Aktualności

SECURE 2017 – Call for Speakers

Data publikacji: 23/05/2017, przemek

Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE.  Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej.

SECURE to odbywająca się w dn. 24 – 25 października 2017 w Warszawie konferencja, poświęcona w całości bezpieczeństwu teleinformatycznemu. Adresowana jest do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, głównie z pierwszej ręki – od najlepszych praktyków i ekspertów. Zapewnia to swoim wieloletnim doświadczeniem organizator wydarzenia: działający w ramach NASK zespół CERT Polska. Tematyka konferencji koncentruje się przede wszystkim na rozwiązaniach praktycznych, najnowszych trendach w przeciwdziałaniu zagrożeniom oraz istotnych zagadnieniach prawnych. Uczestnicy mają dostęp do najnowszej wiedzy, zyskując przez to możliwość podnoszenia swoich kwalifikacji i cennej wymiany doświadczeń.

Miniony rok pokazał, że wciąż poważnym zagrożeniem są tzw. exploit kity. Ofiarą tego typu złośliwego oprogramowania bywają nie tylko prywatni użytkownicy, ale jak mieliśmy okazję zauważyć – mogą one także zostać użyte w atakach typu wodopój (watering hole) ukierunkowanych w istotne podmioty sektora gospodarczego. Na popularności zyskują także ataki z wykorzystaniem urządzeń IoT, które nieodpowiednio zabezpieczone stanowią atrakcyjny cel dla dalszych działań przestępczych. Nie maleje także zagrożenie coraz nowymi rodzinami ransomware’u, również dotykającego systemów przemysłowych czy embedded. Jak radzić sobie z powyższymi zagrożeniami, a także wszystkimi tymi, które ze względu na swój dobrze przemyślany i ukierunkowany charakter wciąż pozostają trudne do wykrycia? Na te i inne pytania będziemy poszukiwali odpowiedzi w trakcie SECURE 2017.

Jeśli chciałbyś podzielić się z innymi wiedzą z tych tematów, lub czujesz się ekspertem w jednej z dziedzin wymienionych poniżej, kierujemy niniejsze zaproszenie właśnie do Ciebie.

SECURE 2017 odbędzie się w dniach 24-25 października, w centrum konferencyjnym Airport Hotel Okęcie w Warszawie. Tematykę konferencji wyznaczać będą trzy główne nurty:

    • techniczny – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
    • organizacyjny – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
    • prawny – ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw

Prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów

    • ewolucja i analiza złośliwego oprogramowania (wirusy, trojany, robaki, botnety, itp)
    • wykrywanie włamań
    • nowatorskie zastosowania systemów honeypot i systemów sandbox
    • ataki APT
    • monitorowanie bezpieczeństwa w sieci
    • bezpieczeństwo smartfonów i aplikacji mobilnych
    • techniki wizualizacji zdarzeń bezpieczeństwa
    • bezpieczeństwo systemów SCADA i ataki na sieci przemysłowe
    • bezpieczeństwo IPv6
    • cloud security
    • wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
    • obsługa incydentów bezpieczeństwa
    • standardy wymiany informacji dotyczących bezpieczeństwa
    • ataki DDoS i techniki obrony
    • skuteczność narzędzi w zwalczaniu nowych technik ataków
    • narzędzia open source w bezpieczeństwie
    • ochrona tożsamości w sieci
    • prywatność, poufność i anonimowość w sieci
    • steganografia w sieciach teleinformatycznych
    • czynnik ludzki w bezpieczeństwie
    • prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
    • działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
    • projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego

Ważne informacje o prezentacjach

    • zgłoszenia należy przesyłać wyłącznie przez stronę https://easychair.org/conferences/?conf=secure2017
    • do zgłoszenia wymagane jest przygotowanie tytułu prezentacji, krótkiego abstraktu oraz informacji o autorze
    • pytania dotyczące procesu zgłaszania i selekcji prezentacji należy zgłaszać na adres [email protected]
    • przewidywany czas na prezentację to 45 minut, w tym czas na pytania i odpowiedzi
    • prezentacja nie może mieć charakteru reklamowego
    • materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
    • prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej
    • organizatorzy zapewniają bezpłatny, pełny udział w całej konferencji (nie dotyczy warsztatów) oraz imprezie wieczornej w dn. 24 października 2017 r.; organizatorzy nie pokrywają kosztów podróży i zakwaterowania

Ważne terminy

    • nadsyłanie zgłoszeń – do 10 lipca 2017 r. 17 lipca 2017 r.
    • wybór prezentacji – do 7 sierpnia 2017 r.
    • nadsyłanie prezentacji – do 9 października 2017 r.

Krótkie wystąpienia

Zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym.

Ważne informacje o krótkich wystąpieniach

    • maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony.
    • zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, także w trakcie jej trwania.
    • organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

WannaCry Ransomware

Data publikacji: 15/05/2017, Kamil Frankowicz

WannaCry (inne nazwy WCry, WannaCrypt, WanaCrypt0r) jest bardzo skutecznym w swoim działaniu złośliwym oprogramowaniem typu ransomware, które 12 maja swoim zasięgiem objęło ponad 100 krajów i 200 tysięcy komputerów z systemem operacyjnym Windows.

Ofiarami padły takie instytucje jak: brytyjska służba zdrowia, Nissan, Telefonica, FedEx, rosyjskie banki i koleje państwowe, indyjskie linie lotnicze Shaheen Airlines oraz włoskie uniwersytety. Kampania WannaCry mimo ogromnego zasięgu nie odniosła sukcesu komercyjnego – zdecydowało się zapłacić około 200 osób, a całkowita suma wpłat wynosi około 50 tysięcy dolarów.

Czytaj więcej

Krajobraz bezpieczeństwa polskiego Internetu w 2016 roku

Data publikacji: 20/04/2017, piotrb

Okładka raportu 2015Już po raz 21. publikujemy raport roczny z działalności naszego zespołu. Tak jak poprzednio staramy się przy tej okazji przedstawić stan bezpieczeństwa polskiej części Internetu, patrząc z perspektywy obsługiwanych przez nas incydentów, działalności badawczej oraz projektów, w których bierzemy udział.
Stało się już zwyczajem, że raport otwiera kalendarium najważniejszych, według nas, wydarzeń na świecie oraz w Polsce związanych z bezpieczeństwem komputerowym. W dalszej części prezentujemy projekty, w których braliśmy czynny udział, takie jak CyberROAD i SISSDEN, oraz wydarzenia, w których uczestniczyliśmy.
Przedstawiając zagrożenia i ataki w skali globalnej staraliśmy wybrać te, które są według nas bardzo ważne lub bezpośrednio dotykają także naszego kraju, czego przykładem jest opis botnetu Mirai czy operacja Avalanche.
W części raportu skupiającej się na polskim fragmencie Internetu szczegółowo opisaliśmy najważniejsze rodziny złośliwego oprogramowania atakującego użytkowników w Polsce, czyli m.in. ISFB, Nymaim i GMBot. Stosunkowo dużo miejsca poświęciliśmy na ransomware, który niestety w 2016 roku był dużym problemem tak w Polsce, jak i na świecie.
Na końcu zamieściliśmy integralną część raportu ze statystykami przedstawiającymi liczby zainfekowanych maszyn, serwerów z podatnymi usługami oraz dane na temat phishingu. Zapraszamy do lektury raportu!

Przystąpienie do projektu No More Ransom

Data publikacji: 11/04/2017, piotrb

No More Ransom logo
Na początku kwietnia tego roku nasz zespół oficjalnie dołączył do projektu No More Ransom walczącego z ransomware’em. Projekt, koordynowany m.in. przez Europol, zrzesza organy ścigania oraz firmy sektora prywatnego z całego świata i umożliwia ofiarom przestępców darmowe odszyfrowanie plików. Naszym głównym wkładem w projekt jest program deszyfrujący pliki, obsługujący rodziny Cryptomix, Cryptfile2 oraz Cryptoshield – które niedawno szczegółowo opisywaliśmy.

Dzięki platformie No More Ransom już ponad 10000 ofiar mogło bezpłatnie odszyfrować pliki, a teraz również i my możemy się przyczynić do zwiększenia tej liczby. Liczymy na owocną współpracę!

Nowa kampania wymuszeń okupu – Polish Stalking Group

Data publikacji: 31/03/2017, piotrb

logo
Obserwujemy początki nowej kampanii e-mailowej mającej na celu wymuszanie okupu. Przestępcy, nazywający sami siebie Polish Stalking Group, rozsyłają wiadomości e-mail z żądaniem wpłaty w przeciągu 24 godzin 1000 złotych na portfel bitcoinowy. Grożą przy tym, że w przeciwnym wypadku do ofiary zostanie wysłanych 100 paczek kurierskich z losowych sklepów. Część z paczek ma rzekomo zawierać narkotyki, co przestępcy mają zgłosić policji, a tym samym dodatkowo zaszkodzić ofierze. Do e-maila dołączone są oprócz imienia i nazwiska wrażliwe dane osobowe takie jak numer PESEL, adres oraz numer telefonu.

Treść e-maila z żądaniem okupu:

Witaj XXXXXX, jesteś ofiarą Polish Stalking Group.

Przeczytaj tego maila do końca.
Stałeś się ofiarą naszej grupy, mamy Cię na oku.

[email protected]
Imię i nazwisko: XXXXX XXXX
PESEL: XXXXXXXXXXXX
Adres: XXXXXXXXXXXXXXXXXXXX
Tel.: xxx xxx xxx xxx
Numery kont: XX XXXX XXXX XXXX XXXX XXXX XXXX

Po upływie 24 godzin od wysłania do Ciebie tej wiadomości wyślemy do Ciebie 100 przesyłek kurierskich z losowych sklepów internetowych. Dla potwierdzenia naszych możliwości dostaniesz telefony w sprawach zamówień, które będziemy realizować na Twój adres. W niektórych paczkach będą narkotyki – będziemy wiedzieli, kiedy paczka trafi do Ciebie – policja zostanie powiadomiona o nielegalnych substancjach w Twoim posiadaniu i wkrótce zapuka do Twoich drzwi.

Jeśli chcesz temu zapobiec – prześlij nam 1000 zł. Aby to zrobić otwórz link – https://inpay[.]pl/buy/?email=xxxxx&address=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX&amount=1000
– następnie zaznacz \”Akceptuję regulamin\” i kliknij \”Otwórz zlecenie\”. Potem wykonaj przelew na dane, które zostaną Ci wyświetlone.

Masz 24 godziny od momentu otrzymania tej wiadomości na dokonanie przelewu.

TWÓJ LOS JEST W TWOICH RĘKACH – WSPÓŁPRACUJ Z NAMI ALBO PRZEKONAJ SIĘ DO CZEGO JESTEŚMY ZDOLNI.

POLISH STALKING GROUP

Uwaga! Jeżeli otrzymałeś/otrzymałaś taki e-mail, to jak najszybciej zgłoś to na policję – w komisariacie odpowiadającym za Twój rejon.
Dodatkowo zgłoś sprawę nam:


Jeśli posiadasz już numer sprawy nadany przez policję dołącz go do zgłoszenia – ułatwi to nam zbieranie informacji.
Co ważne – nie usuwaj e-maili ani żadnej korespondencji z przestępcami – może to pomóc w dalszym postępowaniu.

Analiza Sage 2.0

Data publikacji: 14/02/2017, Jarosław Jedynak

logo

Wstęp

Sage jest nową rodziną ransomware, wariantem CryLockera. Obecnie jest rozprowadzany przez tych samych aktorów, którzy zazwyczaj rozsyłają Cerbera, Locky’ego oraz Sporę.

Głównym wektorem infekcji jest malspam i złośliwe załączniki. Emaile z kampanii są puste, bez żadnego tekstu i zawierają jedynie plik .zip. W załączniku znajduje się złośliwy dokument programu Word z makrem pobierającym i instalującym ransomware.

Czytaj więcej

Nymaim atakuje ponownie

Data publikacji: 30/01/2017, Jarosław Jedynak

logo

Wstęp

Nymaim nie jest nową rodziną złośliwego oprogramowania – pierwszy raz został napotkany w 2013 roku. Wtedy był wykorzystywany jedynie jako dropper, używany głównie do dystrybucji TorrentLockera.

W lutym 2016 ponownie stał się popularny, po tym jak do jego kodu zostały dołączone fragmenty kodu ISFB, który wcześniej wyciekł. Zyskał wtedy przydomek „Goznym”. Ta inkarnacja Nymaima była dla nas szczególnie interesująca, ponieważ zyskała możliwości bankera i stała się poważnym zagrożeniem w Polsce. Z tego powodu przeprowadziliśmy dokładną analizę tego zagrożenia i byliśmy w stanie śledzić aktywność Nymaima od tamtego czasu.

Przez ostatnie dwa miesiące, wiele rzeczy się zmieniło. Przede wszystkim, sieć fast-flux nazywana „Avalanche” (wykorzystywana intensywnie przez Nymaima) została wyłączona na skutek skoordynowanych działań organów ścigania kilku krajów. Przez prawie dwa tygodnie Nymaim był zupełnie nieaktywny, a do dzisiaj jest cieniem tego czym był jeszcze niedawno. Mimo że jest ciągle aktywny w Niemczech (z nowymi injectami), dopiero niedawno powrócił do Polski.

Czytaj więcej

Evil: prosty ransomware, napisany w języku JavaScript

Data publikacji: 18/01/2017, Jarosław Jedynak

hacker-1944688_960_720

Evil: prosty ransomware, napisany w języku JavaScript

Wstęp

Evil jest nową odmianą ransomware, którą pierwszy raz zaobserwowaliśmy ósmego stycznia 2017 roku – wtedy został nam zgłoszony pierwszy incydent z nią związany. Było to wtedy zupełnie nowe zagrożenie i nie było na jego temat żadnych informacji dostępnych publicznie. Nie mieliśmy też żadnych próbek do analizy.

Pierwszą działającą próbkę zdobyliśmy dzień później, dziewiątego stycznia. W tym artykule opiszemy w skrócie naszą analizę i wnioski. Od tamtej porty dostaliśmy relatywnie dużo raportów o infekcji, więc istnieje ryzyko, że ta rodzina stanie się większym zagrożeniem w przyszłości.

Evil nie ma żadnego panelu służącego do deszyfrowania (podobnie jak np. CryptoMix) – zamiast tego dostarczany jest adres email twórców, pod który należy się skontaktować.

Czytaj więcej

Analiza techniczna rodziny CryptoMix/CryptFile2

Data publikacji: 04/01/2017, Jarosław Jedynak

skull and crossbones malware

Kampania

CryptoMix to kolejna rodzina ransomware która próbuje zdobyć pieniądze dla swoich twórcow przez szyfrowanie plików ofiar i wymuszanie na nich okupu za odszyfrowanie ich.
Do niedawna była znana bardziej jako CryptFile2, ale z nieznanych nam powodów została rebrandowana i teraz jest rozpoznawalna jako CryptoMix.
Została zaobserwowana niedawno jako malware serwowane przez Rig-V exploit kit.

Ten malware wyróżnia się na tle innych popularnych odmian, ale niekoniecznie pozytywnie.

Czytaj więcej

Zadanie Capture The Flag w ramach ECSM 2016 – wyniki i rozwiązanie

Data publikacji: 08/12/2016, Mateusz Szymaniec

Na przełomie października i listopada organizowaliśmy dla Państwa konkurs typu Capture The Flag w ramach Europejskiego Miesiąca Bezpieczeństwa Cybernetycznego.

Pierwszy etap zadania rozpoczęło ponad 300 osób, do ostatniego dotarło ponad 60 osób, a trójka najszybszych, którzy przesłali poprawne rozwiązanie zadania to:

    1. Hubert Barc (rozwiązanie nadesłane 3 godziny i 22 minuty po rozpoczęciu konkursu),
    2. Sergiusz Bazański (5 godzin i 34 minuty),
    3. Piotr Florczyk (5 godzin i 37 minut).


Zwycięzcom serdecznie gratulujemy!

Wszyscy chętni, którzy nie wzięli udziału w konkursie mogą nadal sprawdzić swoje umiejętności na stronie https://ecsm2016.cert.pl.

Poniżej przedstawiamy również sposób rozwiązania wszystkich etapów konkursu.
Czytaj więcej

12345...1020...