Dešifrovací klíč pro ransomware ApocalypseVM. Jaký podíl obětí ransomwaru je ochoten útočníkům zaplatit? Škodlivé kódy v ČR. Zranitelnosti a opravy: WordPress, Liarchive, průmyslové systémy.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Čtyřikrát ze světa ransomwaru
Bezpečnostní firma Emsisoft zveřejnila nástroj umožňující znovu zpřístupnit obsah zašifrovaný ransomwarem ApocalypseVM. Oběť musí dodat alespoň 1 soubor i v původní verzi, dešifrovací klíč se získá srovnáním původního a zašifrovaného souboru.
Množství útoků ransomwarem (ve smyslu ransomwaru šifrujícího data, počítáno jako jednotlivé útoky na uživatele) vzrostlo podle Kaspersky Lab meziročně až 5,5krát. Srovnání je mezi obdobími do dubna 2016 vs. do dubna 2015. Co se týče celkového množství uživatelů, kteří se setkali s ransomwarem, zde byl meziroční nárůst o 18 %. Nejpravděpodobněji se s ransomwarem setkávají uživatelé v USA, Německu a Itálii.
Upozorňuje se na kampaň nového ransomwaru označovaného jako RAA, spustitelný soubor je JavaScript. Před malwarem šířeným v podobě příloh se soubory JavaScriptu před nedávnem varoval i Microsoft (viz jeden z předcházejících bezpečnostních přehledů). Administrátoři podnikového IT by měli zvážit, zda třeba přílohy e-mailu ve formátu JavaScript prostě plošně neblokovat. RAA požaduje za opětovné zpřístupnění dat 250 dolarů, žádný nástroj pro dešifrování (používá se knihovna CryptoJS pro šifrování AES) není v tuto chvíli k dispozici.
84 % podniků v USA tvrdí, že v případě nákazy ransomwarem platit vyděračům prostě nebudou. Část respondentů se domnívá, že by se k datům dokázali nějak dostat ze záloh, další odmítá platit zločincům z principu. 3 % respondentů uvádí, že by byli ochotni zaplatit i přes 10 000 dolarů, 10 % mezi 1 a 100 dolary. (Poznámka: Otázka samozřejmě je, jak by to dopadlo ve skutečnosti…) Čím mladší vlastníci firem, s tím větší pravděpodobností mají objednánu nějakou formu pojištění proti kybernetickým rizikům.
Intel a McAfee
Podle Financial Times Intel sonduje, zda by nenašel kupce pro svou bezpečnostní divizi, tj. v roce 2010 koupenou společnost McAfee. Intel chtěl tehdy především integrovat bezpečnost přímo do svého hardwaru. V této souvislosti se uvádí:
-
prodej by mohl být výhodný, protože bezpečnostní firmy jsou v kurzu, peníze levné a jiné firmy proto expandují/nakupují.
-
na druhé straně, chce-li se Intel více soustředit na serverové procesory a datová centra (respektive procesory pro dražší segmenty trhu), potřebuje právě bezpečnostní technologie; z tohoto hlediska by popsaný krok nebyl příliš logický.
Analýza CloudLock CyberLab (10 milionů uživatelů, miliarda souborů, 160 000 unikátních aplikací): 27 % cloudových aplikací obsahuje bezpečnostní rizika. Studie zdůrazňuje rizika především v souvislosti se stínovým IT, kdy zaměstnanci používají neschválené cloudové aplikace pro práci s firemními daty.
Zranitelnosti a opravy
Nová verze redakčního systému WordPress 4.5.3 látá zranitelnosti včetně kritických, které mohl útočník zneužít k ovládnutí příslušného webu, umožňovaly vkládání kódů obsahujících exploit kity.
Výzkumníci Cisco/Talos upozorňují na bezpečnostní zranitelnosti v knihovně libarchive, všechny tyto chyby (CVE-2016-4300, CVE-2016-4301, CVE-2016-4302) souvisejí s validací vstupu. Příslušnou knihovnu používají zejména nástroje pro práci s komprimovanými formáty, ale třeba i prohlížeče souborů nebo software pro správu balíčků.
