Národní úřad pro kybernetickou a informační bezpečnost

15. květen 2017

Ransomware se začal šířit během pátečního odpoledne a velmi rychle infikoval velké množství počítačů po celém světě. WannaCry je unikátní tím, že kromě standardního způsobu šíření (phishing) přidává i druhý způsob – zneužití SMB zranitelnosti ve Windows. Podporované systémy získaly opravu zranitelnosti během března (MS17-010). Microsoft navíc vydal mimořádnou aktualizaci i pro nepodporované systémy včetně Windows XP, Vista, Windows 8, Windows Server 2003 a 2008. Podrobný popis chování ransomwaru WannaCry můžete najít zde a zde. V případě detekce incidentu nás prosím kontaktujte na cert.incident@nukib.cz.

POSTIŽENÉ SYSTÉMY

Počítače s OS Microsoft Windows.

Ochrana proti běžnému šíření pomocí phishingu nebo spamu:

(o phishingu jsme psali podrobně zde)

Doručené podezřelé e-maily ignorujte.
Neklikejte na žádné odkazy v podezřelém nebo nevyžádaném e-mailu.
Neotevírejte podezřelé nebo nevyžádané přílohy e-mailu.
U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi jednotlivými přenosovými uzly atp.).
Pravidelně aktualizujte internetový prohlížeč, antivirový program a e-mailového klienta.
V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do zákaznického centra instituce.

Ochrana proti zneužití zranitelnosti:

Aktualizujte všechny Microsoft systémy, a to i včetně těch, kterým skončila oficiální podpora (i pro ně byla vydána záplata).
Pokud nelze systém aktualizovat, blokujte TCP a UDP porty 137, 138, 139 a 445.
Případně můžete SMB vypnout úplně. Podrobný návod zde.

CVE

CVE-‎2017-0144

ODKAZY

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://blog.kaspersky.com/wannacry-ransomware/16518/
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
https://www.govcert.cz/cs/informacni-servis/doporuceni/2325-phishing-stale-aktualni-hrozba/
https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Aktuality

Vydali jsme přehled kybernetických incidentů pohledem NÚKIB za březen 2024

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v březnu totožný počet incidentů jako uplynulý měsíc. Jednalo se tak již o pátý měsíc v řadě s podprůměrnými hodnotami evidovaných incidentů. Stejně jako v únoru byl zaznamenán i jeden významný kybernetický incident. Zbylých 17 incidentů pak spadalo do kategorie méně významných. I nadále v přehledu dominují incidenty spojené s dostupností. Evidovány byly také incidenty z kategorií Průnik a Informační bezpečnost a oproti únoru i Škodlivý kód.

V kapitole Zaměřeno na hrozbu se tentokrát věnujeme odhalení kompromitace nástroje XZ, který je využíván většinou operačních systémů Unix. Dosud neznámý aktér do něj v rámci komplexní a dlouholeté operace umístil backdoor s cílem získat přístup k vysokému počtu zařízení. V reakci na incident došlo k vydání řady varování, zejména ze strany firem distribuujících různé varianty systému Linux.

Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/vyzkum/Kyberneticke-incidenty-pohledem-NUKIB-brezen-2024.pdf

12.04.2024

Ransomware WannaCry

POSTIŽENÉ SYSTÉMY

Ochrana proti běžnému šíření pomocí phishingu nebo spamu:

Ochrana proti zneužití zranitelnosti:

CVE

ODKAZY