Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT varuje – EMOTET je znova na vzostupe

Národné centrum kybernetickej bezpečnosti SK-CERT zaznamenalo v poslednej dobe nárast šírenia malvérov z kampane EMOTET v európskom, ako aj v slovenskom kybernetickom priestore.

Malvéry z kampane EMOTET sa pokúšajú preniknúť do vášho počítača, ukradnúť citlivé a súkromné informácie, zašifrovať vaše dáta a pýtať výkupné, ako aj šíriť spam a škodlivý softvér.

Útok malvérom EMOTET sa v súčasnosti týka všetkých – od jednotlivcov, cez malé až po veľké organizácie. EMOTET je jedným z najničivejších momentálne známych malvérov, nakoľko na svoje šírenie využíva veľa rôznych možností.

Ako kampaň EMOTET prebieha

EMOTET kampaň je séria viacerých útokov, ktoré zvyčajne začínajú infekciou prostredníctvom phishingového e-mailu so škodlivou prílohou. Po počiatočnej infekcii útočník nainštaluje malvér TrickBot, ktorý sa často používa na odcudzenie údajov. Poslednou fázou je inštalácia ransomvéru Ryuk, ktorý zašifruje vybrané súbory na zariadeniach a vyžaduje platbu v bitcoinoch. Suma sa pohybuje od jedného do 99 bitcoinov (tento týždeň sa hodnota bitcoinu pohybuje v sume približne 9000 EUR) a útočník ju určí v závislosti od ekonomických možností obete[1]. Ryuk je ransomvér, ktorý vznikol z populárneho ransomvér Hermes. Má niekoľko pozoruhodných atribútov, medzi ktoré patrí pomerne vysoký dopyt po výkupnom od veľkých organizácii[2], avšak ako bolo vyššie spomenuté, po jeho rastúcej asociácii s EMOTETom a TrickBotom už je výška výkupného rôzna.

EMOTET sa primárne šíri prostredníctvom vierohodne vyzerajúcej správy od organizácie, v ktorej vás upozorňujú na variabilnú škálu podnetov – od neuhradenej faktúry, až po nové pravidlá týkajúce sa šírenia ochorenia Covid-19. Infekcia sa následne vykonáva prostredníctvom škodlivého skriptu, dokumentov s povolenými makrami alebo prostredníctvom iného škodlivého obsahu. Emaily sa môžu javiť legitímne a často nabádajú k okamžitému otvoreniu správy bez preverenia. EMOTET po infekcii prehľadá váš zoznam kontaktov a rozošle ďalšie phishingové e-maily. Keďže e-mail príde od legitímneho odosielateľa, adresáti (typicky rodina, známi a kolegovia) sú náchylnejší ho otvoriť.

EMOTET používa na prijímanie aktualizácií Comand and Control servery. Funguje to rovnako ako aktualizácie operačného systému a môže k ním prísť bezproblémovo bez toho, aby mal o tom užívateľ vedomosť. To umožňuje útočníkom nainštalovať nie len aktualizované verzie škodlivého softvéru, ale aj ďalší škodlivý softvér.

Existuje niekoľko analýz, ktoré spájajú ransomvérovú kampaň Ryuk so severokórejskými útočníkmi[3]. Tieto spojenia sú založené na podobe Ryuk s ransomvérom Hermes, ktorý používa APT38 (Lazarus Group)[4] a z menšej miery na metodológii, ktorú v minulosti Severná Kórea používala pri útokoch[5]. Tieto podobnosti však nie sú dostatočné na to, aby sa dalo dospieť k jednoznačnému záveru, kto za útokmi stojí.

Ako sa chrániť?

Národné centrum kybernetickej bezpečnosti SK-CERT všetkým používateľom, ako aj organizáciám odporúča:

  • Udržovať svoje zariadenia v aktualizovanom stave. Malvér TrickBot, ktorý je prostredníctvom malvéru EMOTET inštalovaný do napadnutého zariadenia sa často spolieha na aktuálne aj staršie zraniteľnosti[6], medzi ktoré patrí aj zraniteľnosť Eternal Blue (najzávažnejšia zraniteľnosť využívaná pri útokoch atribuovaných Severnej Kórei – Wannacry[7]).
  • Dodržiavajte základy kybernetickej hygieny, resp. poučte svojich zamestnancov:
    • Neotvárať neoverené správy a správy od neznámych používateľov
    • Neotvárať podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
    • Zakázať povoľovanie makier v dokumentoch
    • Neotvárať URL odkazy vzbudzujúce podozrenie
    • V prípade využívania emailových aplikácií vypnúť funkciu náhľadu do prílohy
    • V prípade podozrenia overiť obsah správy u odosielateľa inou formou (telefonicky, osobne)
    • Nikdy nereagovať na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
  • Pravidelne si zálohujte svoje dáta

Zdroje

[1] https://duo.com/decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware

[2] https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/

[3] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/

[4] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/

[5] https://blog.koddos.net/malware-emotet-using-north-korean-tricks-to-show-its-still-king/

[6] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/examining-ryuk-ransomware-through-the-lens-of-managed-detection-and-response

[7] https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html


« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2025 Všetky práva vyhradené - Posledná aktualizácia 30. 07. 2025 13:38