- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 617 zobrazení
Shrnutí měsíce
V srpnu došlo k více než dvojnásobnému nárůstu registrovaných kybernetických incidentů oproti červenci. Tento nárůst byl ovlivněn další novou vlnou DDoS útoků vedených skupinou NoName057(16). Převážná část těchto útoků mířila na stránky českých bank, jejichž nedostupnost mohla ovlivnit velkou část široké veřejnosti.
V kapitole Zaměřeno na hrozbu se věnujeme jednomu z aktuálně nejaktivnějších ransomwarových gangů LockBit. Dle zjištění experta Joe DiMaggia je fungování tohoto gangu v posledních měsících výrazně ovlivněno řadou interních problémů.
Jedním z nich mají být například problémy se zveřejňováním zcizených dat kvůli nedostačující infrastruktuře. Tato zjištění mj. napovídají, že zaplacení výkupného gangu LockBit se nemusí příliš vyplatit. NÚKIB přitom placení výkupného obecně nedoporučuje, a to z celé řady důvodů.
Počet kybernetických bezpečnostních incidentů nahlášených NÚKIB
V srpnu došlo k více než dvojnásobnému nárůstu registrovaných kybernetických incidentů oproti červenci. Tento nárůst byl ovlivněn další novou vlnou DDoS útoků vedených skupinou NoName057(16).
Závažnost řešených kybernetických incidentů
Ačkoli v srpnu i nadále převažovaly méně významné kybernetické incidenty, došlo k výraznému nárůstu incidentů významných. Sem spadaly zejména DDoS útoky na stránky českých bank, jejichž nedostupnost mohla ovlivnit velkou část široké veřejnosti.
Klasifikace incidentů nahlášených NÚKIB
V srpnu, podobně jako v uplynulých měsících, převažovaly incidenty spadající do kategorie omezení dostupnosti služeb, které tentokrát tvořily více než čtyři pětiny veškerých incidentů. Převážná část z nich byla způsobena DDoS útoky.
Vedle toho NÚKIB řešil incidenty v těchto třech kategoriích:
- V rámci kategorie Informační bezpečnost byly evidovány dva ransomwarové útoky u neregulovaných subjektů.
- V srpnu došlo k jednomu případu průniku, kdy neznámý útočník kompromitoval účet uživatele na vybraném portálu a posléze na základě získaného přístupu prováděl další škodlivé aktivity.
- NÚKIB evidoval také jeden incident z kategorie pokus o průnik, jehož jediným potvrzeným dopadem byla dočasná nedostupnost služeb.
Dostupnost Informační bezpečnost Průnik Pokus o průnik |
Trendy v kybernetické bezpečnosti za srpen pohledem NÚKIB
Phishing, spear-phishing a sociální inženýrství
NÚKIB v srpnu upozornil na vishingovou kampaň cílenou na širokou veřejnost. V rámci této kampaně se neznámí útočníci vydávající se za pracovníka banky snaží pod nátlakem a s odkazem na NÚKIB či jeho zaměstnance přinutit oběť k převodu finančních prostředků na „rezervní účet", aby se tak vyhnula fiktivní hrozbě odcizení těchto prostředků útočníkem.
NÚKIB vyzývá k maximální obezřetnosti a na svých stránkách zveřejnil doporučení, jak se podvodným telefonátům bránit.
Ransomware
NÚKIB během srpna evidoval celkem 2 ransomwarové útoky. V prvním případě byl neregulovaný subjekt napaden ransomwarem Cryptolocker, ve druhém případě nebyl použitý ransomware dosud identifikován.
Útoky na dostupnost
Již po několikáté v tomto roce provedla proruská hacktivistická skupina NoName057(16) sérii DDoS útoků na české subjekty. Hlavním cílem další vlny útoků, která proběhla na konci srpna, se tentokrát staly bankovní instituce. Více informací o skupině NoName057(16) lze nalézt v lednovém přehledu kybernetických incidentů.
Zaměřeno na hrozbu: Problémy ransomwarového gangu LockBit
Ransomwarový gang LockBit je aktuálně jedním z nejaktivnějších kyberkriminálních aktérů na světě. Funguje na bázi modelu ransomware jako služba (tzv. Ransomware-as-a-service, Raas), v rámci kterého nabízí ransomware svým společníkům (tzv. affiliates) za podíl na zisku z výkupného.
Ransomware LockBit se v různých variantách již několikrát objevil v rámci incidentů evidovaných NÚKIB a vzhledem k dosavadní úspěšnosti je pravděpodobné (55-70 %), že se některé české subjekty stanou cílem tohoto gangu i v budoucnu.
Ačkoli je LockBit často považován za velmi efektivního a poměrně sofistikovaného aktéra, kyberbezpečnostní expert Jon DiMaggio přišel s překvapivými zjištěními, které odhalují závažné interní problémy tohoto gangu.
Jedním z nejvýznamnějších a pro oběti nejvíce relevantních zjištění je skutečnost, že LockBit má od začátku roku 2023 problémy se zveřejňováním zcizených dat. Podle DiMaggia nedostačující infrastruktura gangu vede k tomu, že LockBit často pouze oznámí zveřejnění dat na svých stránkách, aniž by data reálně zveřejnil. Daný stav pak spolu s některými dalšími interními problémy vede k tomu, že řada společníků gangu raději přechází ke konkurenci.
Kompletní verzi článku se všemi zjištěními týkajícími se gangu LockBit lze nalézt na stránkách společnosti Analystl.
Zdroj: analystl.com
Výše uvedená zjištění napovídají, že zaplacení výkupného gangu LockBit nemusí být příliš výhodné, jelikož má gang problém naplnit své hrozby. Navíc NÚKIB placení výkupného obecně nedoporučuje, a to z mnoha důvodů. Co se týče kybernetické bezpečnosti obecně, přispívá placení výkupného k posilování útočníků, a to jak po stránce finanční, tak po stránce sebevědomí spojeného s úspěchem útoku.
Úspěšné útoky mohou zvyšovat množství a intenzitu dalších útoků stejných i jiných útočníků a nelze vyloučit riziko opakovaného útoku na oběť, která výkupné již zaplatila. Dalším důvodem pro neplacení výkupného je pak také absence faktické záruky, že budou data po zaplacení dešifrována nebo že útočníci data posléze dále neprodají či nezveřejní.
NÚKIB v červnu 2023 vydal aktualizovanou verzi dokumentu, který uvádí nejen doporučení týkající se platby výkupného, ale zejména doporučení zahrnující preventivní a mitigační opatření proti ransomwaru.
Autor původního článku: NÚKIB