CERT RSS

Ransomware napadi su sve češći, a organizacije nisu sigurne kako se suočiti s takvom vrstom ugroze. Velik broj tvrtki bez razmišljanja plaća otkupninu napadačima, neovisno o svoti novca koju traže, ne bi li dobili svoje podatke natrag. Jedan od aktualnih ransomware napada je i napad na tvrtku Kaseya Limited koja razvija alate za upravljanje mrežom. Napad je izvršila skupina REvil aka Sodinokibi, u petak 02.07.2021. poslijepodne, a prema dosadašnjim informacijama ugroženo je preko 1000 poslovanja.

Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (engl. Cybersecurity and Infrastructure Security Agency, CISA) je objavila dokument za procjenu spremnosti na ransomware napade (engl. Ransomware Readiness Assessment, RRA), novi modul u sklopu alata za procjenu kibernetičke sigurnosti (engl. Cyber Security Evaluation Tool, CSET).

RRA je alat za samoprocjenu sigurnosnih revizija za organizacije koje žele razumjeti koliko su dobro opremljene za obranu i oporavak od ransomware napada usmjerenih na njihove informacijske ili operativne tehnologije te imovine industrijskih kontrolnih sustava. Ovaj modul je prilagođen kako bi procijenio različite razine spremnosti na ransomware prijetnje, a koristan je svim organizacijama bez obzira na njihovu zrelost u kibernetičkoj sigurnosti.

CISA spominje kako će RRA biti koristan u obrani od ove prijetnje jer efikasno:

• pomaže organizacijama da sistematično, disciplinirano i ponovljivo procjene stanje kibernetičke sigurnosti, s naglaskom na ransomware napade, prema priznatim standardima i preporukama najbolje prakse
• vodi vlasnike imovine i operatore kroz sustavni postupak za procjenu njihovih sigurnosnih praksi operativne, informacijske i mrežne tehnologije
• pruža nadzornu ploču analize s grafikonima i tablicama koji prikazuju rezultate procjene u sažetom, ali i detaljnom obliku

Za korištenje alata, prvo je potrebno instalirati CSET i pokrenuti aplikaciju te se prijaviti u nju. Zatim je potrebno započeti novu procjenu i odabrati model zrelosti (eng. Maturity Model) unutar konfiguracije procjene (eng. Assessment Configuration). Nakon toga odabirete procjenu spremnosti na ransomware napade (eng. Ransomware Readiness Assessment) u ekranu modela zrelosti (eng. Maturity Model). Sada ste spremni za dovršavanje RRA procjene. Za dodatne upute potrebno je ponoviti tutorial ili pročitati RRA vodič unutar Help izbornika.

CISA je prethodno objavila i alat Aviary, za pregled aktivnosti nakon kompromitacije u okruženjima Microsoft Azure Active Directory (AD), Office 365 (O365) i Microsoft 365 (M365). Aviary analizira izlazne podatke koji se generiraju pomoću Sparrow-a, PowerShell alata za otkrivanje potencijalno ugroženih aplikacija i korisničkih računa u Azure i Microsoft 365 okruženjima. Također, izdali su i CHIRP (eng. CISA Hunt and Incident Response Program), forenzički alat za prikupljanje podataka koji se temelji na Python programskom jeziku, a služi za otkrivanje znakova aktivnosti napadača na Windows sustavima koji iskorištavaju SolarWinds ranjivosti u napadu. 

Nacionalni CERT savjetuje da u slučaju zaraze ransomwareom ne plaćate otkupninu, iz razloga što se iz otkupnine financiraju zlonamjerne skupine, kojima se na taj način daje dodatni poticaj za nove napade. Također, plaćanje otkupnine ne garantira dobivanje ključa za dešifriranje podataka, a samim time ne garantira dobivanje podataka koje ste izgubili. Ista žrtva može pretrpiti i ponovne napade slične vrste, budući da je već prethodno plaćala otkupninu.

Dodatno o ransomware napadima možete pročitati na:

https://www.cert.hr/19795-2/ransomware/

https://www.cert.hr/31401/

The post CISA objavila alat za samoprocjenu sigurnosnih revizija protiv ransomware napada first appeared on CERT.hr.

Posljednjih nekoliko dana aktivne su phishing kampanje koje ciljaju korisnike u Hrvatskoj u kojima napadači žele ostvariti financijsku korist od svojih žrtava.   Phishing kampanja širi se porukama elektroničke pošte u kojima se napadač predstavlja kao banka. Na jezično neispravnom i pogrešnom hrvatskom jeziku korisnika se obavještava o navodnim sumnjivim pokušajima prijave na njihov bankovni račun. Napadači korisnika navode da potvrdi svoj identitet upisom imena i prezimena, broja kartice, datuma isteka kartice te sigurnosnog koda (CVV) kako ne bi “izgubio” svoj račun.   Nakon unosa traženih podataka korisnika se preusmjerava na lažnu stranicu za unos bankovnog tokena.     Na sličan način korisnika se navodi na odavanje financijskih podataka putem forme za preuzimanje pošiljke. Napadači putem poruka elektroničke pošte korisnika obavještavaju da mu je pristigao paket te da uplati manji iznos novca za dostavu. Sljedeću poveznicu za plaćanje od korisnika se traži unos podataka o kreditnoj kartici.   Nacionalni CERT poslao je više prijava izvorima napada (hosting provideru, stranom CERT-u, stranom SOC-u (Security Operations Team) te centru za suzbijanje phishing poruka) no Phishing URL-ovi su još uvijek aktivni.       Ponovno pozivamo korisnike da NIKAD ne odaju svoje financijske podatke, osobito ne broj kartice zajedno s CVV brojem. Vaši pružatelji usluga (banke, pošte, davatelji internet usluga) nikad vas neće tražiti upis osobnih podataka putem maila ili online formi. Dodatno, ako posumnjate u vjerodostojnost bilo kakve poruke – SMS, poruke elektroničke pošte ili telefonskog poziva – koristite druge komunikacijske kanale i provjerite radi li se možda o pokušaju prevare ili lažnog predstavljanja kako ne biste postali žrtva.       U nastavku se nalazi nekoliko indikatora kompromitacije. Pozivamo korisnike da ne otvaraju sumnjive poveznice.     hxxp://pbz-croatia[.]com/hr/logon.php hxxps://poc-rewards-program-c2dfc.web[.]app/homepage hxxps://posta-croatia[.]online/posta.hr/pagelowla.php
hxxps://www.tracking-hrvatskaposta[.]online/ 192.185.195[.]147
192.185.195[.]148

