Amikor egy Word dokumentum miatt sötétül el minden

Akár egyetlen Word vagy Excel fájl is nagy veszélyt jelenthet még a legkomolyabb védelmi arzenállal körülbástyázott kritikus infrastruktúrákra is.
hirdetés
Az elmúlt egy hónapban több biztonsági cég is kiemelten foglalkozott azzal a BlackEnergy nevű kártékony programmal, amely legutóbb Ukrajnában okozott komoly fennakadásokat. 2015. december 23-án néhány órára közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban. Az ESET már akkor észrevette, hogy ez nem egy elszigetelt jelenség volt, ugyanis több más áramszolgáltató is célkeresztbe került. Természetesen az incidenst az ukrán CERT is alaposan kivizsgálta, és megállapította, hogy ez esetben a kiberbűnözők a BlackEnergy segítségével egy KillDisk nevű trójai programot igyekeztek bejuttatni a hálózatokba. Ha egy rendszer ezzel a károkozóval megfertőződött, akkor nem egy esetben már csak a teljes újratelepítés segített.

Az ukrán incidens után nagyon felkapott téma lett a BlackEnergy. Persze nem véletlenül, hiszen egyre több jel utal arra, hogy egy meglehetősen gyorsan fejlődő, és korántsem csak ukrán cégeket, szolgáltatókat veszélyeztető szerzeményről van szó. A malware a felépítésének és funkcionalitásának köszönhetően jól megállja a helyét az APT (Advanced Persistent Threat) típusú fenyegetettségekre épülő támadásokban. 

Az eddig napvilágra került jelentések alapján nem lehet egyértelműen kijelenteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e. Az azonban biztos, hogy a malware egyre kifinomultabb módszerekkel ostromolja az informatikai rendszereket. Továbbra is az energetikai vállalatok, valamint azok a szervezetek vannak a legnagyobb veszélynek kitéve, amelyek ICS/SCADA vezérlőrendszereket is működtetnek.

Az Office a kedvenc

A BlackEnergy különféle variánsainak legszembetűnőbb jellemzője, hogy Office dokumentumok segítségével igyekszik beférkőzni a rendszerekbe. Volt már rá példa, hogy Word, Excel, illetve PowerPoint állományok révén jutott be egy-egy hálózatba általában elektronikus levelek mellékleteként. Amikor egy ilyen küldemény megérkezik, és a felhasználó megnyitja a csatolmányt, akkor - alapértelmezett Office beállítások mellett - egy figyelmeztetés jelenik meg, miszerint makrók futtatását kéri a dokumentum. 


Forrás: Kaspersky Lab

A csalók különféle megtévesztő trükkökkel megpróbálják elérni, hogy a felhasználó engedélyezze a makrókat. Ugyanakkor már az is előfordult, hogy speciálisan összeállított fájlok révén különböző Office sérülékenységeket igyekeztek kihasználni. Ebből a szempontól érdemes figyelni a 2014 októberében feltárt OLE (CVE-2014-4114) sebezhetőségre, amit a Microsoft már akkor javított. Viszont ha egy rendszer nem naprakész a biztonsági frissítések szempontjából, akkor az könnyen komoly károkhoz vezethet.

Fertőzés több lépésben

A BlackEnergy legutóbbi variánsa január 20-án került napvilágra, amikor egy online biztonsági szolgáltatás hálóján akadt fent. Hamar kiderült, hogy a legelterjedtebb víruskeresők körében meglehetősen kicsi a felismerési aránya. Ez esetben egy vba_macro.exe fájl kerül a számítógépekre a makrók által, de ez még nem a BlackEnergy kódját tartalmazza. A malware egy következő lépésben jut fel a PC-re a vba_macro.exe hathatós közreműködésével.

"Jelenleg két opció van a támadások végrehajtására. Vagy a célpontba került számítógép nem megfelelően frissített, vagy a felhasználó véletlenül vagy akár szándékosan megnyitja a fertőzött dokumentumot, és ezzel útjára engedi a károkozót a hálózatban. A szóban forgó informatikai környezetekben elég valószínűtlen, hogy nincs fent a számítógépeken egy 2014-es frissítés, ezért az emberi tényezőknek van nagyobb szerepük" - nyilatkozta Udi Shamir, a SentinelOne biztonsági igazgatója utalva arra, hogy a biztonságtudatosság fokozása nélkülözhetetlen.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Cisco Web Security Appliance egy biztonsági hiba miatt megbéníthatóvá válhat.

  2. A Norton szoftverek súlyos sebezhetőségektől váltak meg.

  3. Az IBM WebSphere Application Serverben lévő sebezhetőség HTTP-alapú támadásokra adhat lehetőséget.

  4. A Panda egyes szoftverei egy biztonsági hiba miatt szorulnak frissítésre.

  5. A JBoss egy authentiációs hiba miatt vet fel kockázatokat.

  6. A Jokozy.A zsaroló program erős titkosítási megoldásokkal kódolja le az állományokat, majd váltságdíjat követel egy kép megjelenítésével.

  7. A Munidub trójai egy meglehetősen óvatos kártékony program, amely előkészíti a terepet egyéb, jóval károsabb szerzemények számára.

  8. A Shimrat trójai hátsó kapu kiépítésével segíti a támadókat a rendszerek jogosulatlan elérésében.

  9. A Racryptor trójai egy vérbeli orosz zsaroló program, amely helyreállíthatatlan károkat képes előidézni.

  10. A Cryptolocker zsaroló program legújabb variánsa akár 750 dollárt is követelhet az általa tönkretett állományok helyreállításáért.

Partnerhírek

  1. 19ó

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  2. 2n

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  3. 9n

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  4. 13n

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  5. 23n

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  6. 28n

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

  7. 1h

    A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

  8. 1h

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  9. 1h

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  10. 1h

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