Zpráva NUKIBu o kybernetických incidentech v dubnu

V dubnu pokračoval trend intenzivních phishingových kampaní proti strategickým vládním cílům v zemích NATO, včetně ČR. Tento trend nastartovala ruská agrese na Ukrajině, která zvýšila zájem státních aktérů o strategické informace jejich protivníků. V zemích NATO se tak v posledním roce zrychlilo nejen tempo ruských kyberšpionážních útoků, ale také čínských. Jejich terčem se staly i české diplomatické cíle. Jedná se o kampaň, kterou společnost ESET spojuje se skupinou Mustang Panda. Skupina v kampani použila nový malware MQsTTang. Neobvyklý je na něm především způsob, kterým komunikuje se svým řídicím serverem. Komunikace totiž probíhá přes protokol MQTT, který se využívá pro zařízení internetu věcí (IoT). Žádný veřejně známý malware dosud protokol MQTT nevyužíval. Kampaň a v ní použitou novou techniku blíže popisujeme v posledních dvou kapitolách.

V dubnu pokračoval trend posledního roku, kdy incidentům dominovalo narušení dostupnosti služeb. NÚKIB takto klasifikoval téměř dvě třetiny incidentů. Na rozdíl od přechozího měsíce ale příčinou nebyly pouze DDoS útoky, ale z velké části technické chyby.

NÚKIB evidoval dva případy ransomwarových útoků, oba proti malým a středním podnikům. Za jedním z incidentů stál LockBit 2.0, ransomware z jedné z nejvíce aktivních „ransomwarových rodin“ v ČR. Počtem a charakterem obětí byly dubnové ransomwarové útoky podobné předešlým 12 měsícům. Útoky, které v posledním roce NÚKIB eviduje, nejčastěji zasahují menší podniky nebo základní a střední školy.

Ukrajinský CERT (CERT-UA) v dubnu informoval o incidentu, kdy si zaměstnanec energetické společnosti stáhnul z Torrent sítě pirátský Microsoft Office 2019. Následkem toho došlo ke kompromitaci počítače pomocí malware DarkCrystal a DWAgent. Tyto dvě aplikace poskytovaly neoprávněný přístup do sítě společnosti po dobu dvou měsíců. Více informací na CERT-UA.

zdroj: nukib.cz