Index Index "Conti"

Conti

Bezpečnost #27 - 2022

-> Ransomware gang Conti, který stál za řadou úspěšných útoků v posledních dvou letech (byl nástupcem skupiny Ryuk, za malwarem TrickBot a BazarLoader a podle všeho byl i za pokusem o svržení vlády v Kostarice), podle dostupných informací ukončil svou činnost v důsledku sankcí uvalených na Rusko, které skupině výrazně ztížily možnost vybírat od svých obětí výkupné (jen letos přitom již získala přes tři a půl miliardy Kč). Její členové tak nejspíš postupně posílili či posílí jiné skupiny, vysvětluje specialista Soitronu na ITBizu. [CZ]  

-> První „nediplomatickou“ odpovědí ruské strany na blokace zboží převáženého přes Litvu do ruské enklávy Kaliningrad byl patrně rozsáhlý kybernetický útok skupiny Killnet, který zasáhl minulý týden litevské státní i soukromé subjekty. Šlo o DDoS útoky, jež způsobily nefunkčnost či nedostupnost některých služeb, ale jinak nenapáchaly významnější trvalé škody. [W] 

-> Jak stanovují ransomware útočníci výši požadovaného výkupného? Podle české společnosti ComSource stejně, jako to dělá například EU v případě pokut – procentem z obratu postiženého subjektu, v případě ransomwaru jde typicky o 10 % obratu společnosti podle informací dostupných ve veřejných rejstřících. Typickým (50%) vektorem útoku jsou přílohy phishingových e-mailů (následují zranitelnosti zabezpečení 25 % a špatné chránění vzdáleného přístupu 20 %). Nejčastějšími dny, kdy útočí, jsou čtvrtek a pátek, tak aby během víkendu mohli útok ve firemní síti postupně rozvinout. [CZ] [W] 

-> Zdravotnické organizace jsou podle nové studie společnosti Sophos stále častějším a zároveň z mnoha hledisek „ideálním“ cílem ransomware útoků. Počet útoků na ně vedených meziročně vzrostl o 94 % - napadeno ransomwarem bylo v minulém roce 66 % zkoumaných zdravotnických organizací oproti 34 % v roce 2020. Oběti se sice lépe vyrovnávají s následky útoků (alespoň část dat získalo po útoku zpět 99 % ze zasažených), zároveň ale data potřebují nezbytně pro své fungování, což vede k častějším platbám útočníkům (byť ty jsou ve srovnání s jinými odvětvími nižší – asi 200 tisíc dolarů ve srovnání s celkovým průměrem přes 800 tisíc dolarů.). Z těch, kdo zaplatili výkupné, přitom veškerá data zpět získala jen dvě procenta. Problémem pro 93 % zdravotnických subjektů je získání odpovídajícího kybernetického pojištění – musejí plnit mnohem přísnější parametry v oblasti zabezpečení, což je zejména pro menší organizace obtížné. [W] 

-> Zaplatíte-li za výpalné ransomwaru v kryptoměně, může se stát, že na tom nakonec vyděláte. To je případ Maastrichtské univerzity, která v roce 2019 zaplatila výkupné 200 tisíc eur v bitcoinech. Jejich menší část se nyní podařilo vypátrat a zabavit policii, ta je vrátila škole, která tak získala zpět (i po nedávném propadu kryptoměn) v přepočtu asi půl milionu eur. [W] 

-> Vydavatelství Macmillan Publishers se stalo na sklonku června obětí kybernetického (ransomware) útoku a ani po týdnu od incidentu nebylo schopné uvést zpět do provozu odbavování objednávek v USA. [W] 

Hlavní události #21 - 2022

-> Značné ambice ukázala ruská ransomware skupina Conti, když vydala varování Kostarice, že pokud nezaplatí výkupné za systémy napadené v dubnu (ty se státu doposud nepodařilo zcela obnovit, a musel proto být vyhlášen výjimečný stav), zaútočí znovu s cílem svrhnout vládu. Zároveň bylo zvýšeno požadované výkupné na dvojnásobek – 20 milionů dolarů, tedy asi půl miliardy Kč. Podle amerického DoJ skupina Conti od začátku roku od obětí získala na platbách 150 milionů dolarů (3,6 miliardy Kč). Za informace vedoucí k dopadení členů skupiny je vypsána odměna deset milionů dolarů. [W] 

