NÚKIB vydal varování před závažnými útoky na české instituce, hlavně nemocnice

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na základě informací od partnerů dnes vydal varování před „hrozbou v oblasti kybernetické bezpečnosti, spočívající v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení.“ Varování je k dispozici zde (PDF).

Kampaň údajně může způsobit závažné dopady na dostupnost či důvěrnost informačních systémů. Hrozby lze očekávat v nejbližších dnech. NÚKIB uvádí, že probíhá přípravná fáze útoků, a to zejména skrze spear phishing. Hrozba je ze strany NÚKIBu hodnocena jako vysoká, je tedy pravděpodobná až velmi pravděpodobná.

„Varování podle zákona o kybernetické bezpečnosti znamená, že správci systémů, které spadají do klasifikace kritické informační infrastruktury, významných informačních systémů, nebo provozovatelů základní služby, se popsanými hrozbami musí zabývat a musí přijmout adekvátní opatření. I osobám, které nepadají pod zákon o kybernetické bezpečnosti, doporučujeme varování zohlednit a zavést adekvátní opatření,“ píše kyberúřad.

NÚKIB doporučuje realizovat tyto kroky:

• mimořádně upozornit uživatele o hrozbách spear-phishingu a připojit výzvu, aby se uživatelé, kteří v posledních dnech otevřeli podezřelé přílohy, obrátili na správce infrastruktury,
• upozornit uživatele na možnost „maskování“ spustitelných souborů v phishingu, např. „obrazek.png.exe“, „text.txt.exe“, „dokument.pdf.exe“ apod.,
• pokud je to možné, tak pomocí centrálního nastavení zabránit spouštění aktivního obsahu a maker, zejména v .doc a .docx dokumentech,
• okamžitě zablokovat vzdálené přístupy do infrastruktury a zablokovat otevřené služby do veřejné sítě, vyjma těch nezbytně nutných (veřejné IP rozsahy lze zkontrolovat v dostupných vyhledávačích zařízení připojených do sítě a zjistit tak i historicky otevřené či zapomenuté porty, nebo služby dostupné z veřejné sítě),
• okamžitě vytvořit offline zálohy a postupovat v zálohování dle důležitosti dat v organizaci,
• zkontrolovat konzistenci již vytvořených záloh a okamžitě aktualizovat antivirové řešení v infrastruktuře.

Úřad také zveřejnil hashe škodlivých souborů:

File type: Win32 EXE

• MD5 28e1786bd652942f0be31080a9452389
• SHA-1 44cb931ee16f1f6e3b408035ef­cd795d8aa0c9be
• SHA-256 7aa996ff7551362f42ba31d4cd­92d255a49735518b3f4dc33283fdd5c5a61b42

File type: Win32 EXE

• MD5 e20ee9bbbd1ebe131f973fe3706ca799
• SHA-1 4e92e5cbe9092f94b4f495189­3b5d9ca304d292c
• SHA-256 f632b6e822d69fb54b41f­83a357ff65d8bfc67bc3e304e88bf4d9f0c4a­edc224

File type: Win32 EXE

• MD5 9dbbfa81fe433b24b3f3b7809be2cc7f
• SHA-1 b87405ff26a1ab2a03f3803­518f306cf906ab47f
• SHA-256 dfbcce38214fdde0b8c80­771cfdec499fc086735c8e7e25293e7292fc7993b4c

File type: Win32 EXE

• MD5 7def1c942eea4c2024164cd5b7970ec8
• SHA-1 b2f4288577bf8f8f06a487b­17163d74ebe46ab43
• SHA-256 c3f11936fe43d62982160­a876cc000f906cb34bb589f4e76e54d0a5589b2fdb9

File type: Win32 EXE

• MD5 e6ccc960ae38768664e8cf40c74a9902
• SHA-1 d29cbc92744db7dc5bb8b7a­8de6e3fa2c75b9dcd
• SHA-256 b780e24e14885c6ab836a­ae84747aa0d975017f5fc5b7f031d51c­7469793eabe

File type: Win32 EXE

• MD5 b1349ca048b6b09f2b8224367fda4950
• SHA-1 44fac7dd4b9b1ccc61af4859c­8104dd507e82e2d
• SHA-256 c46c3d2bea1e42b628d6988063d247918­f3f8b69b5a1c376028a2a0cad­d53986

File type: Win32 EXE

• MD5 0d7dbda706e0048aca27f133d4fc7c51
• SHA-1 1ed9dc8be0f925a5c23e6b516­062744931697c78
• SHA-256 ac6b3f9e0848590e1b933­182f1b206c00f24c3aa0aa6c62ca57682ef­f044d079

Vydané varování je první od konce roku 2018, kdy NÚKIB varoval před technologiemi od společností Huawei a ZTE. Úřad už dříve vydal povinná kybernetická opatření pro nemocnice. Šlo mimo jiné o reakci na útoky v Benešově či Brně. K dispozici jsou rovněž doporučení pro chování v případě spear phishingu. CZ.NIC zase začal nemocnicím nabízet router Turris zdarma.