Hlavní strana -> Zprávy
Aktuality -> Komunikace a sítě - 27. 2. 2020

Ze zbojníka vyděračem – ransomware RobbinHood

SophosSpolečnost Sophos zveřejnila varování před ransomwarovými útoky, u nichž bylo vůbec poprvé zaznamenáno, že útočníci využívají zranitelnost softwaru třetí strany (konkrétně ovladače) ke smazání bezpečnostních produktů, než spustí samotný ransomware. Jde o důkaz, že hrozba ransomwaru se nadále vyvíjí a napadení hrozí i počítačům, které jsou vybaveny bezpečnostním softwarem. Pokud tedy má být bezpečnostní strategie účinná, musí se tomuto přístupu kyberzločinců odpovídajícím způsobem přizpůsobit a zahrnovat různé úrovně, aby zachytily každou fázi útoku.



V minulém týdnu publikovali výzkumníci ze SophosLabs novou studii, ve které varují před nebezpečnou hrozbou ransomware RobbinHood. Ten zneužívá zranitelný ovladač na odstranění bezpečnostního softwaru, což ukazuje, jak mohou kyberútočníci využít zranitelnost software na počítačích obětí a překonat jeho ochranu bezpečnostním softwarem.

RobbinHood ransomware

Mark Loman, ze společnosti Sophos a jeden z hlavních autorů studie, k tomu uvedl následující:

„Ransomware RobbinHood využívá zranitelný i škodlivý ovladač, jehož jediným cílem je vyřadit z činnosti ochranu. Škodlivý ovladač neobsahuje nic jiného než útočný kód. Takže i když máte plně aktualizovaný počítač s Windows, bez známých zranitelností, ransomware jednu takovou útočníkům poskytne, aby mohli zlikvidovat vaši obranu ještě před tím, než začne samotný útok ransomwaru. Naše analýza dvou ransomwarových útoků ukazuje, jak rychle a nebezpečně se tato hrozba dále vyvíjí. Poprvé se setkáváme s tím, že ransomware přináší svůj legitimně podepsaný, i když zranitelný, ovladač od třetí stany, který převezme kontrolu nad zařízením a využije jej k deaktivaci instalovaného bezpečnostního softwaru, přičemž obchází funkce speciálně určené k zabránění v takové manipulaci. Zlikvidování ochrany otevírá malwaru cestu k nerušené instalaci a spuštění ransomwaru.“

Mark Loman
Mark Loman

Mark Loman doporučuje přístup, složený ze třech kroků: „Za prvé, protože dnešní ransomwarové útoky používají více technik a taktik, musí obránci nasadit řadu technologií, aby narušili co nejvíce stádií útoku, integrovat veřejný cloud do své bezpečnostní strategie a povolit důležité funkce, včetně ochrany proti neoprávněné manipulaci, v bezpečnostním softwaru svých koncových bodů. Pokud je to možné, doplňte i funkci threat intelligence a profesionální threat hunting.

Za druhé, nasaďte silná bezpečnostní opatření, jako jsou vícefaktorová autentikace, složitá hesla, omezená přístupová oprávnění, pravidelná instalace záplat a zálohování dat, a také zablokujte zranitelné služby vzdáleného přístupu. A v neposlední řadě investujte a pokračujte v investicích do bezpečnostních školení pro zaměstnance.“

Komentář ESETu k detekci Win32/Rootkit.Robin.A trojan (RobbinHood)

„Naše analýzy potvrzují, že klíčové je použití ovladače GDRV.SYS (nebo jiného obsahující zranitelnost CVE-2018-19320), který představuje zranitelné místo a umožňuje obejít ochranu operačního systému Windows v případě, že uživatel spustí takto škodlivý soubor. Tento škodlivý kód jsme zaznamenali v menším množství na území Číny a Spojených států. V České republice zatím nebyl tento druh malware detekován,“ doplňuje informace k aktuální hrozbě Miroslav Dvořák technický ředitel české pobočky ESET.

„Prevencí je používat aktuální verzi operačního systému Windows, spolehlivý bezpečnostní software a omezit administrátorský přístup pouze na uživatele, kteří jej skutečně potřebují,“ dodává Miroslav Dvořák technický ředitel české pobočky ESET.


 
  

- PR -

Čeští zaměstnanci už AI běžně používají,

ne vždy však bezpečným způsobem


Umělá inteligence se stává běžnou součástí pracovních procesů. Dokazují to lednová čísla ČSÚ, podle kterých 18 % českých podniků s více než 10 zaměstnanci používá AI. Nejčastěji ji využívají velké firmy, a to dokonce více než polovina z nich. Spolu s popularitou umělé inteligence však přichází i negativní fenomén tzv. shadow AI. Jedná se o firmou neschválené využívání AI nástrojů, které může vyústit až v únik firemních dat.

  

- PR -

Proč je EDITEL vaší nejlepší volbou pro povinnou e-Faktúru na Slovensku?

Od 1. ledna 2027 čeká slovenské plátce DPH povinná B2B e-fakturace ve strukturovaném formátu EN 16931 (UBL/Peppol BIS 3) s doručováním přes síť Peppol. EDITEL je na změnu připraven už dnes – nabízí certifikovaný Peppol Access Point, komplexní řešení včetně archivace a hladký přechod bez zbytečných komplikací, navíc s technickou podporou 24/7.