CERT RSS

Prošlog je tjedna 55 prometnih kamera u Australiji zaraženo zlonamjernim ransomware sadržajem WannaCry. Prema trenutnim informacijama, do zaraze je došlo tijekom održavanja, tj. u trenutku kada je tehničar spojio zaraženi USB s uređajima koji koriste operacijski sustav Windows.

Kamere nisu spojene na internet te se zlonamjerni sadržaj zadržao na uređaju bez mogućnosti neposrednog daljnjeg širenja. Unatoč tome što su bile zaražene, kamere su nastavile raditi te je jedini pokazatelj zaraze zlonamjernim sadržajem bila činjenica kako su se kamere svakih nekoliko minuta ponovo pokretale.

Iz nadležne su službe objavili kako je ranjivost otklonjena te kako trenutno traje proces čišćenja zaraženih kamera.

Slučajevi zaraze zlonamjernim ransomware sadržajem WannaCry zabilježeni su ovog mjeseca i u tvornici automobila Honda gdje je zbog širenja došlo do prekida proizvodnje. Unatoč tome što je glavnina štete napravljena sredinom svibnja, WannaCry je još uvijek aktualan zato što velik broj korisnika još uvijek nije poslušao savjet Microsofta te preuzeo najnoviju zakrpu.

Stručnjaci za informacijsku sigurnost otkrili su ranjivost staru više od desetljeća u nekoliko Unix baziranih operacijskih sustava uključujući Linux, OpenBSD, NetBSD, FreeBSD i Solaris. Otkrivenu ranjivost potencijalni napadači mogli bi iskoristiti za stjecanje root ovlasti, a time i preuzimanje kontrole nad zahvaćenim sustavom. 

Ova ranjivost nazvana je "Stack Clash", a dodijeljena joj je oznaka CVE-2017-1000364. Uzrokovana je načinom na koji se memorija dodjeljuje stogu koji se koristi za pohranjivanje kratkoročnih podataka. Stog se automatski širi i skuplja za vrijeme izvođenja bilo kojeg programa, ovisno o potrebama. Prema riječima stručnjaka iz tvrtke Qualys koji su prijavili ovu ranjivost, maliciozni program može iskoristiti više memorijskog prostora nego je dostupno na stogu, što može dovesti do prepisivanja sadržaja memorije.

Za iskorištavanje "Stack Clash" ranjivosti napadač bi trebao imati lokalni pristup ranjivom sustavu, ali ovisno o određenim aplikacijama moguće ju je iskoristiti i udaljeno. Na primjer, zlonamjerni korisnik s nisko privilegiranim korisničkim računom kod nekog pružatelja usluge udomljavanja internet stranica ovu ranjivost mogao bi iskoristiti za dobivanje pristupa nad drugim web sjedištem koji se nalazi na istom poslužitelju ili za udaljeno stjecanje pristupa i izravno izvršavanje malicioznog koda. 

Napadači bi mogli kombinirati "Stack Clash" ranjivost s drugim kritičnim ranjivostima koje su nedavno otkrivene, kao što je sudo ranjivost za koju je nedavno izdana zakrpa, zatim izvršiti proizvoljni programski kod s najvećim ovlastima. 

Stručnjaci za sigurnost razvili su sedam načina iskorištavanja ranjivosti (exploits) i sedam dokaza koncepta (proofs of concept - PoCs), međutim još ih nisu objavili kako bi korisnicima i sistem administratorima dali dovoljno vremena da primjene sigurnosne zakrpe. Sigurnosne preporuke za pojedine operacijske sustave možete pronaći na ovoj stranici. 

Otkriven je propust u zlonamjernom ransomware sadržaju imena Jaff koji se već mjesec dana širi putem Necurs botnet mreže.

Sigurnosni stručnjaci iz tvrtke Kaspersky Lab iskoristili su pronađeni propust kako bi omogućili povratak šifriranih podataka s računala. Napominju kako je ključ za dešifriranje što su ga razvili namijenjem svim inačicama zlonamjernog sadržaja Jaff te kako mogu dešifrirati sve datoteke šifrirane .jaff, .wlu, .sVn nastavcima.

Jaff je proširen putem spam kampanje koja je uključivala slanje PDF privitka u koji je bio ugrađen Microsoft Word dokument pomoću kojeg je na računalo preuziman zlonamjerni ransomware sadržaj.

Pojedinci iza napada su za povrat podataka tražili od 0,5 do 2 Bitcoina što iznosi od 1,500 do 5,000 američkih dolara, a najveći je broj slučajeva zabilježen na prostoru Kine, Rusije, Egipta te Njemačke.

Besplatan ključ za dešifriranje podataka moguće je preuzeti ovdje.

U preko 800 različitih Android aplikacija pronađena je zlonamjerna programska biblioteka koja u pozadini prikuplja podatke o korisniku uređaja, a putem koje se može ostvariti pristup uređaju. Zaražene su aplikacije s Google Play trgovine preuzete više milijuna puta, a u njima je pronađena zlonamjerna programska biblioteka nazvana "Xavier" koja je prvotno otkrivena u rujnu 2016. godine. "Xavier" pripada skupini zlonamjernih programa nazvanoj "AdDown".

Kako je 90 posto svih Android aplikacija slobodno za preuzimanje, oglašavanje čini glavni izvor dobiti pojedincima koji ih razvijaju. Uobičajen je postupak ugrađivanje Android SDK Ads biblioteke koja, ako je ispravno podešena, ne utječe na rad same aplikacije.

Prema sigurnosnim stručnjacima iz tvrtke "Trend Micro", zlonamjerna programska biblioteka već je ugrađena u cijeli niz aplikacija kao što su aplikacije za uređivanje fotografija, aplikacije za preuzimanje melodije zvona i pozadine te u cijelom nizu alata za pronalazak mobitela, podešavanje glasnoće te upravljanje radom uređaja.

Prethodne su inačice zlonamjernog sadržaja "Xavier" napadačima služile kako bi stekli dobit putem pristupa reklamama, ali su imale i mogućnost preuzimanja te instalacije aplikacija u pozadini. Posljednja inačica, uz spomenute funkcionalnosti, također posjeduje mogućnost izbjegavanja otkrivanja, udaljenog izvršavanja programskog koda te prikupljanja podataka o korisniku.

Prema sigurnosnim stručnjacima, najviše je zaraženih korisnika s područja zemalja jugoistočne Azije, dok je manji broj zaraženih korisnika zabilježen i na području SAD-a te Europe.

Popisu 75 zaraženih Android aplikacija koje su uklonjene s Google Play trgovine možete pristupiti ovdje.

 Danas, 9. lipnja 2017. godine, posjetili su nas učenici, nastavnice i ravnateljica OŠ Dragutina Tadijanovića, Vukovar i prezentirali nam kako koriste IKT (informacijske i komunikacijske tehnologije) u nastavi. Učenici su nam prezentacijom, što su je izradili sami u sklopu školske nastave biologije, matematike i kemije, pokazali u kojoj mjeri koriste informacijske i komunikacijske tehnologije u nastavi te na koje sve načine korištenje tehnologije u nastavi pomaže obrazovnom procesu.

Nakon završetka učeničke prezentacije i kratke rasprave o pogodnostima korištenja tehnologije u nastavi, djelatnici Nacionalnog CERT-a održali su interaktivno predavanje o sigurnosti na internetu u kojem su se posebno usredotočili na ukazivanje ugroza na koje mogu naići djeca školskog uzrasta. Snažan je naglasak bio i na služenju društvenim mrežama, a kroz stvarne se primjere predavača, ali i samih učenika, objasnilo kojim načinom se najbolje zaštiti te kako pravilno reagirati u slučaju incidenta.

U prezentaciji su obrađene teme poput općeg pojma sigurnosti i što pod njime podrazumijevamo te je definirano što su osobni podaci i kako njima pažljivo postupati. Bilo je i govora o različitim vrstama zlonamjernog sadržaja, ali i o socijalnom inženjeringu te primjerima korištenja socijalnog inženjeringa u kontekstu računalne sigurnosti. Prezentacija je zaključena općim savjetima o tome kako zaštiti računalo, prepoznati ugrozu te ispravno postupiti.

Učenici su za ovu temu pokazali velik interes te su svojim sudjelovanjem u prezentaciji iznijeli svoja iskustva o različitim aspektima sigurnosti najranjivije skupine.

Prezentaciju možete preuzeti ovdje.

Milijuni ljudi koji koriste srčani elektrostimulator (engl. pacemaker) mogli bi postati mete napada zlonamjernih pojedinaca koji koriste ranjivosti samih uređaja. Ovakvi napadi predstavljaju posebnu opasnost jer bi onemogućavanjem rada uređaja moglo doći do teških posljedica po zdravlje žrtava.

Elektrostimulator predstavlja uređaj koji osjeća srčane impulse te po potrebi šalje električne impulse radi aktivacije srčanog mišića i održavanja normalnog srčanog ritma. Medicinska pomagala poput elektrostimulatora i inzulinskih pumpi najčešće često nisu u središtu napora sigurnosnih tvrtki koje su usredotočene na razvijanje sigurnih sustava te sigurnosnih alata. Ovakva situacija čini područje medicinskih pomagala ovog tipa nesigurnim što je vidljivo i u istraživanja tvrtke White Scope. Prema njihovom nalazu testiranja 7 različitih proizvoda koje su razvile 4 zasebne tvrtke, dokazano je kako svi uređaji koriste programske biblioteke koje su razvili nezavisni programeri (engl. third-party). Kod većine su programskih datoteka pronađene mnoge ranjivosti što ih napadači mogu iskoristiti kako bi dobili pristup do uređaja.

Istraživači navode kako se, unatoč nastojanjima nadležnih tijela da zakonski odrede sigurnosni standard te činjenici kako je riječ o osjetljivim medicinskim pomagalima, svi promatrani uređaji mogu obilježiti kao nesigurni. Redovito uređaji ovog tipa koriste zastarjele programske biblioteke bez obzira na proizvođača ili tip što ilustrira u kojoj je mjeri rizičan cijeli sektor medicinskih pomagala kada je riječ o računalnoj sigurnosti.

Posebno je zabrinjavajuća činjenica kako prilikom spajanja uređaja za upravljanje elektrostimulatorom i elektrostimulatora ne dolazi do sigurnosne provjere. Ovakav propust teoretski omogućava osobi koja ima uređaj za upravljanje pristup bilo kojem elektrostimulatoru bez sigurnosne provjere što može za posljedicu imati teške zdravstvene probleme žrtve te, na koncu, i smrću. Istraživači također navode kako je sva testirana oprema dostupna putem online trgovine eBay iako je trgovina uređajima ovoga tipa strogo zakonski regulirana.

Iako je ovo područje relativno izdvojeno te ne predstavlja, trenutno, atraktivnu priliku napadačima, ne valja zanemariti činjenicu kako ranjivosti zaista postoje te je pitanje vremena kada će se nastojanja napadača usmjeriti na ovo visoko rizično područje računalne sigurnosti. Osim zdravstvenih problema, kompromitacija medicinskih pomagala može za posljedicu imati i gubitak povjerljivih informacija vezanih uz pacijenta te pristup liječničkoj bazi podataka što predstavlja značajan sigurnosni rizik.

Kineski proizvođač online sadržaja odgovoran je za širenje zlonamjernog sadržaja nazvanog Fireball. Spomenuti zlonamjerni sadržaj cilja internetske preglednike te je do sada zabilježeno više od 250 milijuna slučajeva zaraze ovim zlonamjernim sadržajem. Fireball preuzima upravljanje nad preglednikom te ga koristi kako bi napadačima ostvario prihod pristupanjem reklamnim sadržajima.

Ovako se stečen prihod, prema riječima sigurnosnih stručnjaka iz tvrtke Check Point Software Technologies Ltd., slijeva na račune marketinške agencije Rafotech koja se nalazi u Pekingu. Sigurnosni stručnjaci napominju kako je ovo potencijalno najveća operacija ovog tipa u povijesti te dodaju kako se Fireball može koristiti za širenje bilo koje vrste zlonamjernog sadržaja.

Fireball ima dvije glavne sposobnosti; sposobnost izvršavanja proizvoljnog programskog koda na žrtvinom računalu, što uključuje preuzimanje zlonamjernog sadržaja, te sposobnost preuzimanja kontrole nad preglednikom u svrhu ostvarivanja prihoda putem reklamnih sadržaja. Trenutno se Fireball koristi isključivo u kontekstu reklamnih sadržaja, no to ne znači da se u budućnosti neće koristiti za širenje dodatnih zlonamjernih sadržaja.

Prema stručnjacima iz tvrtke Check Point, do zaraze dolazi prilikom preuzimanja poželjnih i široko korištenih aplikacija što ih Rafotech razvija kao što su Deal Wifi, Mustang Browser, Soso Desktop i FVP Imageviewer. Prilikom preuzimanja navedenih aplikacija, na računalo se, u pozadini, preuzima i zlonamjerni sadržaj Fireball. Stručnjaci navode kako je važno zapamtiti kako prilikom preuzimanja besplatnog sadržaja ne dolazi odmah do istovremenog preuzimanja zlonamjernog sadržaja. Čest je slučaj u kojem se zlonamjerni sadržaj preuzima u pozadini što onemogućava korisnicima pravovremeno djelovanje.

Najveći je broj zabilježenih slučajeva, oko 10 posto svih zabilježenih, u Indiji, Brazilu i Meksiku.

Dvojica istraživača za računalnu sigurnost iz tvrtke Securolytics - Vikas Singla i Jason Morris, otkrili su propust u načinu kojim funkcionira EEA uređaj. Radi se o sklopovlju ili virtualiziranim uređajima koji zajedno u radu s poslužiteljima elektroničke pošte šifriraju i dešifriraju poruke. EEA-ovi se najčešće pronalaze u korporativnim mrežama te se koriste za zaštitu osjetljivih informacija razmijenjenih putem e-mail poruka.

Otkriveni propust omogućuje napadaču umetanje prilagođene zlonamjerne e-mail poruke unutar EEA-ova koja tada prolazi kroz internu e-mail mrežu tvrtke, stižući u pretince elektroničke pošte korisnika. Propust nazvan "Split Tunnel SMTP Exploit", radi onoliko dugo koliko napadaču treba da otkrije IP adresu EEA uređaja, kako bi znao gdje umetnuti zlonamjerni programski kod i e-mail poruku. Spomenuti istraživači ističu kako je bilo koji EEA koji prihvaća dolaznu SMTP vezu podložan ovom napadu, koji funkcionira čak i ako se radi o samostalnom EEA uređaju ili virtualiziranom uređaju instaliranom na e-mail poslužitelju tvrtke. Prema tvrdnjama iz tvrtke Securolytics, napadač može ubaciti bilo koji tip zlonamjernog sadržaja koji podržava MIME standard enkodiranja. Tijekom njihova testiranja otkrivenog propusta, uspjeli su umentnuti e-mail poruke sa zlonamjernim sadržajem kao što su ransomware, macro-malware, phishing poveznice te arhive zaštićene lozinkom. Dodatno je zanimljivo da napad iskorištava topologiju mreže te putanju kojom e-mail poruke prolaze kroz uređaje/poslužitelje prije negoli stignu u korisnički pretinac elektroničke pošte.

Eksperti iz tvrtke Securolytics kažu da su, testiranjem na produkcijskim mail poslužiteljima razmještenim na dvjema ustanovama, otkrili dvije metode iskorištavanja ovog napada, a koje se odnose na zaobilaženje ESG (email security gateway) uređaja te otkrivanja IP adrese EEA uređaja smještenog ispred ESG uređaja.

Stručnjaci napominju kako nemaju saznanja postoji li neka potpuna zakrpa ili zaštita od ovog propusta, stoga preporučuju potpuno onemogućavanje transparentnog "gateway-to-gateway" šifriranja na uređaju za šifriranje te implementaciju rješenja koje će izvoditi paralelnu obradu dešifriranja e-mail poruka i istovremeno otkrivanje prijetnje.

Sigurnosni stručnjaci otkrili su u usluzi Trgovina Google Play potencijalno najveću kampanju zlonamjernim sadržajem koji je zarazio gotovo 36,5 milijuna Android uređaja putem zlonamjernih reklama.

Sigurnosna tvrtka Checkpoint objavila je kako je u 41 Android aplikaciji pronađen zlonamjerni sadržaj koji pristupa reklamama putem zaraženih uređaja te na taj način donosi pojedincima koji su ga razvili novčani dobitak.

Sve je zlonamjerne aplikacije razvila južnokorejska skupina Kiniwini te ih objavila putem lažne tvrtke imena ENISTUDIO Corp. Navedene su aplikacije sadržavale zlonamjerni sadržaj, nazvan Judy, koji su napadači koristili kako bi pristupali reklamnim internetskim sadržajima sa zaraženih uređaja te na taj način ostvarivali novčanu dobit. Štoviše, zlonamjerni je sadržaj otkriven i u aplikacijama koje nije razvila skupina Kiniwini.

Veza između ova dva slučaja nije jasna, ali sigurnosni stručnjaci vjeruju kako je zlonamjerni sadržaj dijeljen između skupina koje su ga razvijale.

Aplikacije su same po sebi legitimne igre, ali u pozadini služe kao poveznica između zaraženog uređaja i napadačevog poslužitelja. Jednom kada se veza ostvari, aplikacija u pozadini pristupa reklamnom sadržaju te napadačima ostvaruje novčani dobitak.

Popis aplikacija u kojima je pronađen zlonamjerni sadržaj dostupan je u nastavku:

Fashion Judy: Snow Queen style
Animal Judy: Persian cat care
Fashion Judy: Pretty rapper
Fashion Judy: Teacher style
Animal Judy: Dragon care
Chef Judy: Halloween Cookies
Fashion Judy: Wedding Party
Animal Judy: Teddy Bear care
Fashion Judy: Bunny Girl Style
Fashion Judy: Frozen Princess
Chef Judy: Triangular Kimbap
Chef Judy: Udong Maker – Cook
Fashion Judy: Uniform style
Animal Judy: Rabbit care
Fashion Judy: Vampire style
Animal Judy: Nine-Tailed Fox
Chef Judy: Jelly Maker – Cook
Chef Judy: Chicken Maker
Animal Judy: Sea otter care
Animal Judy: Elephant care
Judy’s Happy House
Chef Judy: Hotdog Maker – Cook
Chef Judy: Birthday Food Maker
Fashion Judy: Wedding day
Fashion Judy: Waitress style
Chef Judy: Character Lunch
Chef Judy: Picnic Lunch Maker
Animal Judy: Rudolph care
Judy’s Hospital: Pediatrics
Fashion Judy: Country style
Animal Judy: Feral Cat care
Fashion Judy: Twice Style
Fashion Judy: Myth Style
Animal Judy: Fennec Fox care
Animal Judy: Dog care
Fashion Judy: Couple Style
Animal Judy: Cat care
Fashion Judy: Halloween style
Fashion Judy: EXO Style
Chef Judy: Dalgona Maker
Chef Judy: ServiceStation Food
Judy’s Spa Salo

U slučaju da na vašem uređaju imate instaliranu aplikaciju navedenu u popisu, svakako ju uklonite s uređaja. Google je sve navedene aplikacije uklonio sa svoje usluge Trgovine Google Play.

 VAŽNO! Zabilježena je phishing kampanja koja je ciljano usmjerena na korisnike interneta u Republici Hrvatskoj, odnosno na Konzum kupce. Radi se o pokušaju prijevare putem web sjedišta konzum-hr.club. Napadači pozivaju korisnike da putem WhatsAppa podijele ponudu s minimalno 15 prijatelja i nakon toga odaberu opciju "Preuzmi kupon", nakon čega korisnicima obećavaju bon u Konzumu u iznosu od 600 kuna. Ispod kupona nalaze se lažirani Facebook komentari u kojima navodni "sretni dobitnici" zahvaljuju i pozivaju druge na sudjelovanje.

Prenosimo poruku koja dolazi na WhatsApp:

"Bok, Konzum dijele besplatne kupone. Upravo mi je stigao moj primjerak, zgrabi svoj prije nego ponuda istekne. Samo slijedi ovaj link ---- > hxxp://konzum-hr.club/ <---- možeš mi zahvaliti kasnije :)"

Molimo vas da, u slučaju primitka ovakve poruke, ne slijedite poveznicu i ne upisujete osobne podatke. U nastavku prenosimo ekranski prikaz zlonamjernog web sjedišta.

Odmah nakon izbijanja WannaCry ransomware kampanje, otkrivena je nova prijetnja koja iskorištava "EternalBlue" (CVE-2017-045) ranjivost. Radi se o računalnom crvu "EternalRocks" (poznat i pod nazivom "BlueDoom") koji se širi preko SMB protokola, no za razliku od WannaCry ransomware zlonamjernog programa, ovaj koristi sedam NSA-ovih alata (Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy i Smbtouch). Otkriveni računalni crv prvi je put primijećen prošloga tjedna u srijedu, nakon što je detektiran u SMB honeypot sustavu Miroslava Štampara, člana CERT tima Zavoda za sigurnost informacijskih sustava - ZSIS.

Za razliku od WannaCry, ovaj računalni crv nema implementiranu značajku "kill-switch". Trenutno nema mnogo zabilježenih uređaja zaraženih "EternalRocks" računalnim crvom, no ova se situacija može ubrzo promijeniti. "EternalRocks" koristi MS17-010 ranjivost za inicijalnu infekciju te preuzima Tor klijent za daljnju komunikaciju s upravljačim poslužiteljem (C&C) lociranom na .onion domeni, tzv. "Dark Web" šifriranoj mreži. Kada uspostavi vezu s C&C-om, računalni crv započinje s drugom fazom infekcije gdje preuzima drugu komponentu u obliku arhive naziva "shadowbrokers.zip". Trenutno nije poznata osnovna svrha i sadržaj (payload) koji ostavlja na zaraženom računalu pa se pretpostavlja kako je ovo samo priprema za pokretanje budućih zlonamjernih aktivnosti. Također koristi iste nazive datoteka kao i WannaCry s očitom namjerom prikrivanja od njegove detekcije.

Indikatori kompromitacije (IoCs) te više detalja o procesu infekcije dostupni su na GitHub repozitoriju Miroslava Štampara.

Reference:

[1] https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/

[2] https://heimdalsecurity.com/blog/bluedoom-worm-eternablue-nsa-exploits/

[3] https://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf

VAŽNO! Posljednjih dana zabilježene su prijave pokušaja prijevare. Radi se o klasičnom pokušaju prijevare phishing porukama gdje je cilj napadača stjecanje novčane dobiti. Kako bi elektronička poruka izgledala što uvjerljivije prevaranti se koriste stvarnim imenima visoko pozicioniranih osoba u tvrtki/instituciji, u ovom slučaju, ovisno o tipu funkcije, imenom predsjednika Uprave, predsjednika Upravnog vijeća, ravnatelja i sl., gdje djelatnicima računovodstva i drugih odgovornih osoba šalju lažni zahtjev za uplatom određene svote novca.

Prema dosad dostupnim podacima, kod spornih se poruka lažira adresa pošiljatelja, odnosno "From" polje, koje je sastavljeno od imena ovlaštene osobe, a završava s domenom "@yandex.com" ili "@aol.com". U polju "Subject" pojavljuju se riječi "Platiti" i "Plaćanje".

Molimo vas da sve djelatnike, posebno računovodstvo i druge odgovorne osobe, upozorite na ovu phishing kampanju te da u slučaju primitka ovakve vrste poruke istu zanemare i obrišu iz dolazne pošte. U nastavku prenosimo nekoliko primjera teksta phishing poruke.

Neizbježan val širenja raznih inačica zlonamjernog ransomware programa WannaCry ponovno prijeti nakon zatišja za vikend. Kako se navodi u članku na portalu threatpost.com, prijetnja još uvijek nije otklonjena, a zabilježeno je još najmanje pet različitih pokušaja širenja zlonamjernog programa WannaCry.

Prema dosadašnjim saznanjima, napadači nisu ostvarili značajnu novčanu dobit ako se u obzir uzme kako su na približno 200 000 zaraza u 150 država zaradili svega 54,894 američkih dolara. Ranjivosti koje su koristili mogu se uspješno primijeniti na cijeli niz različitih vrsta napada i stručnjaci upozoravaju kako se ovim putem može proširiti raznovrstan zlonamjerni sadržaj.

WannaCry se prvotno pojavio u petak te je isti dan zahvatio niz velikih tvrtki diljem Europe i Azije. Razmjer napada bio bi mnogo veći da sigurnosni stručnjak poznat kao MalwareTech nije u petak otkrio prekidač za gašenje (engl. killswitch) u kodu zlonamjernog ransomware programa WannaCry. Nakon što je registrirao domenu koja je pokrenula slijed za gašenje zlonamjernog programa, u veoma su se kratkom roku pojavile nove, unaprijeđene inačice zlonamjernog programa. Prema pisanju tvrtke Kaspersky Lab, još su se u nedjelju pojavile inačice koje nisu imale ugrađeni prekidač za gašenje.

Sean Dillon, sigurnosni stručnjak iz tvrtke RiskSense, navodi kako je analizirajući više različitih inačica zlonamjernog ransomware programa WannaCry naišao i na neke koje su imale drugačije Bitcoin adrese za uplatu koje je vjerojatno prilagodio zasebni napadač koji je preuzeo originalnu inačicu zlonamjernog sadržaja.

Microsoft je u petak izdao nadogradnje za operacijske sustave koji nisu službeno podržani kako bi zaštitili organizacije koje se njima još uvijek služe. Nažalost, zbog jednostavnosti korištenja i javne dostupnosti ranjivosti, prijetnja još uvijek postoji, a ono što je specifično jest činjenica kako napadač veoma jednostavno može usmjeriti zlonamjerni sadržaj prema meti bez složenih podešavanja.

Dillon također napominje kako zlonamjerni ransomware program WannaCry koristi složenije procese šifriranja što uvelike otežava razvitak univerzalnog ključa za dešifriranje podataka na pogođenim uređajima.

Vezano uz kampanju širenja ransomware zlonamjernog programa "WannaCry", Nacionalni CERT niže donosi proaktivne i reaktivne mjere koje se mogu poduzeti te kako postupati u slučaju infekcije spomenutim zlonamjernim programom. Napominjemo da su ugrožene sve inačice Windows operativnih sustava na kojima nisu instalirane sigurnosne zakrpe s današnjim danom.

Prokativne mjere zaštite za "WannaCry" ransomware:

• Ažuriranje Microsoft operativnog sustava sa zakrpom izdanoj u Microsoft preporuci oznake MS17-010 u ožujku ove godine
• Ažuriranje onih Microsoft operativnih sustava za koje više službeno ne pruža podršku, a radi se o Windows XP, Windows 8 i Windows Server 2003. Zakrpe su dostupne na sljedećoj poveznici u odjeljku "Further resources:" https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
• Ažuriranje web preglednika zadnjom dostupnom inačicom
• Ažuriranje antivirusnog i anti-malware alata 
• Onemogućavanje SMBv1 protokola s koracima dokumentiranima na članku Microsoft Knowledge Base Article 2696547
• Razmotriti blokiranje dolaznog SMB prometa prema portu 445 i 139 na usmjerivaču ili vatrozidu
• Kontrolirati sve dolazne izvršne datoteke preko Web/Proxy infrastrukture
• Pokušati ustanoviti koji sustavi u internoj mreži mogu biti podložni na napad te ih izolirati, ažurirati i/ili isključiti
• Izdvojiti ili isključiti iz mreže one sustave koji nemaju dostupnu podršku ili zakrpe. Kao dodatna opcija, postoji javno objavljeni alat koji može blokirati izvršavanje zlonamjernog programa na ranjivom sustavu
• Oprezno postupati sa svim sumnjivim porukama iz pretinca elektroničke pošte koja sadrže potencijalno zlonamjerni privitak ili URL u tekstu poruke
• Upozoriti sve djelatnike u tvrtki na pažljivo postupanje s e-mail porukama
• Provjeriti status sustava za pohranu sigurnosnih kopija podataka te integritet sigurnosnih kopija podataka
• Ograničiti međusobni pristup portovima ako je uključena zaštita za krajnje korisnike interneta (eng. endpoint protection)

Reaktivne mjere

• Plaćanje otkupnine se NE preporučuje! (nema garancije za povratom podataka) kao ni bilo kakav pokušaj kontaktiranja napadača
• Izolirati/ukloniti računalo s mreže (ne zaboraviti i na bežićnu povezanost), kako bi se spriječilo daljnje širenje zlonamjernog programa
• U slučaju infekcije računala i šifriranja podataka, preporuča se da se ti šifrirani podaci prvo sačuvaju prije uklanjanja zlonamjernog programa s računala, budući da postoji mogućnost da će ključ za dešifriranje u nekoj bližoj/daljnoj budućnosti biti dostupan, iako tomu nema garancije
• Preporuča se potpuno nova instalacija operativnog sustava ili povrat pohranjenih podataka iz sigurnosne kopije ako postoji (eng. backup) potom ažurirati operativni sustav zadnjim izdanim zakrpama

 Sigurnosne preporuke

• Općenito, najbolja zaštita od ovakvog oblika napada je učestala i pouzdana pohrana sigurnosnih kopija (eng. backup) te pohrana odvojeno od računala na kojem ih izrađujete
• Uređaj s pohranjenim sigurnosnim kopijama podataka (eng. backup) mora biti isključen iz mreže ili sustava s obzirom da ransomware pokušava šifrirati lokalne datoteke na tvrdom disku, prijenosnim medijima te povezane dijeljene mrežne direktorije

Više detalja o ovome možete pronaći na niže navedenim poveznicama.

Reference:

[1]http://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf

[2]https://circl.lu/pub/tr-41/

[3] https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

[4] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacksall-over-the-world/

[5] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[6] https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

[7] https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/

[8] https://support.kaspersky.com/shadowbrokers

[9] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targetsout-of-date-systems/

[10] https://intel.malwaretech.com/botnet/wcrypt

[11] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacryptattacks/

[12] https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

[13] https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccncert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html

[14] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

[15] https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

 Pojavio se novi oblik prijetnje na Internetu – ransomware „WannaCry“ (poznat i kao „Wana Decrypt0r“, „WannaCryptor“ ili „WCRY“). Ransomware iskorištava ranjivost SMB protokola („EternalBlue“) kako bi izvršio maliciozni kod nakon čega se šifriraju podaci na računalu te se od korisnika zahtjeva uplata kako bi dobio ključ za dešifriranje podataka.

Zaraza velikog broja računala u kratkom vremenu i brzo širenje ransomwarea omogućeno je korištenjem DoublePulsar backdoor alata koji je nedavno objavljen na internetu kao skup alata koje koristi NSA. Ugrožena su sva Windows korisnička računala na kojima nije instalirana zakrpa objavljena od strane Microsofta u ožujku (MS17-010).

Kako bi se korisnici zaštitili od ove prijetnje savjetuje se ažuriranje Windows operativnog sustava posljednjim izdanim zakrpama, odnosno minimalno instalacija zakrpe koje ispravlja ranjivost oznake MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). Također se savjetuje blokiranje dolaznih konekcija prema portovima 445 i 139, odnosno potpuno isključivanje SMBv1/CIFS protokola. Dodatno se preporučuje blokiranje konekcija prema TOR čvorovima, odnosno TOR promet kroz mrežu.

Sigurnosni stručnjaci otkrili su kako više od 20 prijenosnih računala i tableta tvrtke HP bilježi tipke koje korisnici odabiru. Uređaj potom tako prikupljene podatke pohranjuje u obliku nešifrirane datoteke. 

Propust je otkriven u pokretačkom programu tvrtke Conexant, proizvođaču audio opreme koja se koristi u HP uređajima. Jedna od sastavnica pokretačkog programa omogućava korisniku upravljanje njime putem posebno određenih tipaka, ali ispostavilo se kako ta sastavnica bilježi sve pritisnute tipke te ih pohranjuje na tvrdi diska računala.

Datoteka se najčešće nalazi u C:\Users\Public\MicTray.log i briše se prilikom svakog ponovnog pokretanja računala. Međutim, postoji niz načina pomoću kojih se datoteku na računalu može zadržati neizmijenjenu na duži period što predstavlja značajan sigurnosni rizik jer datoteka može sadržavati, između ostalog, i povjerljive informacije poput podataka za prijavu na razne servise poput te cjelokupne prepiske elektroničke pošte.

Informacije o propustu objavila je tvrtka modzero nakon što iste su bile slane na adrese proizvođača spornih uređaja, ali zbog nedovoljno brzog odgovora nadležnih službi, stručnjaci su iz tvrtke modzero objavili informacije o ranjivosti na svojim stranicama.

Kako biste otkrili je li Vaše računalo u rizičnoj skupini trebali biste utvrditi nalaze li se datoteke navedene u nastavku na Vašem računalu. U slučaju da je tako, modzero savjetuje da ih obrišete ili preimenujete kako biste spriječili pokretački program u bilježenju pritisnutih tipaka:

C:\Windows\System32\MicTray.exe
C:\Windows\System32\MicTray64.exe

Potpuni popis pogođenih računala nalazi se u nastavku: 

HP EliteBook 820 G3 Notebook PC

HP EliteBook 828 G3 Notebook PC

HP EliteBook 840 G3 Notebook PC

HP EliteBook 848 G3 Notebook PC

HP EliteBook 850 G3 Notebook PC

HP ProBook 640 G2 Notebook PC

HP ProBook 650 G2 Notebook PC

HP ProBook 645 G2 Notebook PC

HP ProBook 655 G2 Notebook PC

HP ProBook 450 G3 Notebook PC

HP ProBook 430 G3 Notebook PC

HP ProBook 440 G3 Notebook PC

HP ProBook 446 G3 Notebook PC

HP ProBook 470 G3 Notebook PC

HP ProBook 455 G3 Notebook PC

HP EliteBook 725 G3 Notebook PC

HP EliteBook 745 G3 Notebook PC

HP EliteBook 755 G3 Notebook PC

HP EliteBook 1030 G1 Notebook PC

HP ZBook 15u G3 Mobile Workstation

HP Elite x2 1012 G1 Tablet

HP Elite x2 1012 G1 with Travel Keyboard

HP Elite x2 1012 G1 Advanced Keyboard

HP EliteBook Folio 1040 G3 Notebook PC

HP ZBook 17 G3 Mobile Workstation

HP ZBook 15 G3 Mobile Workstation

HP ZBook Studio G3 Mobile Workstation

HP EliteBook Folio G1 Notebook PC

Microsoft je jučer iznenadno objavio nadogradnju kojom je otklonjena ranjivost koju su dva stručnjaka iz tvrtke Google otkrila u usluzi Microsoft Malware Protection Engine. Sigurnosni stručnjaci ovu su ranjivost opisali kao iznimno lošu te navode kako je upravo ova ranjivost jedna od najopasnijih u nedavnoj povijesti.

Navedena je ranjivost pronađena u usluzi Microsoft Malware Protection Engine koja je sastavni dio niza operacijskih sustava kao što su Windows 7, Windows 8.1, Windows 10 i Windows Server 2016. Također su pogođeni i sigurnosni alati tvrtke Microsoft kao što su:

Windows Defender
Microsoft Security Essentials
Microsoft Endpoint Protection
Microsoft System Center Endpoint Protection
Windows Intune Endpoint Protection
Microsoft Forefront Security for SharePoint Service Pack 3
Microsoft Forefront Endpoint Protection 2010

Prema riječima sigurnosnih stručnjaka, ova ranjivost može biti iskorištena na više načina te predstavlja značajan sigurnosni propust upravo zato što je sporna usluga sastavni dio svih nedavnih Windows operacijskih sustava.

Za razliku od prijašnjih slučajeva, Microsoft je veoma brzo djelovao i u rekordnom roku izbacio nadogradnju te savjetovao korisnicima da u svojim operacijskim sustavima uključe opciju Windows CFG (Control Flow Guard). Ovoj je ranjivosti dodijeljena oznaka CVE-2017-0290.

Zlonamjerna kampanja "The 'HoeflerText' font wasn't found" se vratila, ali za razliku od prijašnje inačice koja je ciljala preglednik Google Chrome te navodila korisnike da na računalo preuzmu zlonamjerni ransomware Spora, trenutna inačica cilja preglednik Mozilla Firefox te navodi korisnike na preuzimanje zlonamjernog sadržaja imena Zeus Panda.

Posebno je zanimljiva činjenica kako napadači nisu izmijenili naziv fonta (HoeflerText) već su zadržali naziv koji su koristili u prethodnoj kampanji što je sigurnosnim stručnjacima iz tvrtke Proofpoint omogućilo brzo otkrivanje.

Sam napad počinje porukom u pregledniku Mozilla Firefox u kojoj stoji kako font "HoeflerText" nije pronađen na uređaju ("The 'HoeflerText' font was not found") te kako se isti font može preuzeti putem poveznice dostavljene u poruci ("To fix the error and display the next, you have to update the 'Mozilla Font Pack'.").

Kada korisnik dostavljenoj poveznici pristupi, na korisnički uređaj počinje preuzimanje .zip datoteke u kojoj se nalazi zlonamjerni JavaScript kod. Tijekom preuzimanja zlonamjernog sadržaja na računalo, na zaslonu uređaja prikazuje se poruka u kojoj stoji kako korisnik mora pokrenuti JavaSript datoteku radi uspješne instalacije fonta koji nedostaje.

U trenutku kada korisnik pokrene JavaScript datoteku započinje preuzimanje zlonamjernog sadržaja Zeus Panda na računalo. Jednom kada zarazi sustav, Zeus Panda stupa u kontakt s C&C poslužiteljem te mu šalje podatke o zaraženom uređaju što, među ostalima, uključuje podatke o instaliranim antivirusnim programima.

