- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 356 zobrazení
V březnu byl evidován totožný počet incidentů jako uplynulý měsíc. Jednalo se tak již o pátý měsíc v řadě s podprůměrnými hodnotami evidovaných incidentů. Stejně jako v únoru byl zaznamenán i jeden významný kybernetický incident. Zbylých 17 incidentů pak spadalo do kategorie méně významných.
I nadále v přehledu dominují incidenty spojené s dostupností. Evidovány byly také incidenty z kategorií Průnik a Informační bezpečnost a oproti únoru i Škodlivý kód.
Klasifikace incidentů nahlášených NÚKIB
Dlouhodobý trend dominance incidentů spojených s dostupností přetrvával také během března, kdy byla tato kategorie tvořena výhradně DDoS útoky.
NÚKIB dále řešil incidenty ve třech kategoriích:
- Dva incidenty spadají do kategorie Informační bezpečnost, přičemž v obou případech se jednalo o ransomwarové útoky. Jeden z útoků má na svědomí skupina LockBit 3.0, u druhého incidentu NÚKIB nedisponuje informacemi o útočníkovi.
- V rámci kategorie Průnik evidoval NÚKIB dva incidenty prolomení uživatelských účtů. Kompromitace však nevedla k úniku dat a incidenty nezpůsobily další dopady.
- Poslední kategorií byl Škodlivý kód, přesněji se jednalo o zneužití zranitelností v produktech Ivanti, které vedly ke kompromitaci VPN a následné exfiltraci dat subjektu.
Trendy v kybernetické bezpečnosti za březen pohledem NÚKIB
Phishing, spear-phishing a sociální inženýrství
NÚKIB v březnu zaregistroval pouze jeden incident, v rámci kterého byl prokazatelně využit phishing. Útočníkům se podařilo přimět oběť k vyplnění přihlašovacích údajů na podvodné stránce a poté zneužít tyto údaje pro přístup do dalších služeb.
Zranitelnosti
Během března NÚKIB nevydal žádné upozornění týkající se zranitelností. V rámci jednoho incidentu však došlo ke zneužití starší zranitelnosti v produktech Ivanti ke kompromitaci VPN a dalším škodlivým aktivitám. Zranitelnost, přesněji backdoor, v nástroji XZ však byla označena jako CVE-2024-3094 s nejvyšším hodnocením závažnosti 10.
Útoky na dostupnost
V průběhu února NÚKIB evidoval více než desítku DDoS útoků, které cílily převážně na státní instituce. Za třemi incidenty stála ruskojazyčná hacktivistická skupina, u zbytku útočník není znám.
Malware
V březnu podobně jako v uplynulých měsících probíhaly kontinuální aktivity v oblasti malwarové analýzy v souvislosti s některými dříve evidovanými incidenty.
Ransomware
V březnu byly evidovány dva případy incidentů spojených s ransomwarem. Jeden z nich má na svědomí skupina LockBit 3.0, u druhého incidentu NÚKIB nedisponuje informacemi o původcích útoku.
Zaměřeno na hrozbu: Kompromitace rozšířeného nástroje systémů na bázi Unix
V pátek 29. března 2024 detekoval vývojář společnosti Microsoft, že linuxový nástroj XZ (opensource nástroj pro kompresi dat) obsahuje úmyslně vložený backdoor. Útočníci měli na kompromitaci pracovat roky, přičemž backdoor se měl dostat i do produktů Debian a Fedora, což jsou jedny z největších distribucí systému Linux. S ohledem na komplexní povahu kampaně se jedná o jeden z nejlépe provedených útoků proti dodavatelskému řetězci.
XZ poskytuje bezeztrátovou kompresi dat na prakticky všech operačních systémech podobných operačnímu systému Unix, včetně systému Linux. Zranitelnost je označována jako CVE-2024-3094, přičemž na škále CVSS dostala kritickou a nejvyšší možnou hodnotu 10. Navzdory komplexnosti operace byl útok odhalen včas, jelikož nepronikl do stabilních, ale pouze testovacích verzí systémů. Škodlivý kód mohl v případě svého spuštění umožnit eventuální převzetí kontroly nad zařízením oběti.
Schéma funkce kompromitované knihovny XZ (větší rozlišení)
V reakci na incident vydala řada společností, včetně Microsoft a Red Hat, varování a doporučení degradovat operační systémy na poslední známou bezpečnou verzi. Obdobně varovala i americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA).
Původní článek: NÚKIB