Čo je
jún 4. 2021
Security week 7
Zostaňte v bezpečí. Prinášame vám našu pravidelnú dávku noviniek z oblasti bezpečnosti.
Južná Kórea nariadila kontrolu svojich energetických sietí voči kybernetickým hrozbám
Korejské ministerstvo obchodu, energie a infraštruktúry nariadilo kontrolu národnej energetickej infraštruktúry. Ako podnet pre toto rozhodnutie poslúžil útok na Colonial Pipeline v USA, kde ransomware útok vyradil dodávky pre východné pobrežie USA. Kontrole podliehajú ropovody, plynovody, elektrické siete a núdzové reakčné systémy. Južná Kórea má chladné zimy, patrí medzi časté ciele útočníkov a nemôže si dovoliť takéto zraniteľnosti vo svojich sieťach.
Spoločnosť CNA zaplatila 40 miliónov dolárov výkupne ransomware gangu
Finančná skupina CNA, jedna z najväčších amerických poisťovní, zaplatila 40 mil. dolárov po ransomware útoku pre obnovu kontroly nad svojou sieťou. Aj keď spoločnosť tvrdí, že neurobila nič nezákonne a svoje kroky konzultovala, tak FBI výrazne vyzýva spoločnosti, aby neplatili výkupné. Zaplatená suma patrí medzi najvyššie známe zaplatené výkupné. Celkovo v roku 2020 sa odhaduje viac ako 300% nárast zaplatenej sumy kyber zločineckým skupinám. Za týmto konkrétnym útokom stojí pravdepodobne skupina Evil corp. a využili pri tom malware Phoenix Locker (variant odvodený od “Hades”).
Zdravotnícky systém Írska pod ransomware útokom
Írske ministerstvo zdravotníctva a HSE (verejne financovaný systém zdravotnej starostlivosti v Írsku) sa stali terčom kyber útoku. Kým Ministerstvu zdravotníctva sa podarilo úbraniť, HSE sa stalo obeťou Conti ransomware gangu. Aj keď gang dal k dispozícií dešifrátor, ktorý umožní obnovu zašifrovaných údajov, tak upozornil, že ukradnuté údaje (odhaduje sa cca 700 GB) aj tak alebo predá alebo zverejní, ak nezaplatí výkupne v sume takmer 20 mil. dolárov. Keďže dešifrátory zločineckých skupín majú pochybnú funkčnosť (napr. rýchlosť a kvalita prevedenia), spoločnosť Emisoft poskytla HSE bezplatne svoj nástroj pre dešifrovanie súborov. Ministerstvo podrobí HSE kontrole, či počítačová sieť po obnove je bezpečná.
Guard.me – poskytovateľovi zdravotného poistenia kompromitovali databázu
Jeden z najväčších poskytovateľ zdravotného poistenia zameraného na cestovné poistenie študentov bol nútený odpojiť svoje webové stránky po tom, ako útočníci získali prístup k osobným údajov v systéme. Poskytovateľ kontaktoval zasiahnutých študentov a zároveň sa mu podarilo odstrániť zraniteľnosť, ktorá umožňovala útočníkom prístup k dátumom narodenia, pohlaviu, šifrovanej forme hesla, emailovým adresám, poštovým adresám a telefónnym číslam.
Všetky Wi-Fi zariadenia vyrobené od roku 1997 obsahujú zraniteľnosti FragAttack
Novoobjavené zraniteľnosti týkajúce sa fragmentácie a agregácie (FragAttack) sa nachádzajú vo všetkých typoch zariadení (PC, smarfóny, smart zariadenia,…), ktoré boli vyrobené od roku 1997. Zasiahnuté sú aj zariadenia používajúce najnovšiu špecifikáciu WPA3. Aj keď zneužitie týchto zraniteľností nie je jednoduché, programové chyby, ktoré stoja za týmito zraniteľnostami sú ľahko zneužiteľné na neošetrených zariadeniach. Výrobcovia postupne vydávajú bezpečnostné aktualizácie a sú koordinovaní organizáciámi ICASI a Wi-Fi Alliance. Ak aj výrobca stále nevydal aktualizáciu, tak je možné minimalizovať riziko zneužitia zraniteľností. Základným prvkom je používat HTTPS pri surfovaní. Medzi ďalšie patrí deaktivácia fragmentácie, deaktivácia párových rekeys a zakázanie dynamickej fragmentácie v zariadeniach Wi-Fi 6 (802.11ax). Na Githube už existuje aj nástroj, ktorý pomáha zistiť, či prístupový bod a Wi-Fi klienti obsahujú zraniteľnosti.
Ransomware skupina DarkSide zaútočila na Toshiba Tec Corp
Po nedávnom úspešnom útoku na Colonial Pipeline, zabezpečujúci 45 % dodávky paliva pre východné pobrežie USA, sa stala Toshiba Tec Corp najnovším cieľom tejto skupiny. Napadnutá bola továreň vo Francúzsku. Hneď po objavení útoku bola odpojená sieť medzi Japonskou Európskou časťou firmy, aby sa minimalizovali možnosti šírenia ransomware. Aj keď vyšetrovanie pokračuje, tak zatiaľ firma tvrdí, že nedošlo k úniku žiadnych citlivých dokumentov viazaných na zákazníkov.
Útok ransomwareom spôsobil zrušenie plánovaných operácií v nemocniciach na Novom Zélande
Útok, pravdepodobne spôsobený infikovanou prílohou mailu, zasiahol Waikato District Health Board a ich šesť nemocníc. Všetky IT služby hlásili výpadok okrem emailu. Pre chýbajúci prístup k záznamom pacientov muselo dôjsť k zrušeniu plánovaných operácií a nemocnice dokázali riešiť len akútne prípady. Ostatných pacientov presmerovávali do okolitých nemocníc. V súčasnosti prebieha forenzné vyšetrovanie celého útoku. Vedenie Waikato DHB sa rozhodlo nezaplatiť výkupné.
Brazílsky bankový trójsky kôň sa šíri naprieč kontinentmi
Nový malware Bizarro cieli viac ako 70 bánk najmä v Európe a v Južnej Amerike v mobilných (Android) zariadeniach používateľov. Okrem toho sa snaží získať aj prístup do Bitcoin peňaženiek. Po preniknutí do zariadenia ukončí všetky procesy v prehliadačoch s online bankovými službami, teda používatelia sa musia nanovo prihlasovať. Vtedy malware zbiera citlivé prihlasovacie údaje. Vypína aj funkciu automatického dopĺňania v prehliadači a dokáže vytvoriť falošné pop-up správy, pre získanie kódov dvojfaktorovej autentifikácie. Zároveň sa jedna o plne funkčný backdoor, ktorý podporuje viac ako 100 príkazov.
