Obaveštenja Arhiva 2017 Godina

11. Decembar 2017

Širenje malicioznog sadržaja tipa "Spider" (Ransomware)

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava i upozorava sve korisnike računara i mobilnih uređaja o širenju novog tipa malicioznog ransomware sadržaja, pod nazivom "Spider".

Maliciozni sadržaj "Spider" je prvi put registrovan 10.12.2017. i pretpostavka je da se radi o tipu ransomware-a "File-Spider". Ovaj vid malicioznog softvera zaključava celokupnu datoteku na korisničkom računaru ili mobilnom uređaju i, kao i drugi poznati oblici ransomware malicioznih sadržaja, zahteva otkup dekripcionih ključeva, kako bi korisnici ponovo mogli da pristupe inficiranim datotekama.

U ovom trenutku je poznato da ovaj tip malicioznog sadržaja stiže sa imejl adrese office@adriadoo.com. Sve do sada primljene poruke napisane su na srpskom jeziku, poslate pod naslovom ''Potraživanje dugovanja – HHHHHHH'' i potpisane od strane navodnog privatnog izvršitelja, Ivana Azeljkovića. U tekstu poruke se navodi da se sprovodi izvršenje određenog rešenja Osnovnog suda u Beogradu, sa naznačenim brojem računa na koji je neophodno uplatiti navedene iznose. U zahtevu se nalazi i napomena da je sadržaj informacije privatnog karaktera i da je zbog toga kreiran Microsoft Word dokument koji je prosleđen kao prilog (attachment). Takođe se navodi da je nakon otvaranja priloga neophodno omogućiti editovanje dokumenta, klikom na opciju "Enable Editing", a zatim klikom omogućiti i opciju "Enable Content", koja se nalazi na komandnoj liniji.

Informacije o ovom tipu malicioznog softvera su objavljene i na društvenim mrežama, uz pominjanje područja Balkana, što je tačan podatak, jer su isti napadi izvršeni na teritoriji Republike Srpske i BiH.

Preporuka Nacionalnog CERT-a Republike Srbije je da korisnici ne otvaraju prilog iz navedenog mejla, kao i da redovno kreiraju rezervne kopije svih važnih datoteka na svojim računarima i mobilnim uređajima.

Ukoliko je računar inficiran, preporuke su sledeće:

  • trenutno isključiti inficirani računar sa lokalne mreže,
  • obavestiti Nacionalni CERT Republike Srbije putem imejl adrese info@cert.rs,
  • NE PLAĆATI otkup dekriptovanih ključeva, jer korisnicima nije zagarantovano da će ih dobiti, odnosno da će njihovom primenom biti omogućen ponovni pristup inficiranim datotekama.
12. Oktobar 2017

Ranjivost protokola WPA2

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava i upozorava sve korisnike računara i mobilnih uređaja o otkrivenoj ranjivosti protokola WPA2 (Wi-Fi Protected Access II).

Na osnovu istraživanja grupe 'IMEC-DistriNet Research Group', otkriven je visok stepen ranjivosti protokola WPA2, koji je zadužen za zaštitu saobraćaja ka Internetu bežičnim putem (Wi-Fi). Zloupotrebom te ranjivosti napadači mogu da preuzmu različite tipove osetljivih podataka, kao što su kredencijali korisnika, lozinke, brojevi kreditnih kartica ili bankovnih računa i slično.

U ovom trenutku, napadima su najviše izloženi korisnici koji pristupaju zaštićenim ili nezaštićenim javnim mrežama za bežični pristup Internetu (restorani, kafei, hoteli, tržni centri, sredstva javnog prevoza, kulturne ili obrazovne ustanove i slično). Da bi bio u mogućnosti da iskoristi ranjivosti protokola WPA2, napadač mora da bude u neposrednoj blizini određene pristupne tačke, odnosno Wi-Fi-a,koju želi da zloupotrebi. To znači da je moguć samo napad na korisnike koji u datom trenutku koriste isti Wi-Fi koji koristi i napadač.

Prilikom pristupanja određenoj Wi-Fi mreži, izvršava se deo protokola WPA2 pod nazivom "4-way handshake", koji kreira enkripcioni ključ za celokupan saobraćaj koji će biti ostvaren u toj Wi-Fi mreži. Kako bi mogao da garantuje potpunu sigurnost, kreirani ključ bi trebalo da bude instaliran i upotrebljen samo jednom. Međutim, koristeći KRACK (Key reinstallation attack), napadač može da prevari uređaj korisnika tako što će ga navesti da reinstalira već instaliran ključ. Zahvaljujući tome, napadač može preuzeti sve korisnikove osetljive podatke, pa čak i isporučiti maliciozni softver sa određene stranice na Internetu, ukoliko mrežna konfiguracija to dozvoli. Pored navedenog, napadač može da izmeni i podešavanje protokola DHCP (Dynamic Host Configuration Protocol) i tako omogući zloupotrebu DNS-a, odnosno upućivanje korisnika na zlonamerne Internet stranice.

