Știrile săptămânii din cybersecurity (14.04.2022)
RaidForums a fost dezactivat în urma unei operații coordonate de Europol
În urma unei Operației TOURNIQUET de impunere a legii coordonată de Europol, forumul de hacking RaidForums a fost dezactivat și infrastructura sa a fost confiscată. Administratorul forumului și încă doi asociați au fost arestați.
RaidForums a fost lansat în 2015 și a devenit unul dintre cele mai mari forumuri de hacking, având rolul de a comercializa baze de date high-profile obținute din scurgeri de date sau atacuri lansate în ultimii ani.
La Operația TOURNIQUET au participat agenții din SUA, Portugalia, Marea Britanie, Germania, Suedia și România (Poliția Română).
Scurgere de date guvernametale ale Rusiei de aproximativ 700 GB
Ca parte a operației OpRussia a Anonymus împotriva Rusiei, lansată în contextul războiului din Ucraina, au fost publicate online 446 GB de date ale Ministerului Culturii din Rusia, 150 GB de date ale administrației orașului Blagoveshchensk și 116 GB de date ale biroului guvernatorului regiunii Tver.
Entitățile afectate se adaugă unei liste de victime ale Anonymus din care mai fac parte companii rusești precum Forest, Aerogas, VGTRK sau Petrovsky Fort.
Acțiune împotriva infrastructurii troianului ZLoader
Ca urmare a unei investigații desfășurată de Microsoft Digital Crimes Unit, alături de ESET, Black Lotus Labs, Palo Alto Networks Unit 42 și alte entități, au fost luate măsuri tehnice și legale împotriva infrastructurii troianului ZLoader.
Ca parte a măsurilor tehnice, Microsoft obținut controlul a 65 de domenii utilizate de ZLoader pentru creșterea, controlul și comunicarea cu botnet-ul său. În plus, Microsoft a indicat că unul dintre indivizii responsabili pentru utilizarea botnet-ului pentru a răspândi malware este Denis Malikov, din Simferopol, Peninsula Crimeea.
Cele mai multe dintre victimele atacurilor ZLoader sunt din Japonia, China, Europa de Vest și SUA. Tipul de malware ZLoader se remarcă prin abilitatea de a evolua de la o campanie la alta. Printre obiectivele campaniilor au fost furtul financiar sau furnizarea unor servicii malware-as-a-service, asociate cu distribuirea de ransomware precum Ryuk, DarkSide sau BlackMatter.
RuRansom vizează sistemele din Rusia
VMware Threat Analysis Unit a realizat o analiză a ransomware-ului RuRansom, realizat pentru a distruge datele și backup-ul țintei și vizând sisteme din Rusia. În urma criptării fișierelor, malware-ul realizează un fișier Full-Scale_cyber-invasion.txt, conținând următorul mesaj (tradus în engleză):
”On February 24, President Vladimir Putin declared war on Ukraine. To counter this, I, the creator of RU_Ransom, created this malware to harm Russia. You bought this for yourself, Mr. President. There is no way to decrypt your files. No payment, only damage. And yes, it’s “peacekeeping” like Vladi Papa does, killing innocent civilians, And yes, it was translated from Bangla to Russian using Google Translate…”
Într-o perioadă de peste cinci luni petrecute de cel puțin două grupuri de atacatori în sistemele unei agenții guvernamentale americane, aceștia au instalat multiple instrumente pentru acces remote (ScreenConnect) și pentru hacking, incluzând brute-forcers pentru parole, cryptominers sau versiuni piratate de software VPN comercial. Atacatorii au șters multe Event Logs din sistemele pe care le-au controlat, însă nu pe toate.
Sophos a publicat un articol detaliat al comportamentului grupurilor de atacatori, care, la finalul activităților rău-intenționate, au lansat ransomware-ul Lockbit.
