Hacking

OKD napadli hackeři a Národní centrum kybernetické bezpečnosti varuje před aktivitou botnetu Emotet

Národní centrum kybernetické bezpečnosti vydalo 23. prosince 2019 varování před zvýšenou aktivitou botnetu Emonet. Bylo to poté, co byly napadeny počítačové systémy těžařské firmy OKD, která kvůli tomu přerušila těžbu.

Mluvčí OKD Ivo Čelechovský situaci komentoval pro Radiožurnál: „Počítačová síť společnosti OKD se z neděle na pondělí stala obětí hackerského útoku, který způsobil okamžitou nefunkčnost celé sítě těžařské firmy a všech jejich serverů. V současné době je tedy mimo provoz kompletní síťová infrastruktura a z bezpečnostních důvodů vedení společnosti OKD okamžitě ukončilo i těžbu ve všech svých dolech.“

Podrobnosti k útoku nejsou známé, až popis až příliš připomíná chování ransomwaru: „Hlavní útok nastal v neděli 22. prosince kolem 22.00, kdy škodlivý kód komplexně napadl a ochromil celou infrastrukturu firmy.“

Varování NCKB

Vládní CERT eviduje zvýšenou aktivitu botnetu Emotet, často v kombinaci s malwarem TrickBot a ransomwarem Ryuk. Jedná o aktuální kampaň, která cílí na organizace v České republice napříč odvětvími. Doporučujeme proto zvýšenou opatrnost.

Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra. Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře.

I takový phishingový e-mail je ale možné identifikovat. Zatímco se zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu. Pokud máte pochybnosti, telefonicky si ověřte, že zpráva skutečně přišla od reálného odesílatele. Dále také při otevírání souborů nepovolujte makra.

Pokud k otevření nakažené přílohy dojde, Emotet do počítače oběti stáhne další malware TrickBot. Trickbot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo e-maily. V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.

Poté, co TrickBot získá ze sítě oběti maximum informací, útok může dál pokračovat nainstalováním ransomwaru Ryuk. Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné obecně nedoporučujeme platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje. Největší zárukou pro obnovení dat jsou off-line zálohy

Pro omezení rizika platí obecná best practice doporučení (příklad).

Zejména doporučujeme mít logicky segmentovanou síť, aktuální antivirový SW, udržovat aktuální prvky infrastruktury a pravidelně aplikovat bezpečnostní aktualizace (zejména pro CVE-2017-0144).

Dále doporučujeme kontrolovat stav a konzistenci záloh, omezit otevřené služby v síti (zejména Remote Desktop Protocol), používat politiku silných hesel (ideálně v kombinaci s druhým faktorem) a dodržovat pravidlo minimálního nutného přístupu (z pohledu práv uživatelů, sdílení adresářů, atp.).

V neposlední řadě je potřeba školit uživatele, zejména ohledně phishingu a politiky hesel, a plošně zakázat spouštění maker. Více k nastavení Microsoft Office maker.

Další zdroje informací, doporučení a indikátorů kompromitace:

Dodatečné indikátory kompromitace:

IP adresy C&C servery

  • hXXps://5.182.210[.]132:443 09.12.2019
  • hXXps://23.94.70[.]12:443 09.12.2019
  • hXXps://64.44.51[.]106:443 06.12.2019
  • hXXps://85.143.220[.]41:443 02.12.2019
  • hXXps://107.172.29[.]108:443 02.12.2019
  • hXXps://107.181.187[.]221:443 28.11.2019
  • hXXps://172.82.152[.]136:443 09.12.2019
  • hXXps://184.164.137[.]190:443 09.12.2019
  • hXXps://186.232.91[.]240:449 26.10.2019
  • hXXps://194.5.250[.]62:443 09.12.2019
  • hXXps://195.54.162[.]179:443 09.12.2019
  • hXXps://198.46.161[.]213:443 09.12.2019

Hashe souborů

  • E051DEC1ED1B04419A9CD955199E2DE9
  • DBAE3CFBB12A99DFACB14294EB431E5C
Diskuze (21) Další článek: 15 míst, kde můžete legálně sledovat filmy na internetu

Témata článku: , , , , , , , , , , , , , , , , , , , , , , ,