Kybernetické hrozby – 2020-09-03


Seznam důležitých kybernetických hrozeb a událostí za období 15. – 21. 9. 2020.


Název:                 Maze ransomware začal pro distribuci využívat virtuální stroje

Technologie:     –

Důležitost:          Vysoká

Popis:                  Pro distribuci Maze ransomewaru začali autoři využívat virtuální stroje. Vlastní virus je tak skrytý v souboru virtuálního disku (VDI), který je celý zabalený v distribučním balíčku MSI včetně staré verze nástroje VirtualBox hypervisor. Vlastní ransomeware pak eje provozován v rámci virtuálního stroje bez uživatelského rozhraní. Antimalware nástroje standardně nevidí do instalovaných virtuálních strojů a ransomwaru se tak daří uniknout včasné detekci. Zatím došlo ke dvěma útokům s využitím této technologie a v obou případech se nejdřív útočníci dostali do sítě a po několika dnech došlo k implementaci virtuálních strojů a vlastnímu útoku. Očekává se, že v budoucnu dojde k zautomatizování a většímu rozšíření tohoto způsobu distribuce škodlivého kódu.

Doporučení:      Důsledné omezení uživatelských práv na pracovních stanicích; definice podmínek nebo zákaz práce uživatelů na vlastní technice (HO; BYOD); posouzení aktuálních rizik

Zdroje:                https://threatpost.com/maze-ransomware-ragnar-locker-virtual-machine/159350/, https://news.sophos.com/en-us/2020/09/17/maze-attackers-adopt-ragnar-locker-virtual-machine-technique/


Název:                 Kritická aktualizace aplikací pro Synology DSM

Technologie:     Synology DSM

Důležitost:          Kritická (10)

Popis:                  Jedná se o aktualizace kritických chyb v rámci Synology DSM aplikací – konkrétně PhotoStation (umožňuje vzdálené spuštění škodlivého kódu) a Synology Directory Server (vzdálený útočník může obejít zabezpečení a zvýšit si oprávnění pomocí chyby v NetLogon protokolu).

Doporučení:      Provést mimořádnou aktualizaci komponent, pokud jsou na diskovém poli Synology instalované

Zdroje:                 https://www.synology.com/en-global/security/advisory, https://www.synology.com/en-global/security/advisory/Synology_SA_20_20, https://www.synology.com/en-global/security/advisory/Synology_SA_20_21


Název:                 Zneužívání QR kódů pro kybernetické útoky

Technologie:     Mobilní zařízení

Důležitost:          Vysoká

Popis:                  QR kódy jsou v současnosti velmi populární a stále častěji jsou zneužité pro kybernetické útoky. Důvodem je jejich časté využití pro distribuci různých manuálů, menu v restauracích apod., které šetří náklady za jejich tisk. Navíc v období koronavirové pandemie došlo statisticky ke zvýšení využití QR kódů o 47%. Uživatelé při použití QR kódu vůbec neuvažují o jeho možné škodlivosti. Nemají ani možnost ověřit, jestli je cíl QR kódu v pořádku a navíc očekávají, že telefon jim v tu chvíli zobrazí nějaké dotazy, na které automaticky odpovídají „OK“. Další problém je, že si neuvědomují, že je QR kód nemusí jen přesměrovat na nějakou URL, ale může spustit i aplikaci, která bude v telefonu pracovat podle práv, které jí přidělí (např. posbírat a odeslat data, provést platbu přes Apple Pay).

Doporučení:      Proškolení uživatelů na rizika spojená s QR kódy

Zdroje:                 https://threatpost.com/qr-codes-menu-security-concerns/159275/, https://www.mobileiron.com/en/resources-library/infographics/qr-codes-make-life-easier-yet-pose-significant-security-risks


Název:                 VMware vydal aktualizaci pro Workstation, Fusion a Horizon

Technologie:     VMware Workstation, Fusion a Horizon

Důležitost:          Kritická (8.8)

Popis:                  Zranitelnosti ve virtualizačních nástrojích umožňují útočníkovi eskalaci oprávnění a následné spuštění škodlivého kódu v kontextu hypervisoru.

Doporučení:      Aktualizace na poslední verzi nástroje

Zdroje:                 https://www.zerodayinitiative.com/advisories/ZDI-20-1177/, https://www.vmware.com/security/advisories/VMSA-2020-0020.html