[ Zavřít ] 


ZprávyRecenze softwareNávodyRecenze her 
 

RSS Kanál

 

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj navázaného botnetu Emotet, trojanu Trickbot a ransomwaru Ryuk.  

 

Emotet je trojským koněm, botnetem a dopravním prostředkem pro trojan Trickbot a ransomware Ryuk (Zdroj: Pixabay.com)

„Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra,“ uvádí útočný vektor GovCERT.CZ. Zákeřnost Emotetu je o to větší, že dokáže imitovat pokračování předcházející emailové komunikace: „Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.“ Ovšem ani tak neujde oku pozorného uživatele - ačkoliv se totiž „zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu.“ 

Strom procesů Emotet při testování kyberodborníky Cybereason (Zdroj: Cybereason.com)

Po otevření přílohy (wordu) dojde ke spuštění makra, které prostřednictvím příkazového řádku spustí PowerShell. Příkaz v příkazovém řádku je speciálně obfuskován (zamlžen) - v PowerShell se dá pak vyčíst, že se snaží vytvořit download 379.exe (SHA1: B521fe7ff72e68165ff767d7dfa868e105d5de8b) a spustit jej. Pokusy na stažení směřují na domény: 

  • efreedommaker[.]com
  • retro11legendblue[.]com
  • oussamatravel[.]com
  • cashcow[.]ai
  • shahdazma[.]com 

Obfuskovaný příkaz v příkazové řádce (Zdroj: Cybereason.com)

Po spuštění Emotet stáhne malware Trickbot. „Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo emaily.“ Sběrem informací ale jeho činnost nekončí, sám dokáže infikovat celou místní síť: „V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.“

Příkaz v PowerShell je již mnohem blíž rozluštění - Cybereason naznačují kritické prvky (Zdroj: Cybereason.com)

A ani odcizením citlivých informací a získáním vzdálené kontroly nad počítačem zkáza nekončí. Aby kyberzločinci maximalizovali možný profit z prolomení, dochází k nainstalování ransomwaru Ryuk. „Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné se obecně nedoporučuje platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje,“ uzavírá neradostnou bilanci prolomení bezpečnostních ochran GovCERT.cz. 

Jaké zásady dodržet a čemu se vyhnout při čelení hrozbám typu Emotet, Trickbot a Ryuk, radí GovCERT.cz

Bezpečnostní doporučení

GovCERT.cz vyjmenovává několik obecných doporučení: „doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144). Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů atp.)“

Komplexně doporučení pak rozvádí v dokumentech Bezpečnostní doporučení NCKB pro síťové správce, verze 3.0 - v podobě PDF. Zjednodušeno na pár bodů a do uživatelské češtiny:

  • neotevírejte podezřelé emaily - a už vůbec ne jejich přílohy;

...[dlouho nic a pak]...

  • aktualizujte operační systém; 
  • chraňte se pomocí antivirových programů a firewallu - automaticky aktualizovaných; 
  • používejte silná hesla; 
  • oddělujte administrátorské účty od uživatelských; 
  • kontrolujte a omezujte připojování externích umístění - fyzických disků a síťových umístění, ať už vzdálených či místních.

OKD Ostrava 20080203 (Zdroj: Wikipedia.org)

Oběti: OKD a nemocnice v Benešově

„Počítačová síť společnosti OKD se z neděle na pondělí (22./23. prosince 2019) stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejích serverů,“ vysvětluje, co se stalo, Ivo Čelechovský mluvčí OKD. „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“ V důsledku toho sáhl management k extrémnímu, ovšem z hlediska bezpečnosti jedinému přípustnému řešení - a ukončil těžbu ve všech dolech OKD. 

Jen několik dní předtím stejné útočné kombo napadlo nemocnici v Benešově. Ochromena byla celá počítačová síť, nemocnice byla nucena zrušit veškeré plánované operace a s návratem k běžnému provozu se počítá až v lednu 2020. 

Emotet, Trickbot a Ryuk jsou spojeny s celou řadou C&C serverů

IP adresy C&C serverů a hashe souborů

Coby dodatečný indikátor útoku zákeřným triem mohou sloužit IP adresy command and control serverů, se kterými napadené systémy komunikují - a to sice:

  • hXXps://5.182.210[.]132:443 09.12.2019
  • hXXps://23.94.70[.]12:443 09.12.2019
  • hXXps://64.44.51[.]106:443 06.12.2019
  • hXXps://85.143.220[.]41:443 02.12.2019
  • hXXps://107.172.29[.]108:443 02.12.2019
  • hXXps://107.181.187[.]221:443 28.11.2019
  • hXXps://172.82.152[.]136:443 09.12.2019
  • hXXps://184.164.137[.]190:443 09.12.2019
  • hXXps://186.232.91[.]240:449 26.10.2019
  • hXXps://194.5.250[.]62:443 09.12.2019
  • hXXps://195.54.162[.]179:443 09.12.2019
  • hXXps://198.46.161[.]213:443 09.12.2019

Případně pak hashe souborů: 

  • E051DEC1ED1B04419A9CD955199E2DE9
  • DBAE3CFBB12A99DFACB14294EB431E5C

Zdroje

 

 

 

 

 

Mistral demokratizuje pokročilé funkce AI

Francouzský vývojář AI Mistral AI přichází s multimodálním modelem Pixtral Large, aktualizuje vlajkový jazykový model Mistral Large na verzi 24.11 a ve zdarma přístupné betě nabízí pokročilé funkce, jako jsou Web Search, Canvas a...

SearchGPT kombinuje důvěryhodnost, kontext a přístupnost

OpenAI představilo SearchGPT, novou funkci v rámci ChatGPT, která kombinuje sílu umělé inteligence a schopnosti přímého vyhledávání na internetu. Jde o krok směrem k plně integrovaným systémům, které mohou na základě uživatelských...

Claude 3.5 Sonnet a Haiku: nová kapitola ve vývoji LLM

Neustálý vývoj jazykových modelů přináší nové možnosti, jakým způsobem umělá inteligence ovlivňuje nejen interakci mezi uživateli a počítači, ale práci s daty jako takovou. Společnost Anthropic nyní představuje 2  nové modely –...

Spotify přidává videa

Spotify stále rozšiřuje svou nabídku funkcí, aby uživatelům poskytlo co nejkomplexnější hudební zážitek. Nově se snaží zintenzivnit posluchačský zážitek přidáním videí, díky čemuž mohou uživatelé sledovat videoklipy...


 
© 2005-2024 PS Media s.r.o. - digital world
 

reklama