Kybernetické incidenty SRPEN 2023

Shrnutí měsíce

V srpnu došlo k více než dvojnásobnému nárůstu registrovaných kybernetických in­cidentů oproti červenci. Tento nárůst byl ovlivněn další novou vlnou DDoS útoků vedených skupinou NoName057(16). Pře­vážná část těchto útoků mířila na stránky českých bank, jejichž nedostupnost mohla ovlivnit velkou část široké veřejnosti.

V kapitole Zaměřeno na hrozbu se věnu­jeme jednomu z aktuálně nejaktivnějších ransomwarových gangů LockBit. Dle zjištění experta Joe DiMaggia je fungování tohoto gangu v posledních měsících výrazně ovlivněno řadou interních problémů.

Jedním z nich mají být například problémy se zveřejňováním zcizených dat kvůli nedostačující infrastruktuře. Tato zjištění mj. napovídají, že zaplacení výkupného gangu LockBit se nemusí příliš vyplatit. NÚKIB přitom placení výkupného obecně nedoporučuje, a to z celé řady důvodů.

Počet kybernetických bezpečnostních incidentů nahlášených NÚKIB

V srpnu došlo k více než dvojnásobnému nárůstu registrovaných kybernetických incidentů oproti červenci. Tento nárůst byl ovlivněn další novou vlnou DDoS útoků vedených skupinou NoName057(16).

Závažnost řešených kybernetických incidentů

Ačkoli v srpnu i nadále převažovaly méně významné kybernetické incidenty, došlo k výraznému nárůstu incidentů významných. Sem spadaly zejména DDoS útoky na stránky českých bank, jejichž nedostupnost mohla ovlivnit velkou část široké veřejnosti.

Klasifikace incidentů nahlášených NÚKIB

V srpnu, podobně jako v uplynulých měsících, převažovaly incidenty spadající do kategorie omezení dostupnosti služeb, které tentokrát tvořily více než čtyři pětiny veškerých incidentů. Převážná část z nich byla způsobena DDoS útoky. 

Vedle toho NÚKIB řešil incidenty v těchto třech kategoriích:

• V rámci kategorie Informační bezpečnost byly evidovány dva ransomwarové útoky u neregulovaných sub­jektů.
• V srpnu došlo k jednomu případu průniku, kdy neznámý útočník kompromitoval účet uživatele na vybraném portálu a posléze na základě získaného přístupu prováděl další škodlivé aktivity.
• NÚKIB evidoval také jeden incident z kategorie pokus o průnik, jehož jediným potvrzeným dopadem byla dočasná nedostupnost služeb.

Dostupnost např. narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží Informační bezpečnost např. neautorizovaný přístup k datům, neautorizovaná změna informace Průnik např. kompromitace aplikace nebo uživatelského účtu Pokus o průnik např. pokus o zneužití zranitelnosti, pokus o přihlášení apod.

Trendy v kybernetické bezpečnosti za srpen pohledem NÚKIB

Phishing, spear-phishing a sociální inženýrství

NÚKIB v srpnu upozornil na vishingovou kampaň cílenou na širokou veřejnost. V rámci této kampaně se neznámí útočníci vydávající se za pracovníka banky snaží pod nátlakem a s odkazem na NÚKIB či jeho zaměstnance přinutit oběť k převodu finančních prostředků na „rezervní účet", aby se tak vyhnula fiktivní hrozbě odcizení těchto prostředků útočníkem.
NÚKIB vyzývá k maximální obezřetnosti a na svých stránkách zveřejnil doporučení, jak se podvodným telefonátům bránit.

Ransomware

NÚKIB během srpna evidoval celkem 2 ransomwarové útoky.   V   prvním   případě   byl   neregulovaný   subjekt napaden ransomwarem Cryptolocker, ve druhém případě nebyl použitý ransomware dosud identifikován.

Útoky na dostupnost

Již po několikáté v tomto roce provedla proruská hacktivistická skupina NoName057(16) sérii DDoS útoků na české subjekty. Hlavním cílem další vlny útoků, která proběhla na konci srpna, se tentokrát staly bankovní in­stituce. Více informací o skupině NoName057(16) lze nalézt v lednovém přehledu kybernetických incidentů.

Zaměřeno na hrozbu: Problémy ransomwarového gangu LockBit

Ransomwarový gang LockBit je aktuálně jedním z nejaktivnějších kyberkriminálních aktérů na světě. Funguje na bázi modelu ransomware jako služba (tzv. Ransomware-as-a-service, Raas), v rámci kte­rého nabízí ransomware svým společníkům (tzv. affiliates) za podíl na zisku z výkupného.

Ransomware LockBit se v různých variantách již několikrát objevil v rámci incidentů evidovaných NÚKIB a vzhledem k dosavadní úspěšnosti je pravděpodobné (55-70 %), že se některé české subjekty sta­nou cílem tohoto gangu i v budoucnu.

Ačkoli je LockBit často považován za velmi efektivního a poměrně sofistikovaného aktéra, kyberbezpečnostní expert Jon DiMaggio přišel s překvapivými zjištěními, které odhalují závažné interní pro­blémy tohoto gangu.

Jedním z nejvýznamnějších a pro oběti nejvíce relevantních zjištění je skutečnost, že LockBit má od začátku roku 2023 problémy se zveřejňováním zcizených dat. Podle DiMaggia nedostačující infrastruktura gangu vede k tomu, že LockBit často pouze oznámí zveřejnění dat na svých stránkách, aniž by data reálně zveřejnil. Daný stav pak spolu s některými dalšími interními problémy vede k tomu, že řada společníků gangu raději přechází ke konkurenci.

Kompletní verzi článku se všemi zjištěními týkajícími se gangu LockBit lze nalézt na stránkách společnosti Analystl.

Zdroj: analystl.com

Výše uvedená zjištění napovídají, že zaplacení výkupného gangu LockBit nemusí být příliš výhodné, jelikož má gang problém naplnit své hrozby. Navíc NÚKIB placení výkupného obecně nedoporučuje, a to z mnoha důvodů. Co se týče kybernetické bezpečnosti obecně, přispívá placení výkupného k posilování útočníků, a to jak po stránce finanční, tak po stránce sebevědomí spojeného s úspěchem útoku.

Úspěšné útoky mohou zvyšovat množství a intenzitu dalších útoků stejných i jiných útočníků a nelze vyloučit riziko opakovaného útoku na oběť, která výkupné již zaplatila. Dalším důvodem pro neplacení výkupného je pak také absence faktické záruky, že budou data po zaplacení dešifrována nebo že útočníci data posléze dále neprodají či nezveřejní.

NÚKIB v červnu 2023 vydal aktualizovanou verzi dokumentu, který uvádí nejen doporučení týkající se platby výkupného, ale zejména doporučení zahrnující preventivní a mitigační opatření proti ransomwaru.

Autor původního článku: NÚKIB