Vítejte na bezpečnostní neděli – 11. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (11.03 – 17.03 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Ransomware StopCrypt: Evoluce úniku detekci

StopCrypt, obecně známý jako STOP Djvu, se stal jedním z nejrozšířenějších kmenů ransomwaru, ale v diskusích o kybernetických hrozbách se o něm často nemluví. Na rozdíl od známých ransomwarů, jako jsou LockBit, BlackCat a Clop, se StopCrypt zaměřuje především na jednotlivé uživatele, nikoli na firmy. Jeho cílem je získat mnoho malých výkupných v rozmezí od 400 do 1 000 dolarů namísto jedné velké platby. Distribuční kanály pro StopCrypt jsou různé, nejčastějšími vektory jsou malvertising a pochybné webové stránky distribuující adwarové balíčky maskované jako svobodný software, herní cheaty nebo cracknuté programy.

Nic netušící uživatelé, kteří se stanou obětí těchto schémat, však často zjistí, že jsou vedle jiného malwaru, jako jsou trojské koně kradoucí hesla, infikováni také programem StopCrypt. Modus operandi programu StopCrypt zůstává od jeho založení v roce 2018 poměrně konzistentní, přičemž nové iterace se obvykle zaměřují na řešení kritických problémů. Kdykoli se proto objeví nová verze, je třeba jí věnovat pozornost vzhledem k jejímu potenciálnímu dopadu na velké množství uživatelů. Nedávno tým společnosti SonicWall pro výzkum hrozeb odhalil v divočině novou variantu nástroje StopCrypt, nazvanou StopCrypt. Tato iterace využívá vícestupňový proces provádění, aby se zvýšilo její utajení a odolnost proti detekčním mechanismům. V počátečních fázích malware načte zdánlivě nesouvisející soubor DLL (msim32.dll), aby odlákal pozornost. Obsahuje časově zpožděné smyčky, které umožňují obejít bezpečnostní opatření založená na čase, což komplikuje detekci. Nástroj StopCrypt využívá dynamicky sestavená volání API k alokaci paměťového prostoru s oprávněními pro čtení/zápis a provádění, což ztěžuje jeho detekci. Dále využívá volání API k pořizování snímků běžících procesů, které poskytují přehled o provozním prostředí. Následně StopCrypt používá techniku process hollowing, při které si přivlastňuje legitimní procesy, aby mohl diskrétně spustit svůj payload v paměti. Tento proces zahrnuje pečlivou manipulaci s pamětí procesu a tokem řízení prostřednictvím volání API. Po úspěšném spuštění zahájí program StopCrypt akce, které zajistí trvalost, upraví seznamy řízení přístupu (ACL), aby zabránil uživatelům odstranit kritické soubory škodlivého softwaru, a vytvoří naplánované úlohy, které budou v pravidelných intervalech spouštět užitečné zatížení. Soubory zašifrované programem StopCrypt mají příponu „.msjd“, je však důležité poznamenat, že ransomware často mění přípony, aby se vyhnul detekci. Vývoj StopCryptu v sofistikovanější a nepolapitelnější hrozbu poukazuje na znepokojivý trend v kyberkriminalitě. I když jeho požadavky na výkupné nejsou nijak přehnané a nezabývá se krádežemi dat, rozsáhlé škody, které způsobuje jednotlivcům, mohou být značné.


GhostRace: nová zranitelnost procesoru vedoucí k úniku dat

Nedávný objev týmu výzkumníků odhalil novou zranitelnost úniku dat, která se týká moderních architektur procesorů podporujících spekulativní provádění. Tato zranitelnost, označovaná jako GhostRace (CVE-2024-2193), je variantou Spectre v1 (CVE-2017-5753) a využívá kombinaci spekulativního spouštění a závodních podmínek. GhostRace umožňuje útočníkům obejít běžné synchronizační primitivy implementované pomocí podmíněných větví a využít útoky na chybnou predikci větví k přeměně kritických oblastí bez závodů na spekulativní závodní podmínky (SRC). To útočníkům umožňuje získávat informace z cíle, jak upozornili výzkumníci ze Systems Security Research Group při IBM Research Europe a VUSec, kteří jsou známí tím, že v prosinci 2023 odhalili útok postranním kanálem SLAM zaměřený na moderní procesory.

Útoky Spectre, včetně útoku GhostRace, využívají spekulativního spouštění ke čtení privilegovaných dat v paměti a využívají chybných předpovědí, které zanechávají stopy v mezipaměti procesoru. Tyto útoky přimějí oběti ke spekulativnímu provádění operací, ke kterým by při striktně serializovaném zpracování nedošlo, čímž dojde k úniku důvěrných informací protivníkům skrytými kanály. Objevení zranitelností, jako je GhostRace, spolu se zranitelností Meltdown vyvolalo komplexní revizi architektury mikroprocesorů. Program MITRE Common Weakness Enumeration (CWE) nedávno přidal čtyři nové slabiny týkající se hardwarových mikroarchitektur, které vyplývají z přechodného spouštění, což ještě více zdůrazňuje význam těchto zjištění. GhostRace se vyznačuje tím, že umožňuje neautentifikovaným útočníkům získat libovolná data z procesorů pomocí závodních podmínek pro přístup ke spekulativním cestám spustitelného kódu. Toho je dosaženo pomocí spekulativního útoku SCUAF (Speculative Concurrent Use-After-Free), který využívá přechodně prováděné cesty pocházející z chybně spekulovaných větví.


Poskytovatel zdravotní péče ve Skotsku byl vystaven kybernetickému útoku.

Skotský poskytovatel zdravotní péče NHS Dumfries and Galloway v současné době čelí „cílenému a pokračujícímu kybernetickému útoku“, jak informoval deník Record. Organizace na incident rychle zareagovala podle zavedených protokolů a spolupracovala s partnerskými agenturami, jako je skotská policie, Národní centrum kybernetické bezpečnosti a skotská vláda. V důsledku této situace může dojít k narušení služeb. NHS Dumfries and Galloway rovněž připustila riziko, že hackeři mohou při průniku do systémů získat přístup ke značnému množství dat.


Člen ransomware skupiny LockBit odsouzen ke čtyřem letům vězení

Ransomware LockBit, který se zaměřil na více než 1 000 obětí a vylákal z nich miliony dolarů. V listopadu 2022 byl zadržen 33letý Michail Vasiljev, který žije v kanadském Ontariu, a byl obviněn ze spiknutí za účelem infikování počítačů ransomwarem a vydávání požadavků na výkupné. Minulý měsíc se přiznal k osmi bodům obžaloby týkajícím se kybernetického vydírání, záškodnictví a trestných činů se zbraněmi. Při razii ve Vasiljevově domě v Bradfordu v říjnu 2022 našly kanadské úřady usvědčující důkazy, včetně notebooku s přihlašovací obrazovkou ovládacího panelu LockBit a bitcoinové peněženky spojené s platbami výkupného. Kromě toho vyšetřovatelé objevili soubor s názvem „TARGETLIST“, který obsahoval potenciální nebo minulé cíle LockBitu spolu se snímky obrazovky a pokyny souvisejícími s ransomwarem.

LockBit, dříve známý jako „ABCD“, je aktivní přinejmenším od roku 2019 a stal se jedním z celosvětově nejrozšířenějších kmenů ransomwaru. Společnost LockBit, která funguje na modelu ransomwaru jako služby, poskytuje software a infrastrukturu přidruženým společnostem, které provádějí útoky, přičemž zisky se dělí mezi skupinu a její přidružené společnosti. FBI odhaduje, že LockBit vylákal od obětí po celém světě více než 120 milionů dolarů. Orgány činné v trestním řízení nedávno zasadily společnosti LockBit významnou ránu tím, že zabavily velkou část její serverové infrastruktury. Následné útoky však naznačují, že skupina je i nadále aktivní, což u pozorovatelů vyvolává obavy. Během vynesení rozsudku soudkyně Michelle Fuerstová označila Vasiljeva za „kyberteroristu“ a zdůraznila promyšlenost a vypočítavost jeho činů. Soudce zdůraznil, že Vasiljevovy zločiny zdaleka nebyly bez obětí a byly motivovány chamtivostí.


Narušení dat francouzské vládní agentury může mít dopad na 43 milionů lidí

Nedávné narušení francouzské státní agentury pro nezaměstnanost France Travail (dříve Pole Emploi) se mohlo dotknout až 43 milionů osob, jak tento týden odhalily úřady. Tke kybernetickému útoku došlo mezi 6. únorem a 5. březnem 2024 a jeho výsledkem byl neoprávněný přístup k osobním údajům a jejich krádež. Ohrožené informace zahrnují jména, data narození, čísla sociálního zabezpečení, identifikátory specifické pro jednotlivé agentury, e-mailové a poštovní adresy a telefonní čísla uchazečů o zaměstnání. Hesla ani finanční údaje naštěstí nebyly ohroženy. Společnost France Travail zveřejnila, že napadená databáze obsahovala záznamy o současných uchazečích o zaměstnání, osobách registrovaných u agentury v posledních dvou desetiletích a osobách, které si vytvořily účet na jejích internetových stránkách. Celkový počet postižených osob by mohl dosáhnout 43 milionů.

Probíhají snahy o informování postižených osob a jejich varování před možnými kybernetickými trestnými činy využívajícími ukradená data. Pachatelé útoku však zatím nebyli identifikováni a není jasné, zda za narušením nestojí nějaká skupina ransomwaru. Tento incident není prvním únikem dat, který se týká společnosti France Travail. V srpnu 2023 agentura oznámila samostatné narušení, které se týkalo přibližně 10 milionů osob.


Na instalace programů Notepad++ a VNote se zaměřují falešné škodlivé reklamy

Ve vyhledávačích, jako je Baidu, se objevily škodlivé reklamy zaměřené na čínské uživatele, kteří hledají originální software, jako je Notepad++ a VNote, což vedlo k distribuci trojských verzí softwaru a nasazení Geaconu, implementace Cobalt Strike založené na Golangu. Podle výzkumníka společnosti Kaspersky Sergeje Puzana se škodlivá stránka nalezená ve vyhledávači Notepad++ šíří prostřednictvím reklamního bloku. Pozorní uživatelé si při vstupu na web všimnou nápadné nesrovnalosti: na adrese webu je sice uvedeno „vnote“, ale v názvu je uvedeno, že je třeba stáhnout „Notepad–“ (alternativu k Notepadu++, která je rovněž k dispozici jako open-source software), přestože na zobrazeném obrázku je hrdě vyobrazen Notepad++. Ve skutečnosti balíčky stažené z tohoto zdroje obsahují „Notepad–„.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.