Michal Cebák

Bezpečnostní analytik společnosti ESET

Pokud jde o IsaacWiper, v současné době vyhodnocujeme jeho případné propojení s HermeticWiperem. Je důležité poznamenat, že byl detekován v souvislosti s ukrajinskou vládní organizací, která nebyla zasažena HermeticWiperem.

Postižené organizace byly kompromitovány s dostatečným předstihem ještě před nasazením wiperu - toto naše tvrzení podporuje několik dalších zjištění, jako jsou časové značky kompilace spustitelného souboru obsahujícího HermeticWiper, z nichž nejstarší je z 28. 12. 2021, data vydání certifikátu pro podpis kódu z 13. dubna 2021 a v jednom zjištěném případě také nasazení malwaru HermeticWiper prostřednictvím výchozí doménové politiky.

Všechny tyto parametry a skutečnosti naznačují, že útočníci již měli přístup k jednomu ze serverů Active Directory, které patřily oběti.

Michal Cebák

Bezpečnostní analytik společnosti ESET

První vzorky jsme zachytili ve středu 23. 2. 2022 v 16:52 místního času. Z analýzy malwaru vyplynulo, že vzniknul již 28. 12. 2021, z čehož lze vyvodit, že útok byl připravován poslední dva měsíce.

V jedné z organizací, které byly cílem útoku, byl wiper nasazen prostřednictvím výchozího GPO - Group Policy Management, což znamená, že útočníci převzali kontrolu nad serverem Active Directory, který zajišťuje v počítačové síti autentizaci a autorizaci uživatelů, počítačů i další služby.

Miroslav Dvořák

Technický ředitel společnosti ESET

Obě zranitelnosti - ProxyShell a ProxyLogon - souvisí se službou Microsoft Exchange, v případě novější objevené zranitelnosti ProxyShell útočníci zneužívají chybu ve vrstvě Client Access Service (CAS), kterou Microsoft původně přidal k lepší ochraně e-mailových serverů.

V obou případech je znepokojující to, že zranitelnosti umožňují vzdálené spouštění kódu bez přístupových údajů k serveru. Microsoft vydal na zranitelnost záplaty, takže by se mohlo zdát, že problém je vyřešen. Realita je však složitější. Po celém světě je stále mnoho serverů MS Exchange, které nebyly záplatovány nebo aktualizovány.

MS Exchange je mimořádně rozšířený software, což zvyšuje pravděpodobnost, že se útočníkům podaří najít nějaký nezáplatovaný server a tuto zranitelnost využít ve svůj prospěch. Útočníci při takto závažné zranitelnosti mohou napáchat obrovské škody.

Filip Navrátil

Obchodní ředitel české pobočky společnosti ESET

Obchodní výsledky jsou vysvědčení, které nám vystavují naši zákazníci a naši uživatelé. Mám pochopitelně velkou radost, že jsme i v minulém roce obstáli, a to přes to, nebo právě pro to, kolik úsilí nás to stálo.

Pro letošní rok máme nastavený dvouciferný cíl, který je ambiciózní, ale jednoznačně dosažitelný. Během posledních dvou let jsme upravili produktovou nabídku a zavedli nové distribuční kanály, které nám pomohou našeho cíle dosáhnout.

Současně pozorujeme zvýšený zájem zákazníků o produkty s centrální správou v cloudu - meziročně o více než 200%, což odpovídá stávajícímu trendu, kdy firemní zákazníci nechtějí budovat IT infrastrukturu pro provoz vlastního řešení.

Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

Skupinu ALPHV sledujeme zhruba od listopadu 2021. Skutečnost, že poměrně nová skupina dokázala napadnout a ochromit kritickou infrastrukturu ve vyspělé evropské zemi, opět dokazuje, jak se kybernetické útoky rychle vyvíjejí a ochrana před nimi je závod s časem.

I když v tuto chvíli nemáme o útoku více podrobností, lze předpokládat, že k proniknutí do systémů došlo již před nějakým časem. Útočníci velmi detailně hledají zranitelnosti v systémech, které jim otevřou cestu k útoku.

I z toho důvodu nelze další incidenty vyloučit ani v České republice. BlackCat se navíc prodává jako RaaS - Ransomware as a Service, a může si ho tak pořídit jakákoli jiná útočná skupina.

Ochranou je především podrobné a dlouhodobé monitorování datových toků v síti a dobře nastavené bezpečnostní nástroje.