Vývoj kybernetických hrozeb po invazi na Ukrajinu
02.03.2022
Vývoj kybernetických hrozeb po invazi na Ukrajinu

​​​​Ozbrojenému konfliktu na Ukrajině předcházely kybernetické útoky typu DDoS a útoky, které ochromily infrastrukturu pomocí malwaru. Shrnuli jsme pro vás aktuální situaci a nastínili možnosti jejího dalšího vývoje. 

Útoky DDoS probíhají tak, že útočník zahltí servery, které poskytují služby na internetu, obrovským množstvím požadavků, a znemožní tak jejich provoz. V poslední době proběhly podobné typy útoků jak na ukrajinskou, tak na ruskou infrastrukturu, a znemožnily provoz některých vládních stránek.

Pozor na klonované verze webů

V případě Ukrajiny se navíc objevil zcela nový malware, tzv. HermeticWiper, který maže vybrané části pevného disku, a tím znemožňuje start počítače. Tento malware byl na koncové počítače přenesen pomocí GPO, tedy centrálního nástroje pro konfiguraci doménové politiky. Lze předpokládat, že útočníci měli už předtím přístup na AD servery.

Nezávislé agentury Snorre Fagerland, Bellingcat a The Insider dále objevily webovou službu, která byla v minulosti využitá u kybernetických útoků podporujících ruské státní zájmy, a nalezli na ní klonované kopie řady ukrajinských vládních webových stránek. Klonovaná verze stránek ukrajinského prezidenta je upravena tak, aby obsahovala klikací kampaň ‚Podpoř prezidenta‘, která po kliknutí stáhne balíček malwaru přímo do počítače uživatele.

Co můžeme čekat v nejbližších dnech?

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v pátek 25. února 2022 doporučení ke snížení kybernetických hrozeb pro zdravotnická zařízení, které se vztahuje k útokům typu DDoS a ransomware.

Vedle toho se dají očekávat útoky hlavně na nejslabší články kybernetické infrastruktury, které jsou snadno napadnutelné a zároveň mediálně viditelné. Kromě zdravotnictví může jít zejména o státní a veřejnou správu a kritickou infrastrukturu. Cílem je zasažení nejenom konkrétních organizací, ale také podpora ruského narativu: Vaše státní úřady nejsou schopny ochránit českou společnost.

Jakým způsobem bude útočník postupovat?

Existuje několik velmi efektivních způsobů, jak může útočník malware do počítačů obětí doručit. Kromě sofistikovaných útoků na infrastrukturu, které využívají jak známé, tak i tzv. ZeroDay zranitelnosti, jde hlavně o útoky prostřednictvím uživatelů, především spear-phishing.


Další informace o tom, co je phishing a jak se proti němu bránit, najdete na tomto odkazu.



Typická témata spear-phishingových a e-mailových kampaní budou souviset s aktuálně probíhajícím rusko-ukrajinským konfliktem. Může jít například o:

  • Žádost o zdravotnický materiál se specifikací v příloze – ten mají momentálně české nemocnice skutečně zajistit.
  • V případě státní správy půjde o aktuální informace na toto téma s podrobnostmi v příloze – typicky prohlášení ministra daného resortu.

Další možné útoky

Aktuálně probíhají masivní vlny útoků na klienty bank, kde se kombinacemi metod sociálního inženýrství a phishingu (SMS nebo e-mailové zprávy) útočník snaží od zákazníka vylákat informace o přístupu k jeho bankovnímu účtu.

Dále se dají očekávat různé pokusy o zneužití humanitární a jiné pomoci Ukrajině, například stránky a odkazy s podvodnými sbírkami na pomoc uprchlíkům anebo ukrajinské armádě.



Upozorňujeme na zvýšené množství podvodných bankovních účtů, které se vydávají za legitimní.

Před odesláním transakce na pomoc postiženým válkou si nejprve důkladně ověřte, zda účet, na který peníze zasíláte,​ skutečně patří zamýšlenému příjemci.​

Některé banky aktuálně zavedly opatření, které nepovoluje finanční transakce prováděné z internetového bankovnictví na UA účty.




 

Karin Gubalová, AEC


Karin Gubalová
Head of Risk & Compliance Division
AEC a.s.

security is our DNA 

​​