat o kybernetických incidentech v otevřeném formátu na GitHubu. [CZ]

-> Z dat společnosti Check Point vyplývá, že počet útoků na podnikové sítě vzrostl v minulém roce v průměru o 50 % (v průměru 900 útoků na jednu sledovanou organizaci týdně), v Česku pak ještě o něco více (přes tisíc útoků týdně) – Evropa byla přitom kontinentem s nejvyšším růstem tohoto parametru (o 68 %). Největší počet útoků míří již tradičně na vzdělávací, vědecké a výzkumné organizace, následují státní a vojenské struktury, telekomunikace a ISP. Na opačném konci spektra jsou prodejci HW či doprava, maloobchod a velkoobchod. [W]

-> Rozsáhlému, podle ohlášených následků ale spíše neškodnému (nedošlo k únikům dat) útoku musely čelit v minulém týdnu ukrajinské státní úřady poté, co byly napadeny webové stránky řady z nich a byly na nich vyvěšeny výhrůžné a posměšné texty, které naznačují, že pachateli byli útočníci z Ruska. [W]

-> Společnost Soitron upozorňuje na zajímavý trend v oblasti kybernetické bezpečnosti – podvodné náborové kampaně cílené na SW inženýry a bezpečnostní specialisty, jimž jsou předkládány penetrační testy, které jsou ale jen zástěrkou pro skutečný ransomware útok. Pro tyto účely jsou dokonce zakládány krycí společnosti, vše je ale pochopitelně nastaveno tak, že odpovědnost za prováděné „penetrační testy“ nesou „najímaní“ specialisté. Jde o praxi využívanou například ruskou skupinou FIN7. [W]

-> Zajímá-li vás, jaké vybavení používá polská armáda, a to až na úroveň jednotlivých jednotek, které položky shání či které náhradní díly jsou poptávány, pak si stačí stáhnout seznam s 1,8 milionu položek (doslova od hřebíku po stíhačku a tank), který unikl na internet. Podle tamního ministerstva obrany zveřejnění dat nepředstavuje hrozbu pro bezpečnost země. Pozn. red.: To je vlastně už zbytečné jízlivě komentovat. [W]

-> V kauze úniku fotokopií dokladů a pasů slovenské delegace cestující na Expo 2020 se nepodařilo CSIRT.[SK] zjistit jakékoliv zapojení hackerů. Pozn. red.: Jinými slovy šlo o klasický šlendrián, slušně řečeno.

Bezpečnost #2 - 2022

-> Společnost Check Point varovala před novým malwarem zneužívajícím technologii ověřování podpisů od Microsoftu. Zloader cílí na přihlašovací údaje do bankovnictví a další citlivé informace. Útoky organizované skupinou MalSmoke začínají instalací upravené verze programu pro vzdálenou správu Atera s platným podpisem Microsoftu. [W] 

-> Podle GFI Software a databáze NVD byl v minulém roce opět objeven rekordní počet zranitelností – 18 970, což představuje mírný nárůst oproti 18 352 z roku 2020. Roky, kdy počet objevených zranitelností narostl na zhruba dvojnásobek, byly v minulosti 2005 a 2017. Závažných zranitelností bylo 3 784 (včetně např. poslední z konce roku – Log4Shell). [W] 

-> Microsoft (společně s dalšími) upozorňuje, že v případě zranitelnosti v Java knihovně Log4j roste počet exploitů a nástrojů nasazených například v rámci botnetů, a lze tedy očekávat, že počet útoků na doposud nezabezpečené systémy poroste. Problémem navíc je, že rychlé záplaty verze 2.15.0 přinesly další nové zranitelnosti. Někteří (například slovenský NÚKIB) také varují před poměrně zvláštními typy útoků, jež lze v tomto případě nasadit – například na PC nepřipojená k internetu lze zaútočit přes OCR. [W] 

Bezpečnost #1 - 2022

-> Podle týmu Esetu bychom se v novém roce měli připravit zejména na hrozby související s těžbou či krádežemi kryptoměn (především porostou-li dále jejich ceny) a také na častější „vektory“ útoku přes mobilní zařízení – zejména ta s Androidem. Rostoucí počet útoků bude také směřovat na cloudové služby. [W] 

-> HW doplněk serverů HP iLo (integrated Lights-Out) umožňující vzdáleně ovládat i server, který je vypnutý, se ukázal být dokonalým backdoorem – na jeho zneužívání hackerskými nástroji upozornila íránská bezpečnostní firma AmnPardaz. Rootkit iLo Bleed, který je k dispozici patrně již od roku 2020, umožňuje přemazávat disky (a teoreticky i plně ovládnout servery), není ale jasné, jak je na cílové systémy „doručován“. Experti se přou i o to, zda jde o vysoce profesionální APT nástroj, či dílo amatéra – pro druhé hovoří, že páchá snadno odhalitelné škody, čímž dělá odhalitelným i sám sebe. [W] 

-> Dalším, z pohledu hackerů slibným odvětvím jsou tiskárny a vydavatelství – zejména ty produkující periodická média. Ransomware útok na norskou skupinu Armedia v minulém týdnu zastavil tisk hned několika titulů, z celkové stovky novin a časopisů nakonec mohla v daném týdnu vyjít jen asi pětina. [W] 

-> Jak se vyvíjely hlavní hrozby během listopadu, shrnuje tradiční index dopadu hrozeb společnosti Check Point. Jedničkou v segmentu malwaru je Trickbot, podobně jako dříve, na druhé místo se posunul Agent Tesla a na třetí Formbook (ten byl zároveň hrozbou číslo jedna pro české organizace). V mobilní oblasti je jedničkou malware jako služba AlienBot, který odsunul na druhou příčku xHelper. [W] 

-> Před podvodnými e-maily snažícími se z obětí vylákat „doplatek DPH“ za zásilky ze zahraničí varuje celní správa. Zprávy jsou rozesílány jménem service@cs.mfcr.cz. Autentické informace o clení zásilek s cenou do 150 eur lze nalézt na portále www.celnicka.cz. [CZ] 

Bezpečnost #48 - 2021

-> V žebříčcích hrozeb za říjen je podle Check Point Research jedničkou Trickbot (malware, dopad celosvětově na čtyři procenta organizací) následovaný XMRigem (kryptomining) a RAT Remcos. V mobilní doméně byl „jedničkou“ xHelper (adware a backdoor), dvojkou MaaS (Malware as a Service) AlienBot a trojkou xLoader (bankovní trojan). Podle výzkumníků cílili útočníci minulý měsíc zejména na vzdělávací a výzkumné instituce. [W] 

-> Podle BIS se v minulém roce uskutečnily cílené kybernetické útoky nejen na státní instituce, ale také na tuzemské politické strany a nevládní organizace. BIS také varuje před bezpečnostními riziky – například v podobě obsahu soukromých a pracovních e-mailových schránek státních zaměstnanců, jež obsahují například citlivé osobní a přístupové údaje. [CZ] 

-> Slovenský [SK]-Cert varuje před útoky extrémně sofistikovaného malwaru SmokeLoader, které míří zejména na oblast biomedicíny. Před útoky již dříve varovala platforma biochemiků BIO-ISAC. [SK] [W]