facebook LinkedIN LinkedIN - follow
Hlavní strana -> Zprávy
Aktuality -> Komunikace a sítě - 27. 2. 2020

Ze zbojníka vyděračem – ransomware RobbinHood

SophosSpolečnost Sophos zveřejnila varování před ransomwarovými útoky, u nichž bylo vůbec poprvé zaznamenáno, že útočníci využívají zranitelnost softwaru třetí strany (konkrétně ovladače) ke smazání bezpečnostních produktů, než spustí samotný ransomware. Jde o důkaz, že hrozba ransomwaru se nadále vyvíjí a napadení hrozí i počítačům, které jsou vybaveny bezpečnostním softwarem. Pokud tedy má být bezpečnostní strategie účinná, musí se tomuto přístupu kyberzločinců odpovídajícím způsobem přizpůsobit a zahrnovat různé úrovně, aby zachytily každou fázi útoku.



V minulém týdnu publikovali výzkumníci ze SophosLabs novou studii, ve které varují před nebezpečnou hrozbou ransomware RobbinHood. Ten zneužívá zranitelný ovladač na odstranění bezpečnostního softwaru, což ukazuje, jak mohou kyberútočníci využít zranitelnost software na počítačích obětí a překonat jeho ochranu bezpečnostním softwarem.

RobbinHood ransomware

Mark Loman, ze společnosti Sophos a jeden z hlavních autorů studie, k tomu uvedl následující:

„Ransomware RobbinHood využívá zranitelný i škodlivý ovladač, jehož jediným cílem je vyřadit z činnosti ochranu. Škodlivý ovladač neobsahuje nic jiného než útočný kód. Takže i když máte plně aktualizovaný počítač s Windows, bez známých zranitelností, ransomware jednu takovou útočníkům poskytne, aby mohli zlikvidovat vaši obranu ještě před tím, než začne samotný útok ransomwaru. Naše analýza dvou ransomwarových útoků ukazuje, jak rychle a nebezpečně se tato hrozba dále vyvíjí. Poprvé se setkáváme s tím, že ransomware přináší svůj legitimně podepsaný, i když zranitelný, ovladač od třetí stany, který převezme kontrolu nad zařízením a využije jej k deaktivaci instalovaného bezpečnostního softwaru, přičemž obchází funkce speciálně určené k zabránění v takové manipulaci. Zlikvidování ochrany otevírá malwaru cestu k nerušené instalaci a spuštění ransomwaru.“

Mark Loman
Mark Loman

Mark Loman doporučuje přístup, složený ze třech kroků: „Za prvé, protože dnešní ransomwarové útoky používají více technik a taktik, musí obránci nasadit řadu technologií, aby narušili co nejvíce stádií útoku, integrovat veřejný cloud do své bezpečnostní strategie a povolit důležité funkce, včetně ochrany proti neoprávněné manipulaci, v bezpečnostním softwaru svých koncových bodů. Pokud je to možné, doplňte i funkci threat intelligence a profesionální threat hunting.

Za druhé, nasaďte silná bezpečnostní opatření, jako jsou vícefaktorová autentikace, složitá hesla, omezená přístupová oprávnění, pravidelná instalace záplat a zálohování dat, a také zablokujte zranitelné služby vzdáleného přístupu. A v neposlední řadě investujte a pokračujte v investicích do bezpečnostních školení pro zaměstnance.“

Komentář ESETu k detekci Win32/Rootkit.Robin.A trojan (RobbinHood)

„Naše analýzy potvrzují, že klíčové je použití ovladače GDRV.SYS (nebo jiného obsahující zranitelnost CVE-2018-19320), který představuje zranitelné místo a umožňuje obejít ochranu operačního systému Windows v případě, že uživatel spustí takto škodlivý soubor. Tento škodlivý kód jsme zaznamenali v menším množství na území Číny a Spojených států. V České republice zatím nebyl tento druh malware detekován,“ doplňuje informace k aktuální hrozbě Miroslav Dvořák technický ředitel české pobočky ESET.

„Prevencí je používat aktuální verzi operačního systému Windows, spolehlivý bezpečnostní software a omezit administrátorský přístup pouze na uživatele, kteří jej skutečně potřebují,“ dodává Miroslav Dvořák technický ředitel české pobočky ESET.


 
  

- PR -

Modernizace IS je příležitost přehodnotit způsob práce

IT Systems 4/2025V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.

  

- PR -

Jak zajistit vzornou docházku u zaměstnanců v terénu?

Díky digitalizované evidenci do­cház­ky, která snižuje admi­ni­stra­tiv­ní zátěž personalistů a eliminuje nepoctivé praktiky zaměstnanců, můžete ušetřit až statisíce korun ročně. Pozdní příchody, dřívější odchody, půjčování kartiček nebo čipů, falešné přesčasy nebo evidence příchodu či odchodu na nesprávném místě — to vše se negativně projeví na výši vašich mzdových nákladů.