Log4j
Poslední dobou nedá správcům, ale ani útočníkům spát zranitelnost objevená v Log4j, což je logovací framework, který používá Java. Mnoho už bylo napsáno, tak jen ve stručnosti: chyba umožňuje vzdálené spouštění kódu. Oprava byla vydána rychle ale Java je obsažená téměř všude a nebude jednoduché aktualizovat veškerá zranitelná zařízení.
Záhy po vydání opravy byl objeven další problém tentokrát vedoucí k útokům typu DoS. Samozřejmě netrvalo dlouho a útočníci začali chyby zneužívat. Například ransomware Khonsari. Útok má klasický scénář, nejprve pomocí zranitelnosti kompromitují zařízení, zašifrují soubory a požadují výkupné. Podle ESETu je Česká republika na osmém místě v počtu pokusů o zneužití zranitelnosti, na prvním místě Japonsko následované Spojenými státy a Polskem.
ALPHV BlackCat
Nový ransomware, nezvykle napsaný v jazyce Rust, se objevil na ruských hackerských fórech. Jedná se o velmi propracovaný kousek fungující na principu RasS. Kdy provozovatelé poskytují veškerý komfort při krádežích dat, šifrování souborů, vymáhání výkupného a podobně. Za to si samozřejmě účtují podíl na uskutečněných transakcích.
Ransomware se ovládá z příkazové řádky a konfiguraci má uloženou v JSON. Pokud má útočník k dispozici přihlašovací údaje domény Windows, umí se rozšířit i na okolní zařízení. Před samotným šifrováním ukončí programy, které by mu mohly práci komplikovat.
Informace o výkupném jsou předem nakonfigurovány a každá oběť má unikátní stránku Tor, kde se může přesvědčit o ukradených datech, dozví se informace o výkupném a dokonce nabízí access-token pro přístup k soukromému chatu, aby při vyjednávání nikdo nepovolaný nerušil. Podle tvůrců je multiplatformní a otestován na Windows od verze 7, ESXI, Debian, Ubuntu, ReadyNAS, Synology. Expert na ransomware Michael Gillespie analyzoval ransomware a nenalezl žádné slabiny. Pokud oběti nereagují na krádež dat nebo zašifrované soubory, jako další metodu používají vydírání DDos útokem až do zaplacení výkupného.
TinyNuke
Ve Francii znovu ožil bankovní malware TinyNuke. Ten byl na vrcholu v roce 2018, od té doby se jen zřídka objevil v drobných kampaních. Útočníci klasicky rozesílají e-maily s odkazy na údajné faktury, dodací listy a podobně. Malware se zaměřuje jak na krádeže údajů, tak na instalaci dalšího škodlivého softwaru.
Anubis
Další nebezpečí pro naše účty představuje nová odnož bankovního trojanu Anubis Android. Tento malware se objevil v Google Play na konci července, maskuje se jako aplikace pro správu účtů od francouzské telekomunikační společností Orange SA a cílí na zákazníky téměř 400 finančních institucí, virtuálních platebních platforem a peněženek s kryptoměnami. Jako správný bankovní trojan sbírá data o používání a maskuje komunikaci s bankou, aby získal potřebné přihlašovací údaje.
Karakurt
Nová skupina záškodníků vystupující pod jménem Karakurt je zodpovědná za řadu krádeží dat a vyděračských útoků. Zvláštností je, že se snaží co nejvíce upravit své taktiky a nástroje cílové organizaci. Podle dostupných analýz se zaměřují spíše na získávání kompromitujících a důležitých dat a následnému vydírání, než na instalaci škodlivých nástrojů.
Spectra
Výzkumníci v oblasti kybernetické bezpečnosti objevili novou techniku útoku proti čipům kombinujícím různé bezdrátové technologie jako je Wi-Fi, Bluetooth a LTE. Zranitelnost nazvaná „Spectra“ umožňuje pomocí Wi-Fi pozorovat Bluetooth pakety a tím odhadovat úhozy na klávesnici. Naopak pomocí Bluetooth je možné získat přihlašovací údaje k Wi-Fi sítím, se kterými čip pracuje.
Zranitelnosti v Lenovo
Služba ImControllerService kterou požívá Lenovo ve svých noteboocích Yoga a ThinkPad, obsahuje zranitelnost, která umožňuje lokálnímu uživateli zvýšit oprávnění. Druhá zranitelnost TOCTOU (time-of-check to time-of-use) je zneužívána k zastavení procesu načítání a nahrazení ověřeného pluginu škodlivým souborem DLL, který se následně spustí s vysokými oprávněními.
Tato služba obstarává správu napájení systému, optimalizaci systému, aktualizace ovladačů a aplikací, a proto se nedoporučuje její zakázání. Oprava byla vydána 17. listopadu.
Blbinka
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU