Kybernetické incidenty pohledem NÚKIB v říjnu 2021

NÚKIB v říjnu 2021 evidoval celkem 14 kybernetických incidentů, což znamená druhý nejvyšší počet za poslední rok. Nejvíce incidentů (30) bylo evidováno v březnu, přičemž průměr za uplynulý rok činí 12 útoků měsíčně. Většina z říjnových útoků však neměla vážné následky a podařilo se je rychle vyřešit.

Většina incidentů (6) vyústila v nedostupnost služeb. U poloviny organizací tuto nedostupnost způsobily DDoS útoky, za druhou polovinou stojí technické chyby na straně dotčených organizací. Vedle narušení dostupnosti NÚKIB dále řešil škodlivé kódy, které organizace objevily ve svých sítích, phishingové kampaně, při kterých došlo ke kompromitaci uživatelských účtů, a dva případy průniků, kdy podezřelé chování napadených systémů ukázalo na jejich kompromitaci. Jeden z incidentů pak NÚKIB eviduje jako narušení informační bezpečnosti. Jednalo se o ransomwarový útok na českou společnost. Útočníkům se pravděpodobně podařilo exfiltrovat data společnosti, jelikož vyhrožovali jejich zveřejněním.

Phishing, spear-phishing a sociální inženýrství

Podobně jako v předchozím měsíci NÚKIB v říjnu řešil phishingové kampaně. Dva povinné subjekty dle zákona o kybernetické bezpečnosti v říjnu odhalily kompromitované e-mailové účty svých uživatelů, kteří po prokliku z phishingové zprávy zadali přihlašovací údaje do falešného formuláře. Útočníci z jejich účtů dále rozesílali phishingové e-maily a snažili se tak proniknout do dalších organizací.

Zranitelnosti

NÚKIB se v říjnu aktivně zabýval novou zranitelností CVE- 2021-41773, která cílí na Apache HTTP Server. Ten je jedním z globálně nejvíce používaných webových serverů v prostředích Windows i Unix. Zneužití zranitelnosti umožňuje útočníkovi instalovat malware, kontrolovat systém a stahovat přihlašovací údaje.

NÚKIB o této zranitelnosti sice neinformoval veřejně na svých stránkách, ale upozornil povinné subjekty, jejichž servery byly zranitelné, a poslal jim doporučení pro řešení situace.

Malware

V říjnových incidentech se objevily tři škodlivé kódy – Dridex, RemCom a jeden coinminer.
První z nich, Dridex, NÚKIB objevil v rámci vlastního šetření na serverech jedné české společnosti, kde malware hostoval svou C2 infrastrukturu. Dridex může mít několik funkcionalit. Může detekovat bankovní aplikace, získávat k nim přihlašovací údaje, stahovat další škodlivé kódy nebo zaznamenávat úhozy na klávesnici. Kyberbezpečností společnosti Dridex připisují skupině známé jako Evil Corp, která cílí na organizace napříč sektory. V posledních dvou měsících aktivita spojená s malwarem Dridex roste.

Ransomware

NÚKIB v říjnu řešil jeden případ ransomwaru. Jednalo se o ransomware LockBit, který zašifroval část infrastruktury soukromé společnosti a na svých stránkách vyhrožoval zveřejněním jejích dat.

LockBit je ransomware poskytovaný jako služba (RaaS). Podle dat RansomWatch se jedná o velmi rozšířený kód. V roce 2021 je zatím druhým nejrozšířenějším ransomwarem, který napadá organizace po celém světě.

Útoky na dostupnost

Oproti minulému měsíci, kdy ve statistikách NÚKIB nebyl žádný DoS nebo DDoS útok, se v říjnu objevily tři. Žádný z nich ale neměl vážné dopady. Všechny ovlivnily dostupnost služeb maximálně do 15 min a napadené organizace se s nimi vypořádaly pomocí vlastních prostředků.