Index Index "Eset"

Eset

Bezpečnost #16 - 2022

-> Rozsáhlá krádež bezmála čtrnácti miliard Kč v kryptoměnách po útoku na hru Axie Infinity (v Observeru jsme o ní již informovali) je podle FBI dílem severokorejských hackerů (respektive hackerské skupiny s vazbami na KLDR – Lazarus a APT38). Severokorejský režim využívá krádeže kryptoměn jako jeden ze zdrojů příjmů dlouhodobě. Více o tomto případu například ITBiz. W  

-> Velký útok na energetickou soustavu Ukrajiny odhalila společnost Eset společně s CERT-UA v předminulém týdnu (8. dubna). Použit byl malware Industroyer2 a CaddyWipper, za útokem by pak měla být skupina Sandworm s údajnými vazbami na GRU. W 

-> Před pokračující vishingovou kampaní v Česku varuje NÚKIB. Jejím základem jsou telefonáty (často z belgických, německých či francouzských čísel), v nichž se volající s cizím přízvukem vydávají za zaměstnance Microsoftu a následně se od oběti pokusí získat vzdálený přístup k jejímu PC a údaje z platební karty. CZ W 

-> Březnu podle statistik Esetu v Česku vládl spyware útočící na uživatelská hesla – konkrétně trojany Agent Tesla, Formbook a Fareit, které si společně připsaly přes 50 % všech útoků. CZ 

-> Které komunikační aplikace doporučuje z hlediska zabezpečení NÚKIB? V nedávném srovnání si nejlépe vedla Threema, následovaná Signalem a  (kupodivu) WhatsApp. Nejhůře skončily Google Messages. CZ W  

-> Doporučení pro vývoj open source SW vydaly NÚKIB společně s resortem vnitra a za přispění odborné komunity. Více než dvacetistránkový dokument naleznete zde. CZ 

Bezpečnost #13 - 2022

-> S poněkud opožděným (a tím i nadbytečným) varováním přišel v minulém týdnu NÚKIB, když upozornil před rostoucí hrozbou, že dodavatelé IT služeb produktů s významnými vztahy k Rusku nemusejí být schopni dodržet své závazky. Problémy pochopitelně postihují zejména společnosti, které v Rusku či na Ukrajině realizovaly svůj vývoj. [CZ] [W] 

-> Tým společnosti Check Point upozorňuje na nové aktivity ransomwarové skupiny Conti (ta provozuje RaaS – Ransomware as a Service – na víceméně profesionální úrovni). Útoky v současné době míří zejména na kritickou infrastrukturu a zdravotnictví, podrobnosti popisuje na ITBizu Pavel Houser. [W] 

-> Společnost Check Point upozorňuje na prudký nárůst (+133 % oproti počátku března a +226 % oproti počátku roku) kyberútoků na cíle v ČR pocházející z čínských IP adres, útoky z čínských adres vzrostly po celém světě, nicméně nárůsty jsou obvykle menší – jen o 60, resp. 70 procent. [W] [CZ] 

-> Jasnou jedničkou mezi hrozbami na Androidu v Česku je podle Esetu bankovní malware Cerberus – za únor 2022 na něj připadalo bezmála 90 % detekcí. Zbylé pozice žebříčku top 10 obsadily různé trojany (Agent.IEG, Andreed, GriftHorse a jiné). [CZ] 

-> Společnost HP upozornila, že řada modelů jejích tiskáren má vážné zranitelnosti, které by mohly až umožňovat spuštění škodlivého kódu přímo na těchto zařízeních. Záplaty jsou již k dispozici. Informace zde a zde. [W] 

-> Úspěšný útok na centrální banku Ruské federace oznámila skupina Anonymous, bylo při něm zcizeno asi 35 tisíc dokumentů, které měly být následně postupně zveřejňovány on-line. Dalším zajímavým údajným útokem Anonymous bylo ovládnutí velkého počtu tiskáren v Rusku – na nichž bylo následně vytisknuto víc než 100 tisíc letáků popisujících válečnou situaci na Ukrajině. Další útok s cílem zveřejňovat informace o konfliktu byl úspěšně proveden na sociální síť VKontakte. [W] 

Bezpečnost #12 - 2022

-> Zajímavý typ kryptopodvodu kombinující svět kryptoměn (a investic do nich) se světem on-line seznamek typu Tinder a propracovaným systémem „romantického“ sociálního inženýrství popisuje tým Sophosu. CryptoRom pracuje s falešnými systémy tradingu s kryptoměnami, které lákají oběti, aby investovaly, následně jim hlásí obrovské zisky, za jejichž výběr ale požaduje 20% „daň“, kterou dokonce lze v podvodném ekosystému získat jako půjčku. Do všeho jsou pak zapojeni aktéři ze seznamek a v případě uživatelů, kteří se snaží získat ztracené prostředky zpět, dokonce i falešné weby slibující, že jim pomohou se k penězům dostat. [W] 

