Bezpečnostní přehled: Vývoj ve světě ransomwaru

Pavel Houser , 28. listopad 2016 18:00 0 komentářů
Bezpečnostní přehled: Vývoj ve světě ransomwaru

Symantec kupuje LifeLock. Další „čínský“ spyware na levných smartphonech. Ransomware a IoT. Jak se vůbec rozšířil Locky? Masivní kampaň Cobalt zasáhla bankomaty, vybíralo se po celém světě. Ocenění pro síťovou kartu, která mj. filtruje útoky. Malware, který se sám vymaže při restartu.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Symantec znovu nakupuje za miliardy

Symantec koupil za 2,5 miliardy dolarů firmu LifeLock, která dodává řešení pro ochranu identity. Jedná se o další velkou akvizici poté, co v létě Symantec získal za 4,65 miliard dolarů společnost Blue Coat (viz starší Bezpečnostní přehled). Tento krok je hodnocen jako snaha získat další zákazníky a zdroje příjmů v souvislosti s tím, jak kvůli produktům dostupným zdarma stále klesá prodej klasických antivirů; navíc Symantec má k dispozici hotovost, kterou utržil prodejem své dřívější divize do firmy Veritas za 7,4 miliard dolarů.

Aktuální transakci ještě musí schválit akcionáři LifeLock (cena je však oproti aktuální ceně akcií na burze navýšená cca z 21 na 24 dolarů, takže problémy se neočekávají) a regulátoři. Cena za celkem neznámou firmu jse zdá být poměrně vysoká, ovšem o LifeLock stáli údajně ještě jiní zájemci; firma měla ve 3. čtvrtletí 2016 zisk 14,4 milionů dolarů při obratu 170,3 milionu.

Výpadek Google v minulém týdnu, který zasáhl služby poskytované v ČR, SR i některých jiných zemích, nebyl podle Google i většiny nezávislých analytiků způsoben bezpečnostním incidentem.

Ze světa ransomwaru

Útok ImageGate vkládá malware do obrázků. Podvodníci pak šíří škodlivý kód pomocí těchto obrázků na Facebooku a LinkedIn. Po kliknutí na podvodný „obrázek“ se namísto zobrazení většinou začne stahovat soubor (koncovky SVG, JS, HTA...), po jeho otevření se už spouští šifrování. Specialisté Chek Pointu se domnívají, že popsaná metoda stojí za masivním rozšířením ransomwaru Locky v posledních měsících.

(Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Mezi českými a slovenskými uživateli Facebook messengeru se začal šířit škodlivý soubor připomínající fotografii. Soubor se pokouší o přesměrování na web připomínající YouTube, kde je oběť vyzvána k instalaci plug-inu pro přehrávání videa. Ve skutečnosti se nainstaluje škodlivý kód Nemucod, jehož dalším úkolem je stáhnout do infikovaného počítače ransomware Locky. Současně se pak škodlivý soubor rozesílá dál. (Zdroj: tisková zpráva společnosti Eset)

Carl Redberger ze společnosti Radware se domnívá, že v příštím roce začne trend ransomwarových útoků proti zařízením IoT. Vyděrači začnou požadovat výkupné za znovuzpřístupnění systémů ovládajících domácí termostaty, auta nebo dokonce medicínské implantáty. Nakonec současné DDoS útoky ukazují, že ovládnout zařízení IoT je pro podvodníky poměrně snadné...

Robert Graham, CEO firmy Errata Security, uvedl, že bezpečnostní kamera JideTech se po připojení k internetu stala součástí botnetu Mirai za necelé dvě minuty. Nepomůže ani měnit hesla a mazat účty, protože jeden výchozí účet přístupný přes Telnet prý stejně zůstane. Jediným řešením je podle Grahama umísťovat podobná zařízení za firewall.

Bezpečnostní analytik Nathan Scott zveřejnil nástroj pro obnovení souborů zašifrovaným ransomwarem TeleCrypt. Tento malware cílil především na oběti v Rusku.

Eset nabízí nástroj pro dešifrování dat napadených ransomwarem Crysis. Tento software byl připraven za pomocí dešifrovacích klíčů, které byly zveřejněny na fóru BleepingComputer.com, a je k dispozici ke stažení zdarma na webu technické podpory Esetu. (Zdroj: tisková zpráva společnosti Eset)

Levné telefony mívají svá úskalí

Ukázalo se, že další levný smartphone s Androidem obsahuje firmware, který bez vědomí uživatele odesílá data o telefonu (IMEI, telefonní číslo…) na servery v Číně. Po telefonech Adups Technology (viz předcházející bezpečnostní přehled) bylo podobné chování dokumentováno i pro zařízení Regentek.

Poslední dny SHA-1

Na počátku příštího roku přestanou Chrome (verze 56), Firefox (verze 51), MS Edge i Internet Explorer podporovat https certifikáty na bázi hashovací funkce SHA-1. Algoritmus SHA-1 pochází již z roku 1995 a první návody na to, jak je zde možné dosáhnout kolizí, se objevily už v roce 2005. Loni výzkumníci z Nanyang Technological University v Singapuru ukázali, že k prolomení by dnes stačil výpočetní výkon, který je v cloudu dostupný za asi 75 000 dolarů.

Podvodné výběry z bankomatů po celém světě

V létě došlo k další masové kampani skupiny Cobalt, koordinovaným výběrům z bankomatů v Evropě, Rusku i v jihovýchodní Asii. Na počátku akce stály phisgingové e-maily do bank nebo k výrobcům bankomatů. Následně podvodníci dokázali získat kontrolu nad různými počítači v rámci sítí příslušné instituce. Odtud se pátralo po stanicích, z nichž by šlo nahrávat software i do bankomatů. Po ovládnutí bankomatů dostali prostředníci (bílí koně) SMS určující polohu bankomatu a čas výběru, následně odtud vysáli veškerou dostupnou hotovost. Poté se pokusili vymazat z bankomatu maximum informací a restartovat ho. V síti bank došlo také k mazání stop za účelem zkomplikování forenzní analýzy.