Objevena byla zranitelnost zařízení Siemens na ochranu relé SPIROTEC 4. Chyba zabezpečení CVE-2016-4785 by útočníkům umožnila vzdáleně získat malou část obsahu paměti zařízení. Siemens již vydal opravu. Uvedené zařízení často využívají podniky v energetickém sektoru, aby ochránily síť před zkraty nebo kritickou zátěží. Úspěšně provedený útok přes tuto chybu by útočníkovi umožnil pomocí modulu vzdáleně přečíst část obsahu paměti zařízení. Tyto informace by pak mohly být zneužity k dalším útokům. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Bezpečnostní technologie v MS Azure
Microsoft by měl vydat veřejné preview služby Azure Information Protection; využity by měly být technologie které Microsoft získal na konci loňského roku při koupi firmy Secure Islands. Finální verze možná nahradí stávající službu Azure Rights Management Service (RMS).
Proč útočníky láká zdravotnictví
Proč je stále oblíbenějším terčem hackerů zdravotnictví? Možnou odpovědí je, že ve zdravotnických zařízeních je obtížné zdůvodňovat výdaje na IT. Bogdan Botezatu ze společnosti Bitdefender na webu HelpNet Security dále v této souvislosti zmiňuje:
-
zdravotní dokumentace obsahuje osobní údaje; ve spojení s konkrétními údaji navíc umožňují cílený phishing, zrovna v souvislosti se zdravím mají příjemci phishingu pak tendenci se chovat impulzivně.
-
k internetu bývají připojeny i přímo systémy zajišťující péči o pacienty; tímto způsobem lze šířit paniku, eventuálně (po nějakém úspěšném útoku) účinně vydírat další zdravotní instituce.
-
zaměstnanci ve zdravotnictví bývají s ohledem na metody sociálního inženýrství nebo úzce cíleného (spear) phishingu školeni mnohem méně než třeba lidé ve finančních institucích.
CSIRT varuje/oznamuje
Google přichází s novou dvoufaktorovou autentizací pomocí notifikací. Dosud bylo potřeba přepisovat kód z aplikace v telefonu do prohlížeče. Nově přijde uživateli do jeho chytrého telefonu pouze textová notifikace požadující potvrzení přihlášení.
Ze světa firem
V uplynulém měsíci představoval nejčastější hrozbu pro uživatele v ČR malware šířící se elektronickou poštou. Jednalo se o JS/Danger.ScriptAttachment, jehož podíl na celkovém počtu detekcí škodlivých kódů dosáhl 25 %. Jedná se o obecnou infekci, která pak stahuje další malware, nejčastěji ransomware. Na druhé místě byl z hlediska rozšíření malware DOC/Phishing.Agent.AW, využívaný pro krádeže přístupových hesel k internetovým účtům uživatelů včetně internetového bankovnictví.
Top 5 hrozeb v ČR za červen 2016 podle Esetu:
-
JS/Danger.ScriptAttachment
-
DOC/Phishing.Agent.AW
-
Java/Adwind
-
HTML/Refresh
-
JS/TrojanDownloader.Nemucod
(Zdroj: tisková zpráva společnosti Eset)
Cisco chce převzít americkou firmu CloudLock, která se specializuje na cloudová bezpečnostní řešení. Hodnota akvizice je 293 milionů dolarů. (Zdroj: tisková zpráva společnosti Cisco)
Red Hat oznámil novou generaci platformy pro softwarově definované ukládání dat Red Hat Ceph Storage 2. V oblasti zabezpečení nabídne nová verze integraci s autentizačními systémy včetně Active Directory, LDAP a OpenStack Identity (Keystone) v3. (Zdroj: tisková zpráva společnosti Red Hat)
Acronis ohlásil partnerství se společností ConnectWise, která vyvíjí platformu pro vzdálený monitoring a správu (RMM) LabTech. Cílem partnerství je dodávat integrované služby zálohování a disaster recovery. (Zdroj: tisková zpráva společnosti Acronis)
Více než polovina českých zaměstnanců o dovolené kontroluje pracovní e-mail, někdy se přihlašují i do dalších firemních aplikací. Protože k připojení často využívají veřejné Wi-Fi sítě, vzniká zde potenciální bezpečnostní problém. (Zdroj: tisková zpráva počítačové školy Gopas)
Nově zveřejněná studie NTT 2016 Global Threat Intelligence Report: Cílem kybernetické kriminalisty je stále více maloobchodní sektor, naopak ubývá útoků na finanční instituce. Významný trend vývoje malwaru: škodlivý kód se pokouší poznat, je-li spuštěn v prostředí sandboxu, a buď se v takovém případě vůbec nerozběhne nebo předstírá pouze neškodnou aktivitu. (Zdroj: tisková zpráva společnosti Dimension Data)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Bloatware a ransomware