-> Ruským softwarovým společnostem nastaly těžké časy a platí to i pro ty, které se roky snaží dokázat, že vlastně ani ruské nejsou, a zvládly nejednu nástrahu – jako Kaspersky, před jehož produkty aktuálně varoval německý spolkový úřad pro IT bezpečnost BSI s odůvodněním, že existuje riziko kybernetických útoků vedených přes něj. Kaspersky pochopitelně podobná tvrzení odmítá a odvolává se na přesunutí své infrastruktury do Švýcarska, nezávislé audity či možnost prověřovat zdrojové kódy. [W]  

-> To, co se nejprve zdálo být rozsáhlým kybernetickým útokem na polské železnice PKP, jež vyřadil centra řízení dopravy a způsobil rozsáhlá zpoždění napříč téměř celou vlakovou sítí, se nakonec ukázalo být obyčejnou softwarovou chybou. [W] 

-> Další malware „mazacího typu“ CaddyWiper odhalil tým Esetu na Ukrajině. Cílem jeho útoků jsou zejména banky a finanční instituce, je zároveň příbuzným dříve objevených HermeticWiper a IsaacWiper. [W] 

-> Kybernetický útok odstavil minulý týden dočasně mimo provoz systémy UMČ Praha 5. [CZ] 

-> Za bezprecedentní označily ruské úřady útok typu DdoS, jenž ve čtvrtek směřoval na stránky státních úřadů a agentur – jeho síla údajně přesáhla 1 Tbit/s. Podobnou intenzitu měly již útoky z 26. února, těch ale na souhrnné překonání hranice terabitu bylo třeba přes 50. S největším DDoS útokem se minulý týden potýkal také Izrael – vyřadil z provozu vládní weby a byl za ním podle všeho Írán. [W] 

Kontrakty a implementace #11 - 2022

-> Spolupráci s Intelem oznámila společnost Eset. Bude v jejím rámci integrovat Intel Threat Detection Technology (TDT) do svých řešení pro koncové body (endpoint security). Nové verze produktů Esetu s podporou TDT by se měly dostat k zákazníkům ještě letos. [W]  

-> Společnosti Xixoio a SimpleCell oznámily, že odkládají plánovaný prodej investičních tokenů v souvislosti s konfliktem na Ukrajině a jeho dopadem na projekt chytrých elektroměrů, který měl být „investičním záměrem“ pokrytým tokeny. [CZ] 

-> Mobilní datové centrum v přepravním kontejneru dodal Altron v rámci veřejné zakázky za 33 milionů Kč státnímu podniku Lesy ČR. DC bylo instalováno v Hradci Králové, výhledově je zvažováno další pro Týniště nad Orlicí. [CZ] 

Bezpečnost #11 - 2022

-> Významný bezpečnostní incident postihl společnost Samsung – hackeři podle jí zveřejněných informací při útoku v minulém týdnu získali mimo jiné některé zdrojové kódy značky Galaxy (včetně chytrých telefonů). Samsung je nicméně i tak názoru, že útok nebude mít dopad na společnost ani na její zákazníky.  

-> Podle  Esetu roste v ČR počet útoků na uživatelská hesla, žebříčku malwaru za únor vévodí AgentTesla (33 %) následovaný trojanem Formbook (14 %) a trojanem PSW.Fareit (13 %). [CZ] 

-> Analýza společnosti Patchstack konstatuje a upřesňuje to, co většina správců webů dobře ví – asi třetina kritických chyb objevených v minulém roce v modulech pro CMS WordPress nebyla opravena. Problémy se pochopitelně týkají zejména modulů bezplatných (připadá na ně 91 procent neopravených chyb). [W] 

-> Další pozoruhodný kousek se podařil skupině Anonymous, když hackla ruský Roskomnadzor a zcizila zde na 360 tisíc dokumentů, které následně zveřejnila. [W] 

-> Podle NÚKIB nemá Česko zatím žádný potvrzený incident, který by byl spojený s válkou na Ukrajině. Experti úřadu nicméně v době zahájení invaze zaznamenali skenování portů, a to včetně vládních úřadů a kritické infrastruktury. Více ve zprávě za únor. [CZ] 

Speciál: Válka na Ukrajině 

Úvodem si dovolujeme zopakovat dva zdroje nabízející přehledy a možnosti pomoci Ukrajině, jež jsme uvedli už v minulém Observeru.  

 

-> Obsáhlý portál www.stojimezaukrajinou.cz nabízející přehledný výčet možností, jak pomoci finančně, hmotně, osobně i jinak (a také informace pro uprchlíky a kontakty v ukrajinštině), připravilo sdružení Cesko.digital. [[CZ]] 

-> Podobný portál sjednocující informace o možné pomocí Ukrajině vznikl i na Slovensku na adrese www.ktopomozeukrajine.sk – naleznete zde možnosti materiální pomoci, poskytnutí ubytování, dopravy či sekci pro samosprávy a jsou zde i informace v ukrajinštině. [[SK]] 

-> Až 100 milionů Kč dá Seznam.cz na podporu neziskových organizací a aktivit spojených se začleněním Ukrajinců, kteří budou chtít trvale přesídlit do ČR. [CZ] 

-> Elon Musk vyzval uživatele služby Starlink na Ukrajině – zejména v oblastech, kde operuje ruská armáda (a jde tak často o jediný neruský komunikační systém), že je důležité jej používat opatrně a pokud možno maskovat, aby se nestal terčem útoku. Starlink zároveň své systémy upravil tak, aby bylo možné je snadno napájet z CL zásuvky v automobilu a používat i za jízdy.  [W]  

-> Další malware, jehož útoky na Ukrajině byly patrně připravovány předem, identifikovali experti slovenského Esetu. Jde o „sourozence“ malware Hermetic Wiper – Hermetic Wizard a Hermetic Ransom. Podle Esetu byly tyto útoky plánovány a připravovány několik měsíců dopředu, malware po útoku následně „zametá stopy“, aby ztížil vyšetřování incidentů. Dalším „mazacím“ malwarem odhaleným u ukrajinských organizací je IsaacWiper. Podrobnosti popisuje například ITBiz. [SK] [W] 

-> Válka na Ukrajině způsobila výpadek ukrajinských vývojářů a IT specialistů pracujících pro tuzemské společnosti. Kromě řádově stovek IT specialistů, kteří se v souvislosti s mobilizací vrátili na Ukrajinu, je největší výzvou výpadek celých vývojových týmů či subdodavatelů a bodyshopů působících přímo na Ukrajině. Řada českých firem (například Unicorn) hledá cestu, jak jim a jejich rodinám pomoci, bez ohledu na to, zda se jedná či nejedná o jejich zaměstnance. [CZ] [W] 

-> Ruský „dozorce“ nad oblastí telekomunikací, informačních technologií a médií Roskomnadzor zablokoval koncem minulého týdne sociální sítě Twitter a Facebook. V případě Twitteru se tak údajně stalo na žádost ruského generálního prokurátora, jež byla vydána už 24. února. Blokování Facebooku pak souvisí s „diskriminací ruských médií“. V Rusku zároveň bylo v minulém týdnu zablokováno, nebo ukončilo svou činnost několik opozičních či nezávislých médií. Některá média (například Novaja Gazeta) reagovala v sebeobraně před možnými tresty za zpravodajství, jež není v souladu s vládní linií, tak, že se rozhodla smazat veškerý obsah publikovaný o válce na Ukrajině a nadále téma zcela vynechat. [W] 

-> Řada společností oznámila v uplynulých dnech ukončení prodeje produktů a služeb v Ruské federaci. Jsou mezi nimi například Microsoft a Apple, AMD či Intel (některé tak učinily v souladu se zavedenými sankcemi, jiné šly i nad jejich rámec), ale také Oracle, SAP, NXP či Bosch. Zakázky na výrobu čipů již nepřijme TSMC. Řada dalších podniků včetně Škoda Auto (a celého koncernu VW) se rozhodla zastavit export aut do země i výrobu v tamních závodech a do budoucna plánuje opuštění ruského trhu coby výrobní i odbytové základny. Své aktivity v Rusku a Bělorusku ukončila také platforma Airbnb. [W]  

-> Popularita VPN služeb v Rusku raketově roste – oproti předchozímu týdnu stoupl počet nových instalací Atlas VPN dvacetinásobě. VPN je ale v reakci na zavádění cenzury médií stále atraktivnější i v zemích EU – někteří poskytovatelé, jako je PIA VPN, na situaci reagují nabídkou cenově atraktivních víceletých balíčků. [W] 

-> EU v reakci na konflikt na Ukrajině „zakázala“ ruská média RT (Russia Today) a Sputnik. Uvozovky uvádíme proto, že zákaz se dotýká zejména šíření jejich TV kanálů a videostreamů, samotné portály RT.com a Sputniknews.com například v Česku blokovány nejsou (u Sputniku je některými ISP blokována jen česká mutace). [W]  

-> Poněkud diskutabilní požadavek vznesla Ukrajina k ICANN, když požádala o zrušení domén .ru a .su, revokaci SSL certifikátů a vypnutí primárních DNS serverů. ICANN reagoval odpovědí, že neřídí internetový provoz či obsah, nemá pravomoci udílet sankce a jeho úkolem je zajistit, aby fungování internetu nebylo politizováno. Pozn. red.: Dost možná to ale byla žádost zbytečná, neboť Rusko vydalo provozovatelům portálů a on-line služeb nařízení, které by mělo zemi zcela připravit na okamžité odpojení od světového internetu. Podle oficiálních míst má jít pouze o přípravu na takový krok (například v rámci obrany před rozsáhlým kybernetickým útokem – těch v poslední době mířila na Rusko celá řada, například Anonymous zopakovali svůj kousek u TV kanálů, na nichž následně běžely válečné záběry z Ukrajiny). Neověřené zprávy nicméně uvádějí, že Rusko má v plánu se „odříznout“ na konci tohoto týdne. [W] 

-> Společnost Avast dala bezplatně k dispozici nástroj pro dešifrování dat po útocích malwaru HermeticRansom, který byl patrně nasazen v rámci operací proti Ukrajině. [SK] [W] 

-> Varování ohledně používání SW a HW původem z Ruska vydal NÚKIB, jde ale jen o stručné prohlášení, které citovala například Lupa. [CZ] 

Bezpečnost #8 - 2022

-> Společnost Fortinet zveřejnila své předpovědi pro oblast informační a kybernetické bezpečnosti v roce 2022. Kromě důkladnější přípravné fáze útoků, která bude často kombinována s ransomwarem s destruktivnější povahou, její tým zmiňuje rostoucí míru využívání tzv. deep fakes (napodobení hlasu či chování člověka pomocí AI) nebo nové oblasti, kam se útočníci zaměří – například e-sports nebo satelitní sítě a systémy. Fenoménem na vzestupu je také zneužívání kapacit edge infrastruktury. [W] 

-> V podstatě oboustranná snaha o eskalaci situace na východě Ukrajiny, do níž se kromě armád zainteresovaných stran usilovně zapojila také západní média, se pochopitelně neobejde bez roviny kybernetické – USA a Británie v minulém týdnu obvinily Rusko z organizování rozsáhlých DDoS útoků na ukrajinskou státní správu a banky. Moskva pochopitelně obvinění odmítla. [W] 

-> To, která z hrozeb v daném měsíci zvítězí co do počtu záchytů, je často dáno efektivitou šíření – ta byla v případě mobilních Android hrozeb podle zprávy Esetu nejefektivnější u bankovního trojana Cerberus, který se šikovně zamaskoval v podvržené aplikaci vydávané za Google Photos 5, a dosáhl tak za leden 62,8 % záchytů, což bylo více než desetinásobek druhé či třetí pozice. [SK] [W] 

-> Další ilustrací nízké míry objasněnosti kybernetických trestných činů, o níž jsme před časem psali, je odložení případu napadení sítě města Olomouce, které část tamních systémů odstavilo na jaře 2021 na několik týdnů. Podle PČR vedou stopy do zahraničí a zahájit stíhání proti konkrétní osobě se nepodařilo. [CZ] 

Hospodářské výsledky a akvizice #7 - 2022

-> K další významné akvizici (své doposud největší) se chystá Cisco – její obětí by podle WSJ mohl být Splunk Inc, a to za částku 20 miliard dolarů (tedy bezmála desetinu své vlastní hodnoty). Splunk skoro dvacet let vyvíjí SW pro monitorování a analýzu dat se zaměřením na bezpečnost. [W] 

-> Sankce, nesankce, čínský výrobce polovodičů SMIC dosáhl v roce 2020 růstu čistého zisku o 138 % na 1,7 miliardy dolarů (pochopitelně při rekordních tržbách 5,44 miliardy dolarů). Firma rostla nejrychleji za posledních jedenáct let. [W]  

-> Ani růst počtu uživatelů o víc než desetinu či navýšení tržeb o víc než pětinu nestačí, jste-li sociální síť, které se nedaří růst tak, jak by „trh“ očekával. Twitteru navíc meziročně klesly kvartální zisky o 18 % a celoročně je stále ve ztrátě (byt výrazně menší než o rok dříve). Společnost nicméně hodlá tuto „příležitost“ využít k rozšíření programu odkupu vlastních akcií o další čtyři miliardy dolarů. [W] 

-> Skutečnost, že NVIDIA nepřevezme od japonské SoftBank Arm, byla oficiálně potvrzena, zároveň je ve hře dřívější plán uvedení Armu na burzu – to by se mělo uskutečnit před koncem března 2023, patrně na trhu Nasdaq. [W] 

-> Slovenský Eset utržil v minulém roce na českém trhu 460 milionů Kč – firmě se přitom dařilo růst ve všech segmentech. Nejrychlejší růst  ve spotřebním segmentu, 26 %, byl v oblasti ochrany MacOS. Ve firemní sféře rostly ale některé bezpečnostní produkty (EDR, Sandbox) o stovky procent. [CZ] [SK] 

-> O solidních 15 % na více než 5,5 miliardy navýšila v minulém roce své tržby skupina Unicorn. Společnost zatím nezveřejnila hospodářské výsledky. [CZ] 

-> O několik měsíců dříve – již 24. února – by mělo dojít ke spojení Avastu s NortonLifeLock. Následující den by měly být akcie Avastu staženy z burzy a vydány akcie nové společnosti, jejímž prezidentem bude dosavadní CEO Avastu Ondřej Vlček. [CZ] [W] 

Bezpečnost #5 - 2022

-> Výzkumný tým společnosti ESET vydal zprávu o zranitelnostech v ovladačích Windows – zaměřili se na druhy zranitelností a typy ovladačů, jež jsou v tomto směru nejčastěji zneužívány (k útokům typu BYOVD), i které zločinné skupiny tak činí nebo který ransomware se takto šíří. V rámci studie byly objeveny i napadené ovladače, jež byly doposud považovány za bezpečné. [SK] [W] 

-> Společnost Keena Security ve své analýze konstatuje, že jedním ze způsobů, jak hodnotit možné zranitelnosti v podnikovém IT – zejména stanovení priorit při jejich odstraňování – je využívání informací ze sociální sítě Twitter namísto tradičního CVSS (Common Vulnerability Scoring System). Nově vyvinutý otevřený EPSS (Exploit Prediction Scoring System) využívá právě data z Twitteru pro přesnější odhadnutí toho, které zranitelnosti se reálně někdo pokusí zneužít. [W] 

-> Hackerská skupina LockBit 2.0 oznámila, že se jí podařilo prolomit zabezpečení systémů francouzského ministerstva spravedlnosti, a pohrozila, že nebude-li zaplaceno požadované výkupné, tak 10. února zveřejní získaná data. Francouzské úřady popřely, že by došlo k úniku citlivých dat. [W] 

-> NÚKIB vydal varování před možnými kybernetickými útoky a aktivitami v souvislosti se situací na Ukrajině. Přehled nejčastějších technik, útoků a zranitelností je v dokumentu na webu úřadu. [CZ] 

-> Česká kryptopeněženka Trezor již není neprolomitelná – či přesněji verze se starším firmware v níž měl majitel v USA uloženo nemalé množství kryptofinancí ale zapoměl PIN. Američan Joe Grand zveřejnil video, jak se mu podařilo PIN během update firmware, kdy je dočasně zapsán do operační paměti, získat. Jak ale zdůrazňuje český výrobce Satoshi Labs, jedná se o slabinu, která byla opravena updatem firmware již v roce 2017 a navíc je třeba plný fyzický přístup k peněžence. CZ W 

Bezpečnost #4 - 2022

-> Pravidla informační bezpečnosti považuje za překážku ve své práci bezmála pětina (18 %) Čechů (ale jen 4 % Poláků a 7% Maďarů), vyplývá to z průzkumu provedeného společností Sophos. Ten mimo jiné zjistil, že znalost a dodržování pravidel deklaruje necelá polovina zaměstnanců (46 %), 13 % zaměstnanců naopak přiznává, že pravidla nezná, a 7 % dokonce uvádí, že jejich zaměstnavatel žádná nemá. Další podrobnosti například na ITBizu. [CZ] 

-> Hrozbám na platformě Android dominovala podle přehledu společnosti Eset trojice trojanů Agent.IEG, Cerberus a Banker.APP (souhrnně 40 %), celý top 10 žebříček pak je obsazen trojany. [W] [SK] 

-> O nových spyware kampaních cílících na průmyslové podniky informuje společnost Kaspersky – v kampani cílené na dva tisíce průmyslových podniků bylo údajně zcizeno přes sedm tisíc firemních účtů, které byly následně nabízeny na 25 tržištích. K útoku byly použity „známé tipy malwaru“, zdá se tedy, že jde především o cílenou aktivitu organizované skupiny. [W]