Při akci se používal např. penetrační nástroj Cobalt Strike, TeamViewer pro vzdálený přístup, terminálové servery… Mimochodem, software z bankomatu také odeslal na vzdálené servery informace o tom, jaké bankovky byly vydány, to aby bílí koně nezkoušeli organizátory ošidit. Postiženy byly banky v řadě zemí, ČR ani SR v seznamu uvedena není, např. na rozdíl od sousedního Polska.

Zranitelnosti a opravy

Siemens vydal bezpečnostní záplatu pro zranitelnost CVE-2016-9155, která umožňovala získat přístupové údaje k CCTV kamerám (administrátorské jméno a heslo vracel vestavěný web server jako odpověď na speciální http požadavek). Příslušné produkty dnes prodává Vanderbilt Industries, která loni koupila od Siemensu jeho kamerovou divizi.

Chyba v aktualizačním serveru WordPressu teoreticky umožňovala útočníkům nahrát sem svůj vlastní škodlivý kód a pak ho dále šířit ke všem, kdo si odsud budou stahovat nové verze tohoto CMS. Další možností bylo zakázat na dotčených webech automatické aktualizace. Problém má mj. být i v tom, že aktualizace WordPressu nejsou podepisovány.

CSIRT.CZ upozorňuje/varuje

Byla vydána nová verze NTP 4.2.8p9, která přináší téměř 40 záplat i dalších aktualizací. Nejzávažnější z opravovaných zranitelností se týká ntpd na Windows, kde může příliš velký UDP paket způsobit DoS.

Bezpečnostní rada státu projednala Návrh rozvoje kapacit a schopností Národního centra kybernetické bezpečnosti Národního bezpečnostního úřadu do roku 2025. V Brně se má stavět nová budova Centra, už předtím se bude zvyšovat počet zaměstnanců. zdroj: Vlada.cz

Ze světa firem

Představena byla beta verze řešení GFI OneConnect, což je cloudová platforma pro zajištění bezpečnosti a kontinuity podnikové elektronické pošty. Finální verze má být k dispozici na začátku příštího roku. (Zdroj: tisková zpráva společnosti GFI Software)

Téměř třetina Čechů nepoužívá žádný zámek displeje mobilních telefonů. (Zdroj: tisková zpráva společnosti Eset)

Na trh přichází monitorovací kamera D-Link DCS-936L určená pro nasazení doma nebo v kanceláři. Otočná hlava umožňuje umístit kameru podle potřeby na polici nebo namontovat na zeď či strop. (Zdroj: tisková zpráva společnosti D-Link)

Prognóza na rok 2017 od Kaspersky Lab. Očekává se nárůst malwaru usazeného v paměti, který zpravidla nezůstane v přístroji déle než do prvního restartu, po němž je vymazán. Tento druh malwaru je navržen pro všeobecný průzkum a sběr osobních údajů, přičemž je útočníky nenápadně šířen tak, aby ve vysoce citlivém prostředí vůbec nevzbudil podezření. Další trendy: Špionážní akce se zaměří více na mobilní zařízení. Bezpečnostní firmy jen s obtížemi získávají plný přístup do mobilních operačních systémů za účelem forenzní analýzy. Ransomware i nadále poroste, nicméně důvěra obětí v dešifrování dat po zaplacení výkupného bude klesat s tím, jak se k těmto druhům útoků budou uchylovat „nižší vrstvy“ kyberzločinců. To možná povede k menší ochotě lidí zaplatit. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

42 % českých uživatelů se setkalo nebo bylo napadeno malwarem a 24 % Čechů se stalo jeho obětí. 33 % napadených uživatelů pak neví, jak se malware do jejich zařízení dostal. 41 % dotázaných v Česku muselo zaplatit za vyřešení problému způsobeného malwarovým útokem, průměrná částka za „zásah“ přesahuje 3 000 Kč. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Podle nejnovější studie Check Point Security Report stahují zaměstnanci do podnikových sítí 9krát více malwaru něž před rokem. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Každoroční studie Network Barometer Report 2016 od Dimension Data: V rámci posouzení 97 tisíc síťových zařízení se zjistilo, že podíl zařízení s alespoň jednou známou zranitelností se ze 60 % v roce 2015 zvýšil na letošních 76 % – to je nejvyšší hodnota za posledních pět let. Také speciálně podíl síťových zranitelností v evropských firmách se výrazně zvyšuje, a to z 26 % v roce 2014 přes 51 % v roce 2015 až na současných 82 %. Naopak se zrychlují reakce na bezpečnostní incidenty a zkracuje průměrná doba opravy. (Zdroj: tisková zpráva společnosti Dimension Data, průzkum ve 28 zemích včetně ČR)

Letošní cenu Industrie, kterou v rámci soutěže Česká Hlava uděluje ministerstvo průmyslu za nejvýznamnější inovační technologii, získaly firma Netcope Technologies a sdružení Cesnet, které vyvinuly první síťovou kartu pro zpracování 100G Ethernetu. Na základě této karty zákazníci a partnerské instituce vybudovali několik řešení včetně řešení pro detekci a ochranu před kybernetickými útoky, testování sítě či zabezpečení komunikace šifrováním. (Zdroj: tisková zpráva sdružení Cesnet)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečnostní přehled: V botnetu Mirai převládají DVD rekordéry, ne kamery


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů