Leden byl z hlediska počtu kybernetických incidentů průměrným měsícem. Téměř dvě třetiny lednových incidentů zasáhly veřejný sektor, útoky na něj patří v incidentech NÚKIB k těm nejčastějším. Veřejný sektor je obecně lákavým cílem pro útočníky, a to jak pro APT skupiny sponzorované cizími státy, tak kyberkriminální uskupení. V lednových incidentech se nejčastěji objevila technika, kterou MITRE ATT&CK nazývá „Exploit Public-Facing Application“.

V lednu 2022 NÚKIB poprvé od zveřejnění zranitelnosti Log4Shell zaznamenal incident, ve kterém její zneužití předcházelo ransomwarovému útoku. Útočníci objevili tuto zranitelnost v programu pro správu virtualizací jedné soukromé společnosti. Přes ni se jim podařilo proniknout do jejich systémů a tam spustit ransomware NightSky. Jedná se o nový ransomware, který se poprvé objevil v druhé polovině prosince, tedy chvíli po zveřejnění zranitelnosti Log4Shell. Leden byl nicméně z hlediska počtu kybernetických incidentů průměrným měsícem.

Závažnost řešených kybernetických incidentů

NÚKIB eviduje jeden z lednových incidentů jako velmi významný. Způsobila ho vadná komponenta v infrastruktuře postižené organizace, nicméně dopady byly natolik závažné, že incident dostal nejvyšší možnou významnost. Jednalo se o výpadek prvku kritické infrastruktury, který měl plošný dopad na celou zemi.

Klasifikace incidentů nahlášených NÚKIB

Lednové incidenty byly rozloženy do tří kategorií:

• Pět incidentů vyústilo v nedostupnost služeb. Ve dvou z těchto případů ovlivnil fungování organizací ransomware, který vedle dat zašifroval i zálohy obětí. Ve zbylých třech případech nedostupnost způsobila technická chyba;
• Druhou nejčastější kategorií byly se čtyřmi incidenty podvody, za kterými stály především phishingové kampaně ve státní správě. Jedním incidentem v této oblasti byl také finanční podvod v soukromé společnosti. Útočníci se neznámým způsobem dostali do e-mailové schránky uživatele zodpovědného za zasílání faktur obchodním partnerům a na fakturách změnili platební údaje. Podvržené číslo účtu následně poslali minimálně dvěma zahraničním firmám a tímto způsobem od nich dostali tisíce eur;
• Poslední dva incidenty NÚKIB klasifikoval jako průnik, jelikož se u nich útočníci dostali do sítí svých obětí skrze zneužití zranitelnosti, včetně zranitelnosti Log4Shell.

Trendy v kybernetické bezpečnosti za leden pohledem NÚKIB: Phishing, spear-phishing a sociální inženýrství Malware

NÚKIB na začátku roku evidoval dvě phishingové kampaně, které se dotkly českých veřejných institucí. V obou případech se útočníkům podařilo kompromitovat uživatelské účty a z nich rozesílat další phishing na různé domény, včetně dalších veřejných institucí. V jedné z kampaní útočník použil tzv. thread hijacking, kdy navázal na již existující komunikaci své oběti a zprávy se škodlivými odkazy poslal v odpovědi na tato vlákna. Napadené organizaci se podařilo situaci během 24 hodin od kompromitace vyřešit, ale v tuto chvíli nejsou informace o tom, kolik uživatelů z dalších organizací se následně nakazilo.

Technika měsíce: User Execution

V lednových incidentech se nejčastěji objevila technika, kterou MITRE ATT&CK nazývá „Exploit Public-Facing Application“ a která se pojí především se zneužíváním zranitelností a slabých míst v infrastruktuře vystavené do internetu.

Více informací najdete zde.

Zdroj: nukib.cz; JM