V piatok 16. apríla sa objavilo mimoriadne varovanie Národného bezpečnostného úrad pre firmy a inštitúcie pred intenzívnymi ransomware útokmi, ktoré sa sústredili na slovenské ciele. Takéto útoky majú pritom v posledných dňoch prebiehať častejšie v rámci celej strednej Európy.

Doplnené 21.apríla: 

Národné centrum kybernetickej bezpečnosti SK-CERT vydalo nové informácie a identifikátory v spojení s ransomware útokmi na slovenské ciele. Podľa dostupných informácií mali útočníci pri útokoch na Slovensku využiť ransomware rôznych druhov, najmä EKING/PHOBOS, pričom bol zaznamenaný aj ransomware Hakbit.

Centrum SK-CERT informovalo aj o rôznych formách útokov na jednotlivé ciele, ktoré sa líšili, no prevažne boli útoky realizované formou phishingu alebo zneužívali vzdialený prístup (Remote Desktop Protocol). Po útokoch mohlo dochádzať podľa SK-CERT aj k vypnutiu antivírusových systémov, ktoré sa tvárili ako funkčné, no ich funkcie boli vypnuté.

Zobraziť celú galériu (1)

Freepik (Úprava redakcie)

Útočníci pri ransomware útokoch mohli tiež šifrovať a odstraňovať súbory obetí, pričom mohli získať aj prístup k súborom dostupných v rovnakej sieti. Okrem toho mohli tiež šifrovať a odstraňovať lokálne údajové štruktúry, tzv. “shadow copies”. SK-CERT zverejnil aj prípony šifrovaných súborov, ktoré boli vo formátoch .eking, .eight, .CRYSTAL.

Zároveň však boli odhalené aj emailové adresy útočníkov, ktoré mohli byť využité pre kontaktovanie obetí. Národné centrum kybernetickej bezpečnosti zverejnilo nasledovný zoznam:

• maykeljakson@cock[.]li
• maykeljackson@cryptext[.]com
• angus_frankland@aol[.]com
• blair_lockyer@aol[.]com
• chocolate_muffin@tutanota[.]com
• john2wick@tuta[.]io
• kingkong2@tuta[.]io
• black_privat@tuta[.]io

SK-CERT ďalej upozorňuje, že v týchto ransomware útokoch sa kľúč pre dešifrovanie nenachádza pri infikovaní v počítači a odporúča pri spozorovanej vysokej záťaži procesora počítač vypnúť a odpojiť od siete. V prípade virtuálnych serverov je odporúčané vytvoriť snapshot so stavom aj obrazom pamäte a zariadenia v sieti izolovať.

Okrem toho vydalo SK-CERT aj ďalšie odporúčania, ktoré môžu pomôcť firmám a inštitúciám na Slovensku preventívne sa ochrániť alebo zmierniť dopad takýchto ransomware útokov:

• majte k dispozícii zálohy, preferovane v offline forme (cold stand-by)
• nikdy nezálohujte formou kopírovania dát na sieťový priečinok, ale využívajte zálohovací softvér, ktorý dáta z počítačov sám sťahuje
• na zálohovací softvér, virtualizačnú platformu a diskové úložiská nikdy neumožnite prihlásenie s doménovými účtami. Používajte na nich jedinečné heslá, ktoré nebudete mať uložené na pracovných staniciach
• nepublikujte služby ako RDP a/alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne
• uistite sa, že máte aplikované záplaty na nedávne zraniteľnosti MS Exchange a Fortinet, pred ktorými sme varovali:
  • https://www.sk-cert.sk/sk/kriticka-zranitelnost-v-microsoft-exchange-aktualizujte-co-najskor/index.html
  • https://www.sk-cert.sk/threat/sk-cert-bezpecnostne-varovanie-v20210406-02/index.html

Pôvodný článok:

Počas ransomware útokov bol zaznamenaný aj incident najvyššieho stupňa

NBÚ doteraz zverejnil viacero dôležitých informácií o zasiahnutých cieľoch, ktorými boli viaceré sektory informačných technológií vo verejnej správe, telekomunikáciách, energetike a inteligentnom priemysle. Podľa dostupných informácií, ktoré našej redakcii potvrdil aj hovorca úradu, bol medzi incidentmi aj najzávažnejší kybernetický bezpečnostný incident 3. stupňa.

Takýto incident môže mať dopad s potenciálnymi dôsledkami na prvky kritickej infraštruktúry štátu. Vplyv takéhoto incidentu však NBÚ na konkrétne prvky infraštruktúry štátu nepriblížil kvôli mlčanlivosti vyplývajúcej zo zákona.

Niektorí ľudia na Facebooku môžu byť „skromnosťou“ niektorých vyjadrení zo strany NBÚ nemilo prekvapení, avšak v takýchto prípadoch je úrad viazaným mlčanlivosťou a detailné informácie o prebiehajúcich útokoch a zraniteľnostiach verejnosti priblížiť nemôže z bezpečnostných dôvodov.

NBÚ tvrdí, že varovanie bolo opodstatnené

Z doterajších informácií teda vyplýva, že slovenské firmy a inštitúcie sa stali obeťami ransomware útokov, ktoré vážne narušili ich fungovanie. Pri takomto útoku dochádza k zašifrovaniu dát útočníkmi a následnému vydieraniu obetí. NBÚ preto v piatok varovalo, aby si spoločnosti zálohovali svoje systémy, čím by zmiernili dopad takéhoto útoku.

Hoci nie je presne známe, ktoré inštitúcie a firmy sa stali obeťami útokov, dopad na ich fungovanie je mimoriadne vážny. Podľa niektorých mohlo byť varovanie od NBÚ „prehnané“, naznačil to napríklad aj jeden z komentárov na Facebooku, ktorý hovoril o tom, že svojim statusom NBÚ „pácha škody“. Hovorca úradu Peter Habara pre redakciu FonTech.sk objasnil, že v žiadnom prípade nešlo o „prehnané“ alebo „škodlivé“ varovanie a takéto upozornenie malo svoje opodstatnenie.

Zobraziť celú galériu (1)

Freepik (Úprava redakcie)

Denne sú totižto zaznamenávané útoky z rôznych strán a podľa slov hovorcu NBÚ zaznamenáva aj menšie útoky, ktoré sú spojené napríklad s prelomením hesla v nejakom e-shope. Ransomware útok na slovenské ciele je však omnoho vážnejšou situáciou a vzhľadom na dopad a rozsah útokov (aj keď bližšie nešpecifikovaný) bolo preto potrebné takéto mimoriadne varovanie.

Informáciu pritom v krátkom čase zdieľala aj väčšina štátnych inštitúcií na stránkach Facebooku, vrátane ministerstva vnútra, polície a ďalších. Údajne však nešlo o tak zásadné škody, aké boli zaznamenané napríklad pri hackerských útokoch na fínsky parlament, inštitúcie EÚ či nedávno aj na pražský magistrát.

Štátne inštitúcie obeťami neboli, útoky však môžu pokračovať

Podľa doterajších informácií nebola obeťou ransomware útokov na Slovensku žiadna štátna inštitúcia, jednou z ďalších obetí však bola menšia obec, ktorá prišla o mesačné dáta, informuje TASR. To však nevylučuje možný pokus o útok na štátnu správu v budúcnosti.

„Napriek tomu, že verejná správa nebola primárnym cieľom včerajších útokov, je nutné aj tak dbať na kontinuálne zlepšovanie kybernetickej bezpečnosti a nepoľavovať v ostražitosti štátnych inštitúcií,“ upozornilo MIRRI.

Zobraziť celú galériu (1)

Freepik

V otázke na aktuálnu situáciu hovorca NBÚ pre FonTech.sk ďalej konštatoval, že takéto útoky môžu pokračovať a nemožno ich úplne vylúčiť. Úrad ďalej poskytuje „aktívnu asistenciu pri riešení konkrétnych incidentov“ a dostal aj „dobrovoľné hlásenia o kybernetických bezpečnostných incidentoch od ďalších subjektov“.

„Viacero prevádzkovateľov základnej služby (PZS) preventívne kontaktovalo Národné centrum kybernetickej bezpečnosti SK-CERT s požiadavkou na viac informácií technického charakteru, ktoré príslušníci centra obratom poskytli.

Časť PZS prešla v piatok do pohotovostného režimu. Národný bezpečnostný úrad sprístupní detaily incidentov na zasadnutí Bezpečnostnej rady SR,“ dodal vo svojom vyjadrení pre FonTech.sk hovorca NBÚ Peter Habara.

Náhoda alebo spojitosť?

Ďalšie konkrétnosti v spojení s týmito ransomware útokmi na Slovensku však nie sú kvôli spomenutej mlčanlivosti známe. Národné centrum kybernetickej bezpečnosti však ešte v rovnaký deň, teda 16. apríla, vydalo upozornenie pred novými zraniteľnosťami v implementáciách DNS, kvôli ktorým môže byť zneprístupnená služba DoS a útočník môže vykonať akýkoľvek kód.

NEPREHLIADNI
V ohrození môže byť aj Slovensko, varujú experti. Útok hackerov na železnice v Česku dvíha pre nás varovný prst

V dôsledku toho mohli vyvstať špekulácie, že tieto zraniteľnosti môžu byť spojené aj s ransomware útokmi. Redakcii FonTech.sk potvrdil overený a dôveryhodný zdroj oboznámený so situáciou, že varovanie zo strany SK-CERT „nebolo náhodné“, a teda, že môže (no nemusí) mať spojitosť aj so zraniteľnosťami, ktoré zneužili útočníci pri ransomware útokoch za uplynulé dni.

Kvôli citlivosti tejto situácie nebolo možné jednoznačne potvrdiť spojenie medzi zraniteľnosťami DNS implementácie a hackerskými útokmi v poslednom čase, no podľa našich informácií nie je takýto scenár nereálny. Utajované skutočnosti incidentov však budú ďalej skúmané na zasadnutí Bezpečnostnej rady SR, ktorá vyhodnotí aktuálnu bezpečnostnú situáciu.

Čítajte viac z kategórie: Cyber