Seznam důležitých kybernetických hrozeb a událostí za období 15. – 21. 9. 2020.
Název: Maze ransomware začal pro distribuci využívat virtuální stroje
Technologie: –
Důležitost: Vysoká
Popis: Pro distribuci Maze ransomewaru začali autoři využívat virtuální stroje. Vlastní virus je tak skrytý v souboru virtuálního disku (VDI), který je celý zabalený v distribučním balíčku MSI včetně staré verze nástroje VirtualBox hypervisor. Vlastní ransomeware pak eje provozován v rámci virtuálního stroje bez uživatelského rozhraní. Antimalware nástroje standardně nevidí do instalovaných virtuálních strojů a ransomwaru se tak daří uniknout včasné detekci. Zatím došlo ke dvěma útokům s využitím této technologie a v obou případech se nejdřív útočníci dostali do sítě a po několika dnech došlo k implementaci virtuálních strojů a vlastnímu útoku. Očekává se, že v budoucnu dojde k zautomatizování a většímu rozšíření tohoto způsobu distribuce škodlivého kódu.
Doporučení: Důsledné omezení uživatelských práv na pracovních stanicích; definice podmínek nebo zákaz práce uživatelů na vlastní technice (HO; BYOD); posouzení aktuálních rizik
Zdroje: https://threatpost.com/maze-ransomware-ragnar-locker-virtual-machine/159350/, https://news.sophos.com/en-us/2020/09/17/maze-attackers-adopt-ragnar-locker-virtual-machine-technique/
Název: Kritická aktualizace aplikací pro Synology DSM
Technologie: Synology DSM
Důležitost: Kritická (10)
Popis: Jedná se o aktualizace kritických chyb v rámci Synology DSM aplikací – konkrétně PhotoStation (umožňuje vzdálené spuštění škodlivého kódu) a Synology Directory Server (vzdálený útočník může obejít zabezpečení a zvýšit si oprávnění pomocí chyby v NetLogon protokolu).
Doporučení: Provést mimořádnou aktualizaci komponent, pokud jsou na diskovém poli Synology instalované
Zdroje: https://www.synology.com/en-global/security/advisory, https://www.synology.com/en-global/security/advisory/Synology_SA_20_20, https://www.synology.com/en-global/security/advisory/Synology_SA_20_21
Název: Zneužívání QR kódů pro kybernetické útoky
Technologie: Mobilní zařízení
Důležitost: Vysoká
Popis: QR kódy jsou v současnosti velmi populární a stále častěji jsou zneužité pro kybernetické útoky. Důvodem je jejich časté využití pro distribuci různých manuálů, menu v restauracích apod., které šetří náklady za jejich tisk. Navíc v období koronavirové pandemie došlo statisticky ke zvýšení využití QR kódů o 47%. Uživatelé při použití QR kódu vůbec neuvažují o jeho možné škodlivosti. Nemají ani možnost ověřit, jestli je cíl QR kódu v pořádku a navíc očekávají, že telefon jim v tu chvíli zobrazí nějaké dotazy, na které automaticky odpovídají „OK“. Další problém je, že si neuvědomují, že je QR kód nemusí jen přesměrovat na nějakou URL, ale může spustit i aplikaci, která bude v telefonu pracovat podle práv, které jí přidělí (např. posbírat a odeslat data, provést platbu přes Apple Pay).
Doporučení: Proškolení uživatelů na rizika spojená s QR kódy
Zdroje: https://threatpost.com/qr-codes-menu-security-concerns/159275/, https://www.mobileiron.com/en/resources-library/infographics/qr-codes-make-life-easier-yet-pose-significant-security-risks
Název: VMware vydal aktualizaci pro Workstation, Fusion a Horizon
Technologie: VMware Workstation, Fusion a Horizon
Důležitost: Kritická (8.8)
Popis: Zranitelnosti ve virtualizačních nástrojích umožňují útočníkovi eskalaci oprávnění a následné spuštění škodlivého kódu v kontextu hypervisoru.
Doporučení: Aktualizace na poslední verzi nástroje
Zdroje: https://www.zerodayinitiative.com/advisories/ZDI-20-1177/, https://www.vmware.com/security/advisories/VMSA-2020-0020.html