The post [UPOZORENJE] Aktivno nekoliko phishing kampanja first appeared on CERT.hr.

• Kategorije: SIM

WordPress je sustav za upravljanje sadržajem na webu (engl. Content Management System, CMS) koji je već dugo vremena najpopularniji takav sustav zbog čega je česta meta napadača. Neki od tih napada su veoma ozbiljni te za posljedicu mogu imati udaljeno izvršavanje programskog koda, otimanje korisničkih računa ili šifriranje poslužitelja. U ovom dokumentu možete pročitati o najčešćim prijetnjama i napadima prema WordPress stranicama kao i o mehanizmima kojima iste možete zaštititi.

The post Sigurnosni rizici WordPress CMS-a first appeared on CERT.hr.

Europske policijske snage su nakon više od tri mjeseca istrage uklonile zlonamjerni sadržaj Emotet sa svih zaraženih računala pomoću prilagođene DLL datoteke. DLL datoteka je vrsta tempirane bombe koja je aktivirana u nedjelju, 25. travnja i dovela je do samouništenja Emoteta. Kôd je distribuiran krajem siječnja računalima zaraženim Emotetom pomoću infrastrukture za nadzor i upravljanje, koja je zaplijenjena u višenacionalnoj policijskoj operaciji.

Do preuzimanja infrastrukture zlonamjerni sadržaj je kontrolirao više od milijun uređaja. Policijske snage su naknadno omogućile ažuriranje Emoteta koja dovodi do deinstalacije samog programa. Malwarebytes, tvrtka koja proizvodi antivirusne programe, je u nedjelju potvrdila da je ažurirana inačica Emoteta u potpunosti uklonjena.

EmotetLoader.dll je 32-bitna DLL datoteka koja je zadužena za uklanjanje zlonamjernog sadržaja sa svih zaraženih računala, uključujući servise, module i procese koji su povezani s Emotetom.

Emotet je bio naročito zloglasan zbog toga što se širio putem zlonamjernih privitaka u elektroničkoj pošti, a koristio se u mnoge zlonamjerne svrhe poput instalacija ransomware sadržaja i pokretanja kôda koji bi iscrpio bankovne račune žrtve. Preuzimanje infrastrukture i uništenje programa ključne su u sigurnom i čistom kibernetičkom prostoru, a također predstavljaju simboličnu i stratešku pobjedu.

Što se tiče zakonskih osnova kibernetičke sigurnosti, postoje mogućnosti kršenja zakona u pojedinim državama zbog toga što je zlonamjeran sadržaj uklonjen bez pristanka korisnika računala. Američko Ministarstvo pravosuđa koje je imalo ulogu u preuzimanju infrastrukture je još i siječnju izjavilo da su određena tijela u suradnji s FBI-jem zamijenila zlonamjerni sadržaj s datotekom koju su izradile policijske snage. Amerikanci, kao ni Nijemci i Nizozemci nisu preuzeli odgovornost za izvršavanje datoteke koja je ugasila Emotet. Naveli su kako su preusmjerili promet sa zaraženih računala u njihovoj nadležnosti prema sustavima za prikupljanje dokaza, kako bi onemogućili ponovnu uspostavu kontrole nad zaraženim računalima.

Što se tiče hrvatskog IP adresnog prostora, u prethodna tri mjeseca skoro dvije tisuće jedinstvenih IP adresa komuniciralo je s preuzetom infrastrukturom zlonamjernog sadržaja Emotet, ali od jučer su i preostala računala emotet-free.

Druge novosti povezane s Emotetom možete naći na:

https://www.cert.hr/uemo11022021/

https://www.cert.hr/EMOTET

https://www.cert.hr/euemo21/

The post Samouništenje Emoteta first appeared on CERT.hr.

Kako navodi Zavod za sigurnost informacijskih sustava, Microsoft je 13. travnja objavio redoviti skup zakrpi za travanj 2021. koje obuhvaćaju čak 19 kritičnih ranjivosti među kojima se četiri odnose na Microsoft Exchange poslužitelj. Navedene ranjivosti u Microsoft Exchange poslužitelju elektroničke pošte udaljenom napadaču omogućuju izvođenje programskog koda u kontekstu administratora poslužitelja.

Većina zakrpi za ranjivosti se odnosi na sve inačice trenutno podržanih Microsoft Windows operacijskih sustava te stoga preporučujemo svim korisnicima da primijene redoviti skup zakrpi za travanj 2021. (April 2021 Security Updates) prije svega na Microsoft Exchange poslužitelje i druge Windows poslužitelje, a potom i na korisnička Windows računala.

Više o samim ranjivostima i cjeloviti popis zakrpanih ranjivosti možete pronaći na sljedećim poveznicama:

· https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/

· https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr

· https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

· https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2021-patch-tuesday-fixes-108-flaws-5-zero-days/

The post Ranjivosti u sklopu poslužitelja elektroničke pošte Microsoft Exchange first appeared on CERT.hr.