Actualizare Chrome Stable Channel pentru desktop
Chrome actualizează Stable Channel la versiunea 100.0.4896.88 pentru Windows, Mac și Linux. O listă completă a schimbărilor din noua versiune este disponibilă în log-ul pentru aceasta. Actualizarea include reparații pentru 11 vulnerabilități de securitate.
FBI a eliminat CyclopsBlink de pe dispozitivele infectate din SUA
Conform FBI, botnet-ul CyclopsBlink sponsorizat de Rusia, care afecta în principal dispozitive WatchGuard, era utilizat pentru a lansa hack-uri ascunse împotriva adversarilor Rusiei.
La 23 februarie 2022, WatchGuard, în coordonare cu FBI și alte agenții guvernamentale, a publicat instrucțiuni pentru detectare și remediere a situației cauzate de CyclopsBlink.
În contextul în care instrucțiunile au fost implementate lent, FBI a decis să acceseze și să dezinfecteze remote dispozitivele conectate la 13 adrese IP din SUA și infectate cu CyclopsBlink.
Cercetătorii atrag atenția cu privire la FFDroider și Lightning Stealer
Cercetătorii de la Zsclaer ThreatLabz au publicat un raport referitor la FFDroider în timp ce Cyble a publicat o analiză a Lightning Stealer, două tipuri de malware cu rolul de a fura informații de la utilizatori.
FFDroider și Lightning Stealer sunt distribuite prin modalități similare, ca versiuni piratate ale unor installers și freeware, vizând multiple browsere. În cazul FFDroider, malware-ul se deghizează în sistemul infectat sub forma aplicației de mesagerie Telegram.
Conform Cyble, info-stealers adoptă noi tehnici pentru a deveni mai greu de detectat, adăugând că activitatea unor grupuri de ransomware a inclus utilizarea de info-stealers pentru a obține acces la rețele și pentru a exfiltra date.
Atacurile informatice împotriva instituțiilor sau firmelor românești au crescut exponențial de la începerea conflictului din Ucraina. Experții în domeniu sunt de părere că autoritățile române nu sunt pregătite pentru un atac masiv, fapt confirmat și de gruparea Anonymous România.
La începutul anului 2022, Mandiant și Schneider Electric au analizat un set de instrumente pentru atac cibernetic, denumit INCONTROLLER, realizat pentru a viza echipamente sau dispozitive specifice mai multor sectoare industriale.
Conform analizei, INCONTROLLER prezintă capabilități de atac cibernetic rare și periculoase, precum sabotaj, perturbare sau potențială distrugere fizică, fiind cel mai probabil sponsorizat de stat. INCONTROLLER este comparabil cu Triton, Industroyer sau Stuxnet.
CISA: Îndrumare pentru împărtășirea informațiilor despre incidente de securitate cibernetică
Fișa informativă pentru împărtășirea informațiilor despre evenimente cibernetice a Cybersecurity & Infrastructure Security Agency (CISA) pune la dispoziția părților interesate o îndrumare clară și informații despre ce date trebuie împărtășite, cine ar trebui să le împărtășească și cum să fie transmise informațiile despre incidente sau activități de securitate cibernetică neobișnuite.
AntiFake, proiectul Amprenta Digitală: Cronologia atacurilor cibernetice asupra Ucrainei
Seria atacurilor cibernetice marchează într-un fel nemaivăzut până acum istoria ultimului deceniu. Atacurile respective ilustrează tehnica de exploatare a vulnerabilităților noilor tehnologii, parte din așa-numitul playbook prin care se urmărește înlesnirea desfășurării forțelor armate și fragilizarea terenului de luptă (inclusiv fragilizarea opiniei publice).
Jurnaliștii specializați în domeniul tehnologiei au documentat astfel de atacuri petrecute în ultimii ani, ceea ce se poate constitui într-un adevărat manual despre despre natura războiului cibernetic și despre efectele sale asupra mediului informațional. AntiFake.ro vă oferă câteva puncte cheie ale acestei cronologii, împreună cu sursele din care cei interesați pot afla mai multe amănunte.
'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, consilier DNSC