Svrha je zlonamjernog sadržaja Zeus Panda krađa cijelog niza povjerljivih bankovnih podataka s uređaja korisnika, od Bitcoin razmjena do korisničkih računa za online klađenje.

Kako bi se zaštitili od ovakvih vrsta napada, korisnicima se savjetuje da preuzimanju sadržaja s interneta pristupaju s oprezom te da na računalu uvijek bude instalirana posljednja inačica antivirusnog programa.

Na vojnom poligonu "Gašinci" od 25. do 28. travnja 2017. godine provedena je združena državna vježba "PAUKOVA MREŽA 2017". U vježbi je, uz predstavnike Nacionalnog CERT-a, sudjelovalo osamdesetak pripadnika Oružanih snaga RH zajedno s predstavnicima Fakulteta organizacije i informatike iz Varaždina te Zavoda za sigurnost informacijskih sustava.

"PAUKOVA MREŽA 2017" prva je nacionalna vježba iz područja obrane od kibernetičkih napada na stacionarne i razmjestive komunikacijsko-informacijske sustave, a cilj je vježbe bilo uvježbavanje procesa donošenja odluka, tehničkih i operativnih procedura te razmjene informacija između sudionika vježbe u području obrane od kibernetičkih napada na stacionarne i razmjestive komunikacijsko-informacijske sustave. Ovom se vježbom testirala sposobnost sudionika za otkrivanje zloćudnih aktivnosti na komunikacijsko-informacijskim sustavima, provedba digitalne forenzike, ispitivanje funkcionalnosti zloćudnog koda, uklanjanje prijetnji i provedbu postupaka oporavka komunikacijsko-informacijskih sustava.

Predstavnici Nacionalnog CERT-a (CARNet) su uz predstavnike Fakulteta organizacije i informatike iz Varaždina te Zavoda za sigurnost informacijskih sustava imali ulogu napadača na komunikacijsko-informacijski sustav, a njihova je zadaća, između ostalog, uključivala pronalaženje ranjivosti i pogrešaka u konfiguraciji sustava i servisa, onemogućavanje rada sustava, zatim ovladavanje sustavom, krađu podataka i korištenje sustava za krajnje destruktivne akcije.

Nasuprot predstavnicima Nacionalnog CERT-a, Fakulteta organizacije i informatike iz Varaždina te Zavoda za sigurnost informacijskih sustava stajali su pripadnici Oružanih snaga RH čija je zadaća bila obraniti sustav od napada. Po završetku su svake aktivnosti planirane zajedničke raščlambe čija je osnovna zadaća bila ojačavanje sigurnosti komunikacijsko-informacijskih sustava koje koriste Oružane snage RH.

Vježba "PAUKOVA MREŽA 2017" od velikog je značaja za područje obrane od kibernetičkih napada zbog sve većih prijetnji što ih kibernetičko ratovanje nosi.

Sam se pojam kibernetičko ratovanje odnosi na upotrebu računala, interneta i drugih sredstava za pohranu ili širenje informacija za provođenje napada na protivničke informacijske sustave pomoću sredstava informatičke tehnologije. Kibernetičku bojišnicu pri ovoj vrsti ratovanja predstavljaju povezani komunikacijsko-informacijski sustavi. Granice bojišnice u ratovima ovakve vrste vrlo su diskutabilne i teško ih je odrediti, prepoznati i definirati.

Napadači mogu uz relativno malen napor značajno oštetiti infrastrukturu ili gospodarstvo protivničke države, pogotovo ako ta država u većoj mjeri koristi komunikacijsko-informacijske sustave u potpori poslovnih procesa. Kibernetičkim ratovanjem napadač može imati različite ciljeve, kao što su: informacijsko manipuliranje, širenje panike, oštećenje ili uništenje ključne infrastrukture (elektrane, komunikacijski sustavi, željeznice, cestovne signalizacije, banke itd.), a napadi mogu biti i sredstvo za prikupljanje informacija.

Google je u siječnju počeo prikazivati upozorenja u adresnoj traci web preglednika Chrome o nesigurnim web stranicama koje zahtijevaju unos lozinke ili podataka o kreditnoj kartici.

Stručnjaci iz Chrome Security tima tvrde da se broj posjećivanja HTTP stranica koje zahtijevaju unos povjerljivih informacija smanjio za 23% od inačice Chrome 56, a da u inačici 62 žele napraviti još veći pomak. Nova inačica očekuje se u listopadu ove godine, a njome će se sigurnosna upozorenja pojavljivati za unos bilo kojih podataka na HTTP stranicu, ali i za bilo koju HTTP stranicu otvorenu u anonimnom prozoru. Kao objašnjenje za ovakav postupak navode da lozinke i podaci o kreditnim karticama nisu jedini tipovi podataka koji bi trebali biti privatni, već ni jedan korisnički podatak ne bi trebao biti dostupan drugim korisnicima na mreži.

HTTP stranice šalju podatke u tekstualnom formatu od web pretraživača do poslužitelja, stoga prijenos tih podataka nije siguran. No svijest o zaštiti podataka sve više raste iako većina korisnika kod otvaranja anonimne kartice ima lažan dojam o privatnosti i sigurnosti. Stručnjaci naglašavaju da će Chrome postepeno stavljati sigurnosna upozorenja na sve HTTP stranice, bez obzira jesu li ili nisu otvorene u anonimnom prozoru.

Sve više web sjedišta svakodnevno koristi HTTPS protokol, a projekti poput "Let's encrypt" koji pružaju besplatne TLS certifikate velikim su djelom zaslužni za to.