Kybernetické hrozby – 2021-10-01


Seznam důležitých kybernetických hrozeb a událostí za období 29. 9. – 5. 10. 2021.


Název:                 Conti ransomware group se v rámci útoku zaměřuje na ničení backupů

Technologie:     –

Důležitost:          Střední

CVE:                     –

Popis:                  Hackerská skupina Conti se specializuje na ransomeware útoky. V případech z posledního roku je vidět jejich zaměření na zničení záloh v průběhu útoku a zároveň je známo, že najímají Backup specialisty (v současné době především se znalostí Veeam Backup). Po získání přístupu do cílové sítě (typicky pomocí phishingu, sociálního inženýrství, kompromitace VPN) typicky dochází k instalaci Cobalt Strike Beacon (pen-tester software) a Atera (remote management). Potom se zaměří na vyhledání účtů s privilegii pro operace s backup softwarem. Následuje exfiltrace dat z backupů a jejich manuální odstranění a zablokování.
Doporučený postup posílení bezpečnosti podle AdvIntel:

  • To prevent the attack initiations, employee training and email security protocols should be implemented. Conti uses very developed social-engineering techniques in order to convince the victim employees that the targeted emails are legitimate.
  • Sometimes Conti uses corporate VPN compromise and TrickBot delivery as an alternative means for attack initiation. Tracking externally exposed endpoints is therefore critical.
  • To prevent lateral movement, network-hierarchy protocols should be implemented with network segregation and decentralization.
  • Audit and/or block command-line interpreters by using whitelisting tools, like AppLocker or Software Restriction Policies, with the focus on any suspicious “curl” command and unauthorized “.msi” installer scripts — particularly those from C:\ProgramData and C:\Temp directory.
  • Rclone and other data-exfiltration command-line interface activities can be captured through proper logging of process execution with command-line arguments.
  • Special security protocols, password updates and account-security measures for Veeam should be implemented to prevent Veeam account takeover. Enabled backups tremendously decrease Conti’s ransom demands and can likely lead to data recovery with zero payments to the Conti collective.

Doporučení:      Doporučuji se zaměřit hlavně na způsob zjištění instalace a využití neschválených administrátorských nástrojů

Zdroje:                https://threatpost.com/conti-ransomware-backups/175114/, https://www.advintel.io/post/backup-removal-solutions-from-conti-ransomware-with-love, https://unit42.paloaltonetworks.com/conti-ransomware-gang/ https://www.cobaltstrike.com/features,


Název:                 Aktualizace Zero-day zranitelností v Chrome

Technologie:     Google Chrome, MS Edge

Důležitost:          Vysoká

CVE:                     CVE-2021-37975, 37976

Popis:                  Jedná se o chyby, které umožňují neoprávněný přístup k informacím. Bližší informace budou zveřejněny po aktualizaci prohlížeče u většiny uživatelů. Obě zranitelnosti jsou aktuálně pod útokem.

Doporučení:      Prověřit aktualizaci Google Chrome na verzi 94.0.4606.71 nebo vyšší

Zdroje:                https://threatpost.com/google-emergency-update-chrome-zero-days/175266/, https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html