Objevila se nová varianta známého ransomware Petya, která se šíří přes internet a využívá přitom zranitelnosti EternalBlue a EternalRomance v SMB stejně jako předtím WannaCry.

Byť tento ransomware zneužívá známých zranitelností, které měly být již dávno opraveny, tak přesto došlo k napadení mnoha velkých státních institucí i soukromých subjektů.

Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.

Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…

Cílem tohoto příspěvku je popsat, jak zjistit, co nejvíce zatěžuje CPU, zaplňuje RAM, intenzivně zapisuje na disk a komunikuje po síti.

Co nejvíce zatěžuje procesor a spotřebovává paměť, zjistíte celkem snadno ve správci úloh. Ten můžete vyvolat např. trojhmatem CTRL+SHIFT+ESC.

Ten se sice šíří již od února, a za tu dobu napadl již několik stovek tisíc počítačů ve stopadesáti různých státech po celém světě, takže některá média neváhají hovořit o pandemii.

Nejvíce napadených počítačů je v Rusku, více jak 70.000. V ostatních státech jdou počty napadených počítačů do tisíců, ale mnohem spíše do stovek, např. v Česku, takže nic zvláštního, co do počtu obětí zde byly mnohem větší útoky a nebyla jim věnována taková pozornost.

Lze jej velice obtížně detekovat, protože pokud je správně proveden, tak e-mail přichází od osoby, kterou dotyčný zná a od níž odpověď očekává.

Ne vždy se však útočníkovi podaří hacknout e-mailový účet odesílatele, a realizovat útok, tak jak byl popsán zde, a musí proto podvrhnout adresu odesílatele, čímž šance na odhalení roste. Ovšem moc se neradujte.

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycode k homografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

Došlo přesně k tomu, co jsme předpokládali a na co jsme upozorňovali již koncem ledna, tedy že se bude bankovní malware BankBot dál šířit.

Netrvalo to věru dlouho. A opět se ukázalo, že Google Bouncer anebo jak se ten nástroj na detekci malware teď jmenuje, není zdaleka schopen detekovat veškerý malware, který se na Google Play nachází.

Nyní přišla druhá fáze útoku, která navazuje na první fázi z února, a která vyvrcholila tím, že se útočníkům podařilo z několika bankomatů během jedné jediné noci vybrat 800 000 USD.

Na bankovních počítačích, z kterých byl příkaz k vydání hotovosti odeslán, se žádný malware nenašel a jedinou stopou tak byl log, ve kterém se nacházely jen dva záznamy: „Take the Money Bitch!“ a „Dispense Success.“

Kerberos je síťový autentizační protokol, založený na symetrické kryptografii, který umožňuje bezpečnou oboustrannou autentizaci přes nezabezpečenou síť a je odolný vůči odposlechu a přehrání zachycených zpráv.

Běžně se používá k autentizaci v sítích s Windows a UNIX a přístupu k dalším službám, které se v těchto sítích nacházejí.

Od vzniku chyby, jejího objevení, pokračujíc přes sepsání funkčního exploitu, jeho zveřejnění a aktivního zneužívání v kyberprostoru až po vznik workaroundu, aktualizace antimalware a uvolnění patche může uběhnout spousta času.

A je otázka, kdo tenhle souboj s časem nakonec vyhraje a kolik bude obětí a jaké budou škody.