Dekryptor pro ransomware zdarma
Relativně nová rusky mluvící kriminální organizace s názvem Key Group se na poli kyberzločinu objevila začátkem letošního roku a má za sebou již několik úspěšných akcí. Mezi nejčastější praktiky Key Group patří útoky na společnosti se špatným zabezpečením, kterým se snaží zašifrovat a ukrást data z kompromitovaných systémů a následně je pak přeprodávat na dark webu. Jedním z rozpoznávacích znaků ransomware této skupiny je přípona KEYGROUP777TG pro všechny zašifrované soubory. Svou poslední ransomwarovou akci ale skupina úplně na odiv dávat nebude.
Ač se útočníci chlubí, že jejich ransomware KeyGroup777 využívá dle jejich slov „military-grade AES encryption“, dopustili se při programování svého malware poměrně zásadní chyby. Tato chyba spočívá v použití statické soli, tedy několika bitů přidaných k bitové informaci samotného souboru v průběhu jeho zašifrování. Celý proces šifrování je tak alespoň trochu předvídatelný a je možné jej zpětně převrátit.
Ransomware mimo jiné maže i Volume Shadow kopie, čímž zamezuje obnově systému. Naštěstí se výzkumníkům z bezpečnostní firmy EclecticIQ podařilo tuto chybu v šifrování najít a vyvinuli pythoní skript, který se o dešifraci dat postará. Script poskytli zdarma na svém blogu. Je vysoce pravděpodobné, že skupina tento nedostatek brzy opraví a systémy napadené novou verzí jejich ransomware již nebude možné tak snadno dešifrovat.
Falešní AI boti na Facebooku
Bezpečností výzkumník Thomas Uhlemann ze společnosti ESET upozornil na riziko reklam nabízející AI boty. Jeho konkrétní případ se týkal reklamy na Facebook feedu, který lákal na AI od společnosti Google – Google Bard. Po prvotním průzkumu zjistil, že URL neodkazují na stránky společnosti Google, ale na webové stránky malé společnosti z Irska.
Na spuštění investigace a odhalení toho, že se opravdu jedná o škodlivou kampaň, ho přivedlo několik indikátorů. Samotná reklama byla podezřelá již od začátku, text obsahoval pravopisné chyby a všechny pozitivní komentáře byly vloženy během jediné hodiny. Použitý odkaz dále přesměroval uživatele na legitimní Google službu, sloužící pro vytváření a prezentaci webových stránek (sites.google.com) a nebýt použití anonymního režimu, mohli by útočníci potenciálně zjistit o oběti citlivé informace. Stránka obsahovala odkaz na Google Drive, odkud si má oběť stáhnout onoho „AI Bota“. Ve skutečnosti se ale jedná o JavaScript agenta zabaleného do zaheslovaného souboru RAR, který dokáže změnit nastavení prohlížeče a slouží jako adware.
Thomas se dále setkal i s dalšími variantami jako například „Meta AI“ a obává se, že se nepozorní uživatelé mohou poměrně snadno nachytat. Bohužel praktika malvertisingu je pro distribuci škodlivého software využívána čím dál častěji, a to i vzhledem k obrovským možnostem pro levné zveřejnění reklam s vysokým dosahem.
Polské dráhy pod útokem falešných signálů
Polské vlaky byly v minulém týdnu několikrát zastaveny za pomoci podvrženého radiového signálu (takzvaný radio-stop) na frekvenci 150,100 MHz, který lze na dráze použít v případě nouze. Nejedná se o ojedinělý případ a při posledním incidentu se zpoždění týkalo asi dvaceti vlaků.
Vzhledem k tomu, že kromě tří zvukových signálů, které radio-stop signalizují, byla na této frekvenci přehrávána i ruská hymna a projev Vladimíra Putina, polská strana tyto útoky nepřímo spojuje se sítí sabotérů, kteří jsou napojeni na Moskvu a kteří mohli figurovat i u několika dalších incidentů.
Na druhou stranu, je podvržení signálu radio-stop velice jednoduché, díky tomu, že vysílač lze jednoduše a levně pořídit, signál není nijak šifrovaný a jeho tři zvukové tóny jsou veřejně známé. To v důsledku znamená, že signál mohl vypustit opravdu kdokoliv, a to i jakýkoliv vtipálek, který ale musel být v blízkosti vlaků dle síly vysílače. Bohužel, díky důležitosti polských drah pro spojence NATO je tento nedostatek na straně polských drah poměrně nepříjemný.
Únik informací o milionech uživatelů Duolingo
Aplikace sloužící pro výuku jazyků, Duolingo, která má měsíčně přes 70 miliónů aktivních uživatelů nedostatečně chrání data uživatelů na svém API. Na tento problém byla společnost upozorněna již v březnu, ale informace lze přes API získat dodnes.
API umožňuje ověřit, zda je email uživatele v databázi a zároveň zpřístupní ve formátu JSON data, která obsahují například skutečné jméno osoby, URL na profilový obrázek, napojení na účty Facebooku a Googlu, lokaci uživatele, a další informace.
České banky se potýkaly s výpadky služeb
Dohromady pět českých bank ohlásilo tento týden výpadky svých internetových služeb. Důvodem těchto výpadků byl takzvaný DDoS útok. Vzhledem k tomu, že byl útok vedený paralelně na více peněžních ústavů v jednu chvíli, tak se evidentně jednalo o rozsáhlejší kampaň škodlivého aktéra, což se potvrdilo ve chvíli, kdy se k útoku přihlásila proruská hacktivistická skupina NoName057(16).
Tato skupina stojí za mnoha dalšími kampaněmi a díky tomu, že vznikla v březnu 2022, její útoky jsou vedeny většinou na Ukrajinské subjekty, či na subjekty ze zemí Ukrajině pomáhající, a i vzhledem k jejich manifestu je tato skupina jasně politicky motivovaná. Podobný útok tato skupina provedla ve stejnou chvíli i v Polsku, kde zcela vyřadila web Varšavské burzy a několika bank. Z předchozích útoků této skupiny na území České republiky lze zmínit například útoky na weby protikandidátů Miloše Zemana během prezidentských voleb, či web Pražské integrované dopravy.
Ve zkratce
- Izolace kontejnerů ve Windows lze využít k obejití endpoint security
- Rozšíření v Google Chrome mohou krást plaintext hesla z webových stránek
- FreeWorld ransomware používá volně dostupné MSSQL databáze pro získání persistence
- Společnost Paramount zveřejnila informace o úniku dat po hackerském útoku
- VMware Aria obsahuje zneužitelnou chybu, která umožňuje zneužít SSH autentizaci
- FBI zlikvidovala infrastrukturu QakBot Malware
Pro pobavení
Pořiďte si dvoufaktorové ověřování, může vám (nejen) zlepšit náladu.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU