CDR.cz - Vybráno z IT

SecUpdate: Ransomware útočí a my vám řekneme, jak vaše data ochránit!

Pokud jste zatím odolávali útokům ransomwaru, poradíme vám, jak zvýšit šanci, že tomu tak bude i nadále. Pomoc ale nezachrání například správce webů na Magentu. Podíváme se také na spor FBI a Applu, nový IoT malware a chybu v aplikaci TrueCaller.
nepřehlédněte

Bitdefender Anti-ransomware je nový nástroj společnosti Bitdefender, který vás ochrání před ransomwarem z rodiny Locky, CTB-Locker a TeslaCrypt. To jsou podle výzkumu [PDF] z minulého roku tři nejčastější druhy ransomwaru.

Nástroj nepomůže těm, kteří už jsou ransomwarem napadeni a mají zašifrované soubory. Pokud se ale chcete bránit, je Anti-ransomware jedna z možností, které vám pomohou proti aktuálně známým verzím a i jim podobným, které v budoucnu vzniknou. Využívá k tomu zranitelnosti v metodách šíření jednotlivých typů ransomwaru.

 

Ukázka GUI programu Bitdefender Anti-ransomware

Nástroj je zdarma ke stažení [EXE] přímo ze stránek společnosti Bitdefender.

Máte web na frameworku Magento? Dejte si pozor na ransomware!

U tématu ransomwaru zůstaneme a podíváme se na novinku, před kterou vás zmíněný nástroj neuchrání. Jedná se o ransomware pojmenovaný KimcilWare, který objevili výzkumníci z Malware Hunter Team a byl také popsán na blogu Bleeping Computer.

 

Ukázka zašifrovaných souborů v adresáři na webovém serveru

KimcilWare se pravděpodobně zaměřuje na webservery, které využívají framework Magento, jelikož zatím nebyla hlášená infekce z žádné jiné platformy. Podle výzkumníků může tento ransomware pravděpodobně zaútočit na jakoukoli PHP stránku.

Objevily se dvě varianty chování po infikování serveru. První zašifruje soubory, přidá jim příponu .kimcilware a v souboru index.html se zobrazí instrukce k platbě výkupného ve výši 140 dolarů. Ukázka instrukce je vidět na titulním obrázku tohoto článku.

Druhá varianta k zašifrovaným souborům přidá příponu .locked a požaduje za dešifrování platbu ve výši 1 Bitcoin. K informování uživatele nevyužívá soubor index.html, ale uvede informaci v souboru README_FOR_UNLOCK.txt, který vloží do každého adresáře.

Textový soubor obsahuje následující zprávu:

ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: 111111111111111111111111111111111
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.

Hope you enjoy ;)

Na rozdíl od útoku na počítač běžného uživatele může oběť v tomto případě utrpět velké ztráty díky nefunkčnímu webovému obchodu po dobu infekce a také získat pověst nezabezpečené stránky do budoucna. Možná právě to vedlo útočníka k výběru těchto cílů s vidinou vyššího počtu platících obětí.

Používáte TruCaller? Pokud nemáte aktuální verzi, vaše data jsou v ohrožení!

TruCaller je populární aplikace, která má sloužit k hledání a identifikaci telefonních čísel, jež nemáte v seznamu. Mimo to také dokáže blokovat příchozí hovory a SMS z čísel označených jako spamovací či telemarketingové. A to vše nabízí pro platformy Android, iOS, Windows, Symbian i BlackBerry.

Kdyby ale aplikace fungovala jak má, tak o ní my nepíšeme. Důvodem naší pozornosti je, že se výzkumníkům z Cheetah Mobile Security Research Lab podařilo ve variantě pro OS Android najít zranitelnost, která při počtu stažení přes 100 miliónů, může mít rozsáhlý dopad.

Problém spočívá v tom, že TrueCaller používá jako jediný identifikátor uživatele IMEI telefonu. Po počátečním vytvoření účtu, kde uživatel zadá telefon, email a také osobní detaily, se již do aplikace nemusí přihlašovat a ta ho rozpozná pouze na základě IMEI daného zařízení.

 

Profil uživatele služby TrueCaller

Kdokoli, komu se povedlo získat IMEI zařízení, mohl přistupovat k osobním informacím uživatele aplikace TrueCaller a měnit jeho nastavení.  Výzkumníkům se dokonce povedlo získávat osobní data uživatelů pomocí škodlivého kódu, který přímo komunikoval se servery TruCalleru.

