Știrile săptămânii din cybersecurity (15.02.2024)
Un atac cibernetic de tip ransomware a afectat spitale din România
Directoratul Național de Securitate Cibernetică (DNSC) a fost notificat cu privire la un atac cibernetic de tip ransomware asupra unui furnizor de servicii pentru mai multe spitale din România. O echipă de specialiști ai DNSC s-a deplasat la fața locului, pentru investigarea incidentului cibernetic. Mai multe spitale sunt afectate de atac.
Echipa DNSC a publicat o serie de indicatori de compromitere (IOC) validați cu spitalele la data de 14.02.2024.
Echipa DNSC a emis o alertă pe canalele oficiale de comunicare, în care oferă detalii și recomandări în cazul atacului cu ransomware Backmydata care a afectat activitatea a 26 de spitale din România.
În cursul nopții de 11 spre 12 februarie 2024 a avut loc un atac cibernetic de tip ransomware asupra companiei Romanian Soft Company (RSC) www.rsc.ro care dezvoltă, administrează și comercializează sistemul informatic Hipocrate (alias HIS). Conform datelor DNSC, atacul a perturbat activitatea a 26 spitale din România care utilizează sistemul informatic Hipocrate.
Malware-ul utilizat în cadrul atacului este aplicația ransomware Backmydata care face parte din familia de malware Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol (RDP).
Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea către atacatori! Plata răscumpărării nu garantează că datele vor fi recuperate și încurajează atacatorii.
Datele a jumătate din populația Franței au fost furate în cel mai mare atac cibernetic
În Franța, una din două persoane se confruntă cu furtul de date ca urmare a unei breșe de securitate cibernetică de amploare.
Peste 33 de milioane de oameni din Franța, aproape jumătate din populația sa, au fost afectați de cel mai mare atac cibernetic din istorie.
Doi furnizori francezi de servicii pentru companiile de asigurări medicale au fost vizați, companiile admițând că milioane de date ale oamenilor au fost potențial expuse hackerilor.
„Este pentru prima dată când a avut loc o astfel de încălcare”, a declarat Yann Padova, un avocat specializat în protecția datelor digitale și fostul secretar general al autorității franceze pentru protecția datelor (CNIL), pentru postul francez Franceinfo.
Compania Trans-Northern Pipelines investighează acuzațiile de atac cu ransomware ALPHV
Trans-Northern Pipelines (TNPI) a confirmat că rețeaua sa internă a fost încălcată în noiembrie 2023 și că investighează acum acuzațiile de furt de date făcute de banda ransomware ALPHV/BlackCat.
TNPI operează 850 de kilometri (528 mile) de conducte în Ontario-Quebec și 320 km (198 mile) în Alberta, transportând zilnic 221,300 de barili (35,200 m³) de produse petroliere rafinate.
Ambele sisteme de conducte sunt subterane și transportă benzină, motorină, combustibil pentru aviație și combustibil pentru încălzire de la rafinării până la terminalele de distribuție.
În timp ce afirmațiile ALPHV nu au fost menționate direct de Dornan atunci când a fost întrebat de BleepingComputer pentru confirmare, banda de ransomware spune că operatorii săi au furat 183 GB de documente din rețeaua companiei.
Fișierele presupus furate au fost acum publicate pe site-ul de scurgeri de date al ALPHV, iar grupul ransomware a adăugat, de asemenea, informații de contact pentru mai mulți angajați TNPI la aceeași pagină de scurgere.
Microsoft: Un nou bug critic Exchange exploatat ca zero-day
Microsoft a avertizat într-un aviz de securitate actualizat că o vulnerabilitate critică în Exchange Server a fost exploatată zero day chiar înainte de actualizarea de Patch de Marti.
Descoperit intern de către companie și urmărit ca CVE-2024-21410, acest defect de securitate poate permite actorilor neautentificați de la distanță să sporească privilegiile în atacurile cu relee NTLM care vizează versiuni vulnerabile ale Microsoft Exchange Server.
În astfel de atacuri, actorul amenințător forțează un dispozitiv de rețea (inclusiv servere sau controlere de domeniu) să se autentifice împotriva unui server de releu NTLM aflat sub controlul său pentru a imita dispozitivele vizate și a ridica privilegiile de acces si control.
Zoom soluționează o vulnerabilitate critică în aplicațiile de pe Windows
Gigantul de mesagerie video Zoom a anunțat marți patch-uri pentru șapte vulnerabilități în aplicațiile sale desktop și mobile care suferă o eroare de severitate critică în software-ul Windows.
Problema critică, urmărită ca CVE-2024-24691 (scor CVSS de 9,6), este descrisă ca o validare necorespunzătoare a intrărilor care ar putea permite unui atacator cu acces la rețea să escaladeze privilegiile.
Compania de mesagerie video a rezolvat, de asemenea, o escaladare a defectului de privilegii în aceste aplicații Windows, menționând că acesta poate fi exploatat local, fără autentificare.
Marți, compania a avertizat, de asemenea, că trei vulnerabilități ale clienților Zoom pentru platforme desktop și mobile ar putea fi exploatate pentru a efectua atacuri de tip „neg-of-service” sau pentru a divulga informații.
Utilizatorii de pe Windows, macOS, Linux, Android și iOS sunt sfătuiți să-și actualizeze aplicațiile la cele mai recente versiuni disponibile.
CISA avertizează asupra a 2 vulnerabilități critice Microsoft Windows, exploatate de actori
CISA a adăugat două noi vulnerabilități exploatate în mod activ în Catalogul său de Vulnerabilități Exploatate Cunoscute. Aceste vulnerabilități, identificate ca fiind CVE-2024-21412 și CVE-2024-21351, și-au fixat clar obiectivele pe sistemele Microsoft Windows, injectând un sentiment de urgență în domeniul vulnerabilității.
CISA, Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii, servește drept apărare în prima linie împotriva amenințărilor cibernetice, monitