Обавештења Архива 2017 Година

11. Децембар 2017

Ширење малициозног садржаја типа "Spider" (Ransomware)

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о ширењу новог типа малициозног ransomware садржаја, под називом "Spider".

Малициозни садржај "Spider" је први пут регистрован 10.12.2017. и претпоставка је да се ради о типу ransomware-a "File-Spider". Овај вид малициозног софтвера закључава целокупну датотеку на корисничком рачунару или мобилном уређају и, као и други познати облици ransomware малициозних садржаја, захтева откуп енкрипционих кључева, како би корисници поново могли да приступе инфицираним датотекама.

У овом тренутку је познато да овај тип малициозног садржаја стиже са имејл адресе office@adriadoo.com. Све до сада примљене поруке написане су на српском језику, послате под насловом ''Потраживање дуговања – ХХХХХХХ'' и потписане од стране наводног приватног извршитеља, Ивана Азељковића. У тексту поруке се наводи да се спроводи извршење одређеног решења Основног суда у Београду, са назначеним бројем рачуна на који је неопходно уплатити наведене износе. У захтеву се налази и напомена да је садржај информације приватног карактера и да је због тога креиран Microsoft Word документ који је прослеђен као прилог (attachment). Такође се наводи да је након отварања прилога неопходно омогућити едитовање документа, кликом на опцију "Enable Editing", а затим кликом омогућити и опцију "Enable Content", која се налази на командној линији.

Информације о овом типу малициозног софтвера су објављене и на друштвеним мрежама, уз помињање подручја Балкана, што је тачан податак, јер су исти напади извршени на територији Републике Српске и БиХ.

Препорука Националног ЦЕРТ-а Републике Србије је да корисници не отварају прилог из наведеног мејла, као и да редовно креирају резервне копије свих важних датотека на својим рачунарима и мобилним уређајима.

Уколико је рачунар инфициран, препоруке су следеће:

  • тренутно искључити инфицирани рачунар са локалне мреже,
  • обавестити Национални ЦЕРТ Републике Србије путем имејл адресе info@cert.rs,
  • НЕ ПЛАЋАТИ откуп енкриптованих кључева, јер корисницима није загарантовано да ће их добити, односно да ће њиховом применом бити омогућен поновни приступ инфицираним датотекама.
12. Октобар 2017

Рањивост протокола WPA2

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о откривеној рањивости протокола WPA2 (Wi-Fi Protected Access II).

На основу истраживања групе 'IMEC-DistriNet Research Group', откривен је висок степен рањивости протокола WPA2, који је задужен за заштиту саобраћаја ка Интернету бежичним путем (Wi-Fi). Злоупотребом те рањивости нападачи могу да преузму различите типове осетљивих података, као што су креденцијали корисника, лозинке, бројеви кредитних картица или банковних рачуна и слично.

У овом тренутку, нападима су највише изложени корисници који приступају заштићеним или незаштићеним јавним мрежама за бежични приступ Интернету (ресторани, кафеи, хотели, тржни центри, средства јавног превоза, културне или образовне установе и слично). Да би био у могућности да искористи рањивости протокола WPA2, нападач мора да буде у непосредној близини одређене приступне тачке, односно Wi-Fi-а,коју жели да злоупотреби. То значи да је могућ само напад на кориснике који у датом тренутку користе исти Wi-Fi који користи и нападач.

Приликом приступања одређеној Wi-Fi мрежи, извршава се део протокола WPA2 под називом "4-way handshake", који креира енкрипциони кључ за целокупан саобраћај који ће бити остварен у тој Wi-Fi мрежи. Како би могао да гарантује потпуну сигурност, креирани кључ би требало да буде инсталиран и употребљен само једном. Међутим, користећи KRACK (Key reinstallation attack), нападач може да превари уређај корисника тако што ће га навести да реинсталира већ инсталиран кључ. Захваљујући томе, нападач може преузети све корисникове осетљиве податке, па чак и испоручити малициозни софтвер са одређене странице на Интернету, уколико мрежна конфигурација то дозволи. Поред наведеног, нападач може да измени и подешавање протокола DHCP (Dynamic Host Configuration Protocol) и тако омогући злоупотребу DNS-a, односно упућивање корисника на злонамерне Интернет странице.

У овом тренутку, препорука Националног ЦЕРТ-а је да корисници примене препоручена ажурирања свих оперативних система, чим буду доступна. Као алтернативно решење, односно додатни ниво заштите, препоручује се коришћење VPN (Virtual Private Network) сервиса или других Интернет протокола који имају своју заштиту (HTTPSSecure Shell и слично).

Извори информација: 

https://www.krackattacks.com/

https://papers.mathyvanhoef.com/ccs2017.pdf

28. Јун 2017

Упозорење због ширења ransomware-а Petya

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ информише и упозорава све кориснике рачунара о брзом ширењу ransomware напада под називом Petya.

Овај малициозни софтвер који онемогућава приступ и коришћење података на рачунарима, представља претњу на глобалном нивоу и до сада је нанео штету рачунарским системима у великом броју земаља. Напад који се догодио је врло сличан нападу вируса WannaCry, који је причинио велику штету широм света у мају месецу ове године.

Саветујемо да корисници не отварају електронску пошту, односно имејл поруке и прилоге од пошиљаоца који нису познати. Ове мере предострожности важе и за непознате линкове на интернету, као и за “chat“ поруке. Препорука је да се уради ажурирање оперативног система, антивирусног софтвера, као и редовни “backup” свих важних података на рачунарима и тиме умање нежељени ефекти напада оваквог карактера. Поред хитног ажурирања, заштита се може извршити онемогућавањем SMBv1 протокола (Server Message Block) за дељење података, као и применом закрпе CVE-2017- 0199 (https://portal.msrc.microsoft.com/en-US/security-guidance) и блокирањем могућности за remote access нa WMI. Додатно се може блокирати и PSEXEC.EXE у циљу затварања 135 и 445 (TCP) портова.

Такође се саветује да се не плаћају наведени износи за „откуп“ фајлова, јер нападачи нису у могућности да врате податке, који су били изложени Petya вирусу. Овај ransomware за контакт користи адресу wowsmith12345@posteo.net (http://thehackernews.com/2017/06/petya-ransomware- attack.html)

24. Мај 2017

Потреба за константним мерама заштите у области информационе безбедности

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава све кориснике рачунара и мобилних уређаја да постоји константна потреба за спровођењем мера заштите у области информационе безбедности и опрез приликом приступа непознатим садржајима.

Претње за информациону безбедност су честе и једна од актуелних је рачунарски црв “EternalRocks” који се шири преко SMB (Server Message Block) протокола. За разлику од ransomware злонамерног програма “WannaCry”, овај црв нема имплементирану функцију "kill-switch" која би могла успорити његово ширење. Поред тога, користи чак 7 NSA алата.

Иако тренутно нема много забележених уређаја заражених “EternalRocks” црвом, ситуација се може брзо променити. Како још увек није позната основна сврха овог црва и садржај који оставља на зараженом рачунару, претпоставља се да је реч о припреми за покретање будућих злонамерних активности.

За детаљнију информацију упућујемо на CERT-EU документ.

13. Мај 2017

Упозорење због ширења ransomware-a -''WannaCry''

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији РАТЕЛ информише и упозорава све кориснике рачунара и мобилних уређаја, о брзом ширењу ransomware напада под називом „WannaCry”. Овај малициозни софтвер који онемогућава приступ и коришћење података на рачунарима је претња на глобалном нивоу и нанео је штету рачунарским системима у великом броју земаља.

Имајући у виду да је проблем присутан на Microsoft Windows системима, Национални ЦЕРТ препоручује свим корисницима ажурирање оперативног система како би била инсталирана сигурносна исправка MS17-010. Више информација и саопштење произвођача Microsoft је доступно на следећој локацији.

Архива