Po úspěšném zneužití této zranitelnosti se útočník dostal k osobním informacím, jako jsou jméno, pohlaví, email, profilový obrázek, adresa a další. Mimo to může také upravovat uživatelské nastavení, vypnout blokování spamu a přidávat či mazat blacklisty uživatelů.

Poté, co byl TrueCaller o této zranitelnosti informován, vydal novou verzi aplikace, která zneužití zranitelnosti brání. Pokud jste zatím neaktualizovali, tak doporučujeme s tímto krokem neotálet i přesto, že TrueCaller na blogu uvádí, že zranitelnost neohrozila žádná data uživatelů.

Zápas FBI vs Apple u konce, FBI se k datům dostalo bez pomoci Applu

Před několika týdny jsme psali o soudním sporu společnosti Apple a FBI ohledně vytvoření backdooru pro přístup do telefonu teroristy z případu střelby v San Bernardino.

Nyní se vláda Spojených Států rozhodla zrušit výzvu požadující na společnost Apple, aby vytvořila zadní vrátka do zařízení. Nejdůležitější je ale důvod – Ministerstvo spravedlnosti ve svém rozhodnutí uvádí, že FBI se úspěšně dostalo k datům v telefonu jiným způsobem a dále nepotřebuje asistenci společnosti Apple.

Znamená to tedy, že cesta do našich iPhonů existuje a dokud ji nenajde a neopraví Apple, nezbývá než doufat, že na ni nepřijdou tvůrci malwaru.

Malware Remaiten tvoří botnety z routerů a IoT zařízení

Výzkumníci ze společnosti ESET objevili novou hrozbu pojmenovanou Remaiten která cílí na Internet of Things (IoT) zařízení pomocí kombinace dvou linuxových malwarů známých jako Tsunami a Gafgyt.

 

Zachycená uvítací zpráva odeslaná C&C serverem

Remaiten skenuje internet a hledá IoT zařízení, které akceptují telnetová spojení. K těm se poté snaží připojit a přihlašovací údaje generuje pomocí slovníkového útoku. Pokud je úspešný, spustí příkaz ke stažení dalších škodlivých binárek pro různé platformy a snaží se je spustit. Výzkumníci mimo jiné objevili zvláštnost u verze 2.0 a to, že v uvítací zprávě C&C serveru je zmíněn blog MalwareMustDie. Více detailů o tomto novém malwaru najdete na blogu společnosti ESET.

Jak na hacknutí profesionálního dronu se zařízením za 40 dolarů?

Na konferenci Black Hat Asia prezentoval bezpečnostní výzkumník z IBM Nils Rodday, který se zabývá bezpečností dronů. Ve své prezentaci upozornil na riziko zranitelností v rádiovém připojení, přes které je dron ovládán. Demonstroval, jak je jednoduše možné ovládnout drona v ceně téměř třiceti tisíc dolarů při investici do hardwaru menší než 40 dolarů.

 

Nils Rodday a hacknutý dron

Nils ve své starší prezentaci [PPT] odhaluje dvě nalezené zranitelnosti. První spočívá v použití WEP šifrování pro komunikaci mezi kontrolním modulem dronu a tabletem uživatele. Druhá zranitelnost je v čipech používaných ke komunikaci mezi dronem a telemetrickým modulem, kde se používá nezabezpečený protokol. Podle Nilse tyto čipy mají vestavěnou podporu šifrování, to se ale nepoužívá z důvodu maximálního snížení latence. Drony jsou tak náchylné na Man in the Middle útoky.

Další zprávy ze světa IT bezpečnosti v bodech:

Tagy: 

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Ransomware útočí a my vám řekneme, jak vaše data ochránit!

Úterý, 5 Duben 2016 - 21:40 | Psycho Mantis | ano, protože na internetu jsou jenom 3 rodiny...
Úterý, 5 Duben 2016 - 14:22 | Psycho Mantis | "Znamená to tedy, že cesta do našich iPhonů...
Pondělí, 4 Duben 2016 - 09:13 | SakraForte | "Bitdefender Anti-ransomware je nový nástroj...
Pondělí, 4 Duben 2016 - 08:13 | petr22 | Tak jsem to docetl do konce - porad ale nevidim,...

Zobrazit diskusi