Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Národné centrum kybernetickej bezpečnosti SK-CERT analyzoval nedávne medializované útoky. Tu sú podrobnosti a odporúčania

Aktualizované 21.4.2021 – rozšírený zoznam IOC

K varovaniu zo dňa 16.04.2021 Národné centrum kybernetickej bezpečnosti SK-CERT publikuje tieto doplňujúce informácie a technické identifikátory:

NCKB SK-CERT pozoroval v krátkom časovom slede ransomvérovú infekciu vo viacerých organizáciách v  sektoroch informačných technológií vo verejnej správe (ITVS), telekomunikácií, energetiky a inteligentného priemyslu s potenciálnymi dôsledkami na fungovanie kritickej infraštruktúry štátu.

Ide o viacero typov ransomvéru prevažne z rodiny EKING/PHOBOS a pozorovaný bol aj ransomvér z rodiny Hakbit.

Útočný vektor:

Tieto rodiny ransomvéru používajú rôzne útočné vektory, konkrétny vektor sa líši od prípad od prípadu. Častou formou je zneužitie verejne dostupného vzdialeného prístupu cez Remote Desktop Protocol a rôzne formy phishing kampaní.

Prípony šifrovaných súborov:

.eking, .eight, .CRYSTAL

E-mailové kontakty útočníkov:

maykeljakson@cock[.]li

maykeljackson@cryptext[.]com

angus_frankland@aol[.]com

blair_lockyer@aol[.]com

chocolate_muffin@tutanota[.]com

john2wick@tuta[.]io

kingkong2@tuta[.]io

black_privat@tuta[.]io

Malvér má nasledujúce schopnosti:

  • deaktivácia antivírusového softvéru (vypnutím funkcií, antivírusový softvér sa po deaktivácii naďalej javí ako funkčný, ale zmeny možno pozorovať v jeho nastaveniach)
  • zmazanie lokálnych údajových štruktúr, ktoré by mohli napomôcť obnove (shadow copies)
  • šifrovanie lokálnych súborov
  • identifikácia a šifrovanie priečinkov dostupných po sieti

Proces je prítomný v pamäti a po vytvorení nových súborov ich automaticky znova zašifruje.

MD5 hashe tohto typu ransomvéru (vrátane údajov z otvorených zdrojov):

  • b3a5ba623d739ee76f05dc6b2b7f9fee
  • f0dcbc8651bcf391cb1556cf823314a8
  • 840d99c89f366505d06259a89273f8b
  • 128d013b0c3c605cbf9f902f8a7a5fe0
  • 11de7230a2f300393d7b47983885e9ce
  • 217c7b112bc3651f9c91fc7f8ca773d7
  • 1d5535c855ae098ab7d0d7350e13df96
  • a34ceb9c75ceaceb5998ca0af804c50a
  • 840d99c89f366505d06259a89273f8b1
  • 77d594f3eeb39cce1158f70924f61443
  • 4bfe4cbed3483c62789724e827bd1fa9
  • be13334c44f2e0331a6d1d6460ff9359
  • d62a9ae1380402cc467cced405ba4aa0
  • be13334c44f2e0331a6d1d6460ff9359

Odporúčania pri prebiehajúcej infekcii (šifrovaní):

  • tieto verzie ransomvéru využívajú asymetrické šifrovanie a dešifrovací kľúč, potrebný na plné obnovenie nikdy nie je prítomný na počítači, na ktorom aktuálne prebieha infekcia. V tomto špecifickom prípade teda neplatí bežné odporúčanie počítač nevypínať. Ak pozorujete aktivitu ransomvéru, ktorú sprevádza vysoká záťaž diskov aj CPU, s podozrením na ransomvér rodiny PHOBOS, počítač okamžite fyzicky vypnite a odpojte od siete
  • ak ide o virtuálny server, odporúčame pred vypnutím vytvoriť taký typ snapshotu, ktorý obsahuje stav disku aj obraz pamäti servera (t. j. zachytáva živý systém v bežiacom stave)
  • zariadenie aj ďalšie napadnuté zariadenia a sieťové segmenty v každom prípade izolujte

Preventívne odporúčania:

  • majte k dispozícii zálohy, preferovane v offline forme (cold stand-by)
  • nikdy nezálohujte formou kopírovania dát na sieťový priečinok, ale využívajte zálohovací softvér, ktorý dáta z počítačov sám sťahuje
  • na zálohovací softvér, virtualizačnú platformu a diskové úložiská nikdy neumožnite prihlásenie s doménovými účtami. Používajte na nich jedinečné heslá, ktoré nebudete mať uložené na pracovných staniciach
  • nepublikujte služby ako RDP a/alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne
  • uistite sa, že máte aplikované záplaty na nedávne zraniteľnosti MS Exchange a Fortinet, pred ktorými sme varovali:

« Späť na zoznam