U ovom trenutku, preporuka Nacionalnog CERT-a je da korisnici primene preporučena ažuriranja svih operativnih sistema, čim budu dostupna. Kao alternativno rešenje, odnosno dodatni nivo zaštite, preporučuje se korišćenje VPN (Virtual Private Network) servisa ili drugih Internet protokola koji imaju svoju zaštitu (HTTPSSecure Shell i slično).

Izvori informacija: 

https://www.krackattacks.com/

https://papers.mathyvanhoef.com/ccs2017.pdf

28. Jun 2017

Upozorenje zbog širenja ransomware-a Petya

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL informiše i upozorava sve korisnike računara o brzom širenju ransomware napada pod nazivom Petya.

Ovaj maliciozni softver koji onemogućava pristup i korišćenje podataka na računarima, predstavlja pretnju na globalnom nivou i do sada je naneo štetu računarskim sistemima u velikom broju zemalja. Napad koji se dogodio je vrlo sličan napadu virusa WannaCry, koji je pričinio veliku štetu širom sveta u maju mesecu ove godine.

Savetujemo da korisnici ne otvaraju elektronsku poštu, odnosno imejl poruke i priloge od pošiljaoca koji nisu poznati. Ove mere predostrožnosti važe i za nepoznate linkove na internetu, kao i za “chat“ poruke. Preporuka je da se uradi ažuriranje operativnog sistema, antivirusnog softvera, kao i redovni “backup” svih važnih podataka na računarima i time umanje neželjeni efekti napada ovakvog karaktera. Pored hitnog ažuriranja, zaštita se može izvršiti onemogućavanjem SMBv1 protokola (Server Message Block) za deljenje podataka, kao i primenom zakrpe CVE-2017- 0199 (https://portal.msrc.microsoft.com/en-US/security-guidance) i blokiranjem mogućnosti za remote access na WMI. Dodatno se može blokirati i PSEXEC.EXE u cilju zatvaranja 135 i 445 (TCP) portova.

Takođe se savetuje da se ne plaćaju navedeni iznosi za „otkup“ fajlova, jer napadači nisu u mogućnosti da vrate podatke, koji su bili izloženi Petya virusu. Ovaj ransomware za kontakt koristi adresu wowsmith12345@posteo.net (http://thehackernews.com/2017/06/petya-ransomware- attack.html)

24. Maj 2017

Potreba za konstantnim merama zaštite u oblasti informacione bezbednosti

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava sve korisnike računara i mobilnih uređaja da postoji konstantna potreba za sprovođenjem mera zaštite u oblasti informacione bezbednosti i oprez prilikom pristupa nepoznatim sadržajima.

Pretnje za informacionu bezbednost su česte i jedna od aktuelnih je računarski crv “EternalRocks” koji se širi preko SMB (Server Message Block) protokola. Za razliku od ransomware zlonamernog programa “WannaCry”, ovaj crv nema implementiranu funkciju "kill-switch" koja bi mogla usporiti njegovo širenje. Pored toga, koristi čak 7 NSA alata.

Iako trenutno nema mnogo zabeleženih uređaja zaraženih “EternalRocks” crvom, situacija se može brzo promeniti. Kako još uvek nije poznata osnovna svrha ovog crva i sadržaj koji ostavlja na zaraženom računaru, pretpostavlja se da je reč o pripremi za pokretanje budućih zlonamernih aktivnosti.

Za detaljniju informaciju upućujemo na CERT-EU dokument.

13. Maj 2017

Upozorenje zbog širenja ransomware-a -''WannaCry''

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji RATEL informiše i upozorava sve korisnike računara i mobilnih uređaja, o brzom širenju ransomware napada pod nazivom „WannaCry”. Ovaj maliciozni softver koji onemogućava pristup i korišćenje podataka na računarima je pretnja na globalnom nivou i naneo je štetu računarskim sistemima u velikom broju zemalja.

Imajući u vidu da je problem prisutan na Microsoft Windows sistemima, Nacionalni CERT preporučuje svim korisnicima ažuriranje operativnog sistema kako bi bila instalirana sigurnosna ispravka MS17-010. Više informacija i saopštenje proizvođača Microsoft je dostupno na sledećoj lokaciji.

Sajt www.cert.rs koristi „kolačiće“ (cookies) radi poboljšanja korisničkog iskustva i funkcionalnosti sajta. Ako nastavite da pretražujete sajt, pristajete na upotrebu „kolačića“.

Saznajte više