-> Na Slovensku by měl vzniknout nejvýkonnější AI superpočítač na světě – projekt I4DI (Innovations for Digital Infrastructure) by měl používat procesory Tachyum Prodigy, jejichž výkon se v praxi ukázal vyšší, než se očekávalo. Systém postavený podle současných plánů by tak mohl nabídnout až 128 exaflops výkonu pro AI, respektive 500 petaflops double-precision. Tachyum také hovoří o možném rozšíření na dvojnásobný výkon za příplatek asi 55 milionů eur. [SK] 

-> „Nový centrální úřad, v jehož čele nestojí člen vlády a který je zřízen zákonem. Kompetencí DIA by měla být koordinace ISVS (převedení kompetencí z ministerstva vnitra), dále péče o centrální sdílené služby – tedy registry podle zákona o el. identifikaci a služby vytvářející důvěru, o Czech POINT a datové schránky a další systémy, které splňují parametry centrálních sdílených služeb. Podstatnou kompetencí by měla být i problematika eGovernment cloudu a poskytování infrastruktury i aplikací státu tímto způsobem.” Tak by podle citace Lupy z letošní ISSS měla vypadat chystaná Digitální a informační agentura – DIA, kterou chystá vicepremiér pro digitalizaci. [CZ] 

 -> Bezpečnostní tým TU v Darmstadtu odhalil vážnou, patrně neopravitelnou, byť obtížně zneužitelnou zranitelnost v přístrojích iPhone s iOS 15 a vyšším – ty lze v případě aktivace funkce „Find My“ zneužít ve vypnutém stavu a s téměř vybitou baterií. Podrobnosti popisují Hacker News, původní studie je zde. [W] 

-> Ukončení svých bankovních aktivit v Rusku oznámily PPF a Home Credit – aktiva HCFB (Home Credit and Finance Bank) a jejích dceřiných subjektů budou prodána domácím investorům. [CZ] [W] 

Bezpečnost #13 - 2022

-> S poněkud opožděným (a tím i nadbytečným) varováním přišel v minulém týdnu NÚKIB, když upozornil před rostoucí hrozbou, že dodavatelé IT služeb produktů s významnými vztahy k Rusku nemusejí být schopni dodržet své závazky. Problémy pochopitelně postihují zejména společnosti, které v Rusku či na Ukrajině realizovaly svůj vývoj. [CZ] [W] 

-> Tým společnosti Check Point upozorňuje na nové aktivity ransomwarové skupiny Conti (ta provozuje RaaS – Ransomware as a Service – na víceméně profesionální úrovni). Útoky v současné době míří zejména na kritickou infrastrukturu a zdravotnictví, podrobnosti popisuje na ITBizu Pavel Houser. [W] 

-> Společnost Check Point upozorňuje na prudký nárůst (+133 % oproti počátku března a +226 % oproti počátku roku) kyberútoků na cíle v ČR pocházející z čínských IP adres, útoky z čínských adres vzrostly po celém světě, nicméně nárůsty jsou obvykle menší – jen o 60, resp. 70 procent. [W] [CZ] 

-> Jasnou jedničkou mezi hrozbami na Androidu v Česku je podle Esetu bankovní malware Cerberus – za únor 2022 na něj připadalo bezmála 90 % detekcí. Zbylé pozice žebříčku top 10 obsadily různé trojany (Agent.IEG, Andreed, GriftHorse a jiné). [CZ] 

-> Společnost HP upozornila, že řada modelů jejích tiskáren má vážné zranitelnosti, které by mohly až umožňovat spuštění škodlivého kódu přímo na těchto zařízeních. Záplaty jsou již k dispozici. Informace zde a zde. [W] 

-> Úspěšný útok na centrální banku Ruské federace oznámila skupina Anonymous, bylo při něm zcizeno asi 35 tisíc dokumentů, které měly být následně postupně zveřejňovány on-line. Dalším zajímavým údajným útokem Anonymous bylo ovládnutí velkého počtu tiskáren v Rusku – na nichž bylo následně vytisknuto víc než 100 tisíc letáků popisujících válečnou situaci na Ukrajině. Další útok s cílem zveřejňovat informace o konfliktu byl úspěšně proveden na sociální síť VKontakte. [W]