Miroslav Dvořák

Ředitel odboru Správa informační bezpečnosti společnosti GORDIC

Tento škodlivý kód představuje v souvislosti s kryptoměnami trojitou hrozbu. Zneužívá zdroje oběti na těžbu kryptoměn ve prospěch útočníka, pokouší se přesměrovat finanční transakce změnou adresy kryptopeněženky během kopírování tohoto textu a také se pokouší krást soubory související s kryptoměnami, hesly a bankami.

To vše s využitím různých technik, které škodlivému kódu pomáhají skrývat se před odhalením. KryptoCibule ve své komunikační infrastruktuře využívá síť Tor a také BitTorrent protokol.

IT oddělení firem byla ze dne na den postavena před problém, jak to celé v co nejkratším čase zařídit. Někteří si bohužel vybrali rychlá a snadná řešení, která ovšem vystavila jejich IT infrastrukturu, zaměstnance, a i jejich zákazníky vysokému riziku kompromitace kyberzločinci.

S narůstajícím trendem práce na dálku a také možností pracovat na vlastním zařízení, budou podniky nuceny více řešit zabezpečení svých sítí a všech připojených zařízení, včetně těch, nad kterými má firma jen omezenou kontrolu.

Ani jeden z těchto přístupů nelze zcela doporučit - osobní informaci se dají uhodnout, pokud vás útočník zná, náhodné kombinace písmen se špatně pamatují a přepisují. Lepší je využívat jednoduché věty, což dělá zatím jen desetina uživatelů. Pokud Češi v hesle použijí nějaký osobní údaj, jde nejčastěji o datum narození samotného uživatele nebo někoho blízkého. Pětina lidí pak zadá jméno člena rodiny, desetina lidí pak zadá jméno domácího mazlíčka nebo název filmu, knihy či písně.

Názvy či úryvky z uměleckých děl jsou součástí takzvaných slovníkových útoků, při nichž útočník pomoc algoritmu zkouší prolomit zabezpečení pomocí slovníku hesel - a ten se dá zakoupit na černém trhu.

V posledních dnech jsme zaznamenali hned několik e-mailových kampaní, které s tématem nemoci pracují. Většina ze zachycených e-mailů koluje v zahraničí, nicméně registrujeme i první případy takových podvodných e-mailů i tzv. hoaxů v České republice. Spam obsahoval přílohu s názvem CoVid19_BAH.PDF.exe, po jejímž spuštění si uživatel do počítače nainstaloval škodlivý kód detekovaný jako Fareit.

Jedná se o trojského koně, který dlouhodobě patří mezi nejvážnější kybernetické hrozby v Česku. Tento trojský kůň je schopen pro útočníky získat hesla obětí uložená v internetových prohlížečích.

V několika případech byl DePriMon detekován spolu se špionážním malwarem ColouredLambert, za kterým stojí skupina Lamberts (známá též jako Longhorn).

Tento malware je postaven na špionážních technikách CIA zveřejněných a popsaných v úniku dat Vault 7 na Wikileaks.