Știrile săptămânii din cybersecurity (03.03.2022)
Evenimentele geopolitice recente au transformat lumea pe care o știam. Mai mult ca oricând, trebuie să fim uniți pentru a face față provocărilor din ce în ce mai mari în materie de securitate cibernetică prezente și următoare.
Împărtășind aceleași misiuni și valori de integritate, libertate și reziliență, Directoratul Național de Securitate Cibernetică (DNSC) al României – în parteneriat cu Bitdefender – va oferi consultanță tehnică, informații privind amenințările și, în mod gratuit, tehnologie de securitate cibernetică pentru orice afacere, instituție guvernamentală sau cetățean al Ucrainei, pentru atât timp cât este necesar.
În plus, Directoratul, în parteneriat cu Bitdefender, va oferi gratuit, timp de un an, tehnologii de securitate cibernetică produse de Bitdefender către orice companie sau entitate publică din spațiul NATO sau al Uniunii Europene care dorește să își crească nivelul de securitate prin înlocuirea soluțiilor de securitate cibernetică ce ridică semne de întrebare din punct de vedere tehnic sau geopolitic.
Conform cercetătorilor de la Proofpoint, o campanie de phishing, probabil sponsorizată de un stat, vizează personalul guvernamental european însărcinat cu gestionarea transportului și mișcării refugiaților în Europa. Campania ar avea legătură cu un grup de atacatori numit „TA445” sau „Ghostwriter”, care pare să opereze din Belarus.
Proofpoint a indicat că atacatorii au utilizat o adresă de email compromisă, aparținând unui membru al forțelor militare ucrainene, pentru lansarea campaniei. În plus, cercetătorii au observat un email ce conține un atașament macro malițios referitor la întâlnirea de urgență a Consiliului de Securitate NATO, din 23 februarie 2022. Email-ul conține un alt atașament care încearcă descărcarea unui malware Lua, numit SunSeed.
Tentativă de fraudă cu donații false pentru cauza Ucrainei propagată prin e-mail
O nouă tentativă de fraudă care folosește ca tematică situația Ucrainei se propagă în aceste zile pe mail. Așa cum anticipam chiar din debutul conflictului, infractorii cibernetici obișnuiesc să se folosească mereu de contexul existent pentru a-și slefui scenarii de atac cu o rată ridicată de succes. Așadar, vedem primele semne ale exploatării subiectului Ucraina pentru a monetiza rapid și eficient pe seama atacurilor.
Directoratul a fost notificat despre apariția unei campanii de tip fraudă distribuită prin e-mail care este lansată de la adresa ukrarelief[@]unations[.]com. Domeniul unations.com apare în acest moment ca fiind de vânzare. Textul mesajului face apel la strângerea de fonduri pentru refugiații care fug din calea războiului din Ucraina prin Ukraine Crisis Relief Fund, iar metoda propusă de transmitere a banilor este un portofel de Bitcoin.
Noi tipuri de malware observate în cadrul atacurilor cibernetice din Ucraina
În contextul atacurilor cibernetice realizate recent împotriva mai multor entități din Ucraina, pe lângă HermeticWiper și HermeticRansom, cercetătorii de la ESET au publicat o analiză detaliată pentru un nou wiper – „IsaacWiper”, și un vierme numit „HermeticWizard”. Cercetătorii nu au reușit să identifice legături între atacuri și un grup cunoscut de atacatori.
Conform ESET, alte țări încă nu au fost vizate de atacuri, însă există riscul ca aceeași atacatori să lanseze campanii împotriva țărilor care sprijină Guvernul Ucrainean sau aplică sancțiuni entităților rusești.
Rețeaua europeană a Viasat suferă întreruperi de funcționare
Începând cu 24 februarie 2022, aproximativ șase furnizori de servicii de internet din Europa sunt afectați de întreruperea serviciilor. Situația ar avea legături cu atac cibernetic împotriva infrastructurii terestre a satelitului Ka-SAT, aparținând Viasat.
Conform unui raport al companiei cehe INTV, afectată de situație, impactul a fost inițiat în Ucraina, de unde s-a împrăștiat la nivelul restului acoperirii satelitului. Totuși, segmentul european al Viasat pentru mobilitate aeriană comercială nu este afectat.
Conversații din interiorul grupului de ransomware Conti, publicate de un cercetător
La 25 februarie 2022, grupul de ransomware Conti a anunțat că oferă sprijin Guvernului Rus. Mesajul a fost modificat ulterior, Conti indicând că „nu se aliază cu niciun guvern”, însă, între timp, un cercetător de securitate cibernetică din Ucraina a publicat 393 fișiere JSON conținând 60,694 de mesaje interne ale Conti, transmise între 21 ianuarie 2021 și 27 februarie 2022.
Companiile de securitate cibernetică AdvIntel și Hold Security au confirmat validitatea mesajelor. Conversațiile includ informații despre operațiile desfășurate de Conti, victime neraportate anterior, URL-uri cu date confidențiale sau adrese pentru bitcoin care conțin plăți de 13 milioane de dolari.
Sprijin al Curated Intelligence pentru Ucraina
Comunitatea Curated Intelligence a anunțat că lucrează cu analiști din toată lumea pentru a furniza gratis informații utile către organizațiile din Ucraina care au nevoie de „threat intelligence”. În acest sens, comunitatea a pregătit un depozit pe GitHub care este actualizat în permanență de un grup de voluntari.
Campanie de phishing împotriva ucrainenilor
Serviciul Ucrainean pentru Comunicații Speciale și Protecția Informației atrage atenția cu privire la o campanie distribuție în masă a unor email-uri ce conțin fișiere potențial malițioase. Conform Serviciului, „forțe inamice urmăresc să obțină acces la dispozitivele electronice ale ucrainenilor pentru a strânge o cantitate mare de informații”.
Agenția pentru Securitatea Cibernetică și Infrastructură a SUA (CISA) și Biroul de Investigații Federale (FBI) au lansat împreună un ghid comun care oferă informații despre familiile de malware distructiv WhisperGate și HermeticWhiper, indicatorii de compromitere open-source pentru a ajuta organizațiile să detecteze și să prevină aceste atacuri, dar și un set de recomandări și bune practici cu privire la măsurile de securitate cibernetică, arhitectura de rețea, monitorizarea continuă și practici de răspuns la incidente.
TeaBot se răspândește din nou prin aplicații din Google Play
Conform cercetătorilor de la Cleafy, versiunea din februarie 2022 a troianului bancar TeaBot a evitat măsurile de securitate ale Google Play Store, fiind distrbuit printr-o aplicație numită „QR Code & Barcode - Scanner”. TeaBot vizează utilizatori ai peste 400 de aplicații bancare, de asigurări sau pentru cryptomonede, din mai multe țări, inclusiv SUA, Rusia sau China.
De obicei, TeaBot este răspândit prin aplicații dropper din categoriile „PDF document” sau „QR code scanner”, care sunt plasate pe Google Play Store. Cercetătorii de la Bitdefender au indicat în ianuarie 2022 că o astfel de aplicație a fost descărcată de peste 100,000 de ori înainte de a fi eliminată din magazinul de aplicații.
În urma descărcării, o astfel de aplicație solicită aplicarea unei actualizări false, care duce la instalarea unei alte aplicații găzduită pe GitHub, acesta fiind cea care conține malware-ul TeaBot. Succesul atacului depinde de faptul că utilizatorii trebuie să permită instalări din surse necunoscute.
Amprenta Digitală: Ofensiva cibernetică asupra Ucrainei, risc de escaladare la nivel global
Lansate ca preambul la agresiunile militare propriu-zise, valurile de atacuri cibernetice din ultimele săptămâni asupra unor instituții cheie din Ucraina ilustrează, cu fidelitate, conceptul de război hibrid. Specialiștii în securitate cibernetică din toată lumea sunt în alertă și analizează amprentele digitale ale atacurilor cibernetice asupra rețelelor informatice ale administrației centrale, ministerelor, agențiilor guvernamentale, dar și ale unor bănci din Ucraina.
'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC
