Vítejte na bezpečnostní neděli – 8. Týden. náš týdenní přehled událostí ve světě kybernetické bezpečnosti (19. – 25. února 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Ransomwarovou skupinu LockBit rozbila celosvětová policejní operace

Britská Národní agentura pro boj proti trestné činnosti (NCA) v úterý potvrdila, že v rámci specializované operační skupiny nazvané Operace Cronos získala zdrojový kód skupiny LockBit a také množství zpravodajských informací týkajících se jejích aktivit a jejich poboček.

Agentura také oznámila zatčení dvou členů LockBitu v Polsku a na Ukrajině. Zmrazeno bylo více než 200 kryptoměnových účtů spojených s touto skupinou. V USA byla rovněž vynesena obvinění a sankce proti dalším dvěma ruským státním příslušníkům.

Artur Sungatov a Ivan Gennadijevič Kondratěv (známý také jako Bassterlord) byli podle amerického ministerstva spravedlnosti (DoJ) obviněni z nasazení systému LockBit proti mnoha obětem po USA.

Kondratyev byl rovněž obviněn ze tří trestných činů vyplývajících z použití varianty ransomwaru Sodinokibi, známé také jako REvil, k zašifrování dat, exfiltraci informací obětí.

NCA označil LockBit za „nejškodlivější skupinu kybernetického zločinu na světě“.

Agentura uvedla, že v rámci této akce převzala kontrolu nad službami společnosti LockBit. To zahrnuje administrační prostředí používané přidruženými společnostmi a veřejně přístupné stránky pro únik informací umístěné na darkwebu.

Kromě toho bylo také zabaveno 34 serverů a ze zabavených serverů bylo získáno více než 1 000 dešifrovacích klíčů.

Ministerstvo zahraničí USA vyhlásilo finanční odměnu ve výši až 15 milionů dolarů za informace, které by mohly vést k identifikaci klíčových vůdců skupiny LockBit a k zatčení všech osob podílejících se na této operaci.


Nový malware SSH-Snake krade klíče a šíří se po síti

SSH-Snake byl objeven výzkumným týmem Sysdig Threat Research Team (TRT), který jej popisuje jako „samomodifikujícího se červa“, který se od tradičních SSH červů odlišuje tím, že se vyhýbá vzorcům typickým pro skriptované útoky.

Červ hledá soukromé klíče na různých místech, včetně souborů s historií shellu, a používá je k nenápadnému šíření do nových systémů..

Výzkumníci ze společnosti Sysdig, která se zabývá cloudovým zabezpečením, však tvrdí, že SSH-Snake posouvá typický koncept laterálního pohybu na novou úroveň, protože je při hledání soukromých klíčů důslednější.

Výzkumníci dále uvádějí, že jednou ze zvláštností SSH-Snake je schopnost modifikovat se a zmenšovat se při prvním spuštění. Dělá to tak, že ze svého kódu odstraňuje komentáře a  nepotřebné funkce.

Funkčnost SSH-Snake byla potvrzena poté, co se objevili server C2 (Command and Control), který jeho provozovatelé používali k ukládání dat získaných červem, včetně přihlašovacích údajů a IP adres obětí.

Tato data vykazují známky aktivního využívání známých zranitelností Confluence (a možná i dalších chyb) pro počáteční přístup, což vedlo k nasazení červa na těchto koncových bodech.

Podle výzkumníků byl nástroj použit k útokům na přibližně 100 obětí.

Sysdig považuje SSH-Snake za „evoluční krok“, pokud jde o malware, protože se zaměřuje na bezpečnou metodu připojení, která je široce používána ve firemním prostředí.


FTC nařídí společnosti Avast zaplatit 16,5 milionu dolarů za prodej uživatelských dat

Americká Federální obchodní komise (FTC) nařídí společnosti Avast zaplatit 16,5 milionu dolarů a zakáže jí prodávat data o prohlížení webu uživatelů nebo je licencovat pro reklamní účely.

Ve stížnosti se uvádí, že společnost Avast porušila práva milionů spotřebitelů tím, že shromažďovala, ukládala a prodávala jejich údaje o prohlížení stránek bez jejich vědomí a souhlasu, přičemž je klamala, že produkty používané ke shromažďování jejich údajů budou blokovat sledování online.

“Ačkoli FTC běžně podává žaloby na ochranu soukromí proti firmám, které uvádějí nepravdivé informace o svých postupech v oblasti ochrany údajů, rozhodnutí společnosti Avast výslovně uvádět své produkty na trh jako produkty chránící záznamy o prohlížení a údaje před sledováním, jen aby tyto záznamy následně prodávala, je obzvláště zarážející,“ uvedla předsedkyně FTC Lina M. Khanová.

Objem údajů, které společnost Avast shromáždila, je navíc ohromující. Stížnost tvrdí, že do roku 2020 nashromáždili více než osm petabajtů dat.

FTC konkrétně uvádí, že společnost Avast Limited se sídlem ve Spojeném království shromažďovala informace o prohlížení webu spotřebitelů bez jejich vědomí a souhlasu pomocí rozšíření prohlížeče a antivirového softwaru Avast nejméně od roku 2014.


Signal zavádí uživatelská jména, aby zachoval soukromí telefonních čísel

Populární aplikace Signal uvedla, že pilotně zavádí novou funkci, která uživatelům umožňuje vytvářet jedinečná uživatelská jména a chránit tím jejich telefonní čísla.

„Pokud používáte službu Signal, vaše telefonní číslo již nebude ve výchozím nastavení viditelné pro všechny, s nimiž chatujete,“ uvedl Randall Sarafa ze společnosti Signal

Nastavení nového uživatelského jména vyžaduje, aby majitelé účtů uvedli na jeho konci dvě nebo více čísel. Uživatelská jména lze libovolně měnit. 

Uživatelské jméno je anonymní způsob, jak zahájit konverzaci na chatovací platformě, aniž byste museli sdílet telefonní čísla. Společnost Signal uvedla, že také podniká kroky k tomu, aby ve výchozím nastavení skryla telefonní čísla uživatelů před ostatními, kteří je nemají uložena v kontaktech svého telefonu.

Kromě toho mohou uživatelé pomocí dalšího nastavení kontrolovat, kdo je může podle jejich čísel vyhledat, a omezit tak lidi, kteří si s nimi mohou psát.


Kybernetický útok postihl lékárny po celé Americe

Lékárny po celých Spojených státech hlásí, že mají potíže s vydáváním receptů pacientům kvůli kybernetickému útoku na jednotku společnosti UnitedHealth.

Společnost ve čtvrteční zprávě pro regulační orgány uvedla, že její divize Change Healthcare, která zpracovává recepty na pojištění pro desítky tisíc lékáren po celé zemi, byla napadena hackery, kteří získali přístup do některých jejích systémů.

Například Námořní nemocnice v kalifornském Camp Pendletonu ve svém příspěvku na síti X uvedla, že nemohla zpracovat žádné recepty.

„Kvůli probíhajícímu celopodnikovému problému nemohou všechny lékárny v Camp Pendletonu a přidružené lékárny zpracovávat žádné žádosti o vystavení receptu,“ uvedla nemocnice. „V důsledku toho jsme v tuto chvíli schopni pomoci pouze pacientům s naléhavými a urgentními recepty od nemocničních poskytovatelů.“

Armádní nemocnice Evans v Coloradu ve svém příspěvku na Facebooku uvedla, že některé objednávky receptů budou zpožděny.

„Tento výpadek má dopad na výdej receptů v lékárně – výsledkem je zpoždění ve zpracování a v některých případech nemožnost zpracování,“ uvedla nemocnice. „Ovlivněno bylo také doplňování léků.“

American Hospital Association doporučila, aby si organizace využívající služby společnosti Change Healthcare připravily pohotovostní plány pro případ, že by výpadek trval delší dobu.


Až 97 000 serverů Microsoft Exchange může být zranitelných kritickou chybou

Až 97 000 serverů Microsoft Exchange může být zranitelných kritickou chybou zvýšení oprávnění označovanou jako CVE-2024-21410, kterou hackeři aktivně zneužívají.

Společnost Microsoft se touto chybou zabývala 13. února, kdy již byla zneužita jako zero-day. 

Bezpečnostní problém umožňuje vzdáleným neautentizovaným aktérům provádět útoky NTLM relay na servery Microsoft Exchange a zvyšovat svá oprávnění v systému.

Služba pro sledování hrozeb Shadowserver dnes oznámila, že její skenery identifikovaly přibližně 97 000 potenciálně zranitelných serverů.

Z celkového počtu 97 000 serverů byla u 28 500 serverů potvrzena zranitelnost CVE-2024-21410.

Nejvíce zasaženými zeměmi jsou Německo (22 903 případů), Spojené státy (19 434), Velká Británie (3 665), Francie (3 074), Rakousko (2 987), Rusko (2 771), Kanada (2 554) a Švýcarsko (2 119).

V současné době není k dispozici žádný veřejně dostupný proof-of-concept (PoC) exploit pro CVE-2024-21410, což poněkud omezuje počet útočníků, kteří tuto chybu při útocích využívají.

Pro řešení chyby CVE-2024-21410 se správcům systému doporučuje použít aktualizaci Exchange Server 2019 Cumulative Update 14 (CU14) vydanou během únorového záplatovacího úterý 2024.

Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) rovněž přidala CVE-2024-21410 do svého katalogu „Známé zneužívané zranitelnosti“ a dala federálním úřadům čas do 7. března 2024, aby aplikovaly dostupné aktualizace/opravy nebo přestaly produkt používat.

Zneužití chyby CVE-2024-21410 může mít pro organizaci závažné důsledky, protože útočníci se zvýšenými oprávněními serveru Exchange mohou získat přístup k důvěrným údajům a použít server pro další útoky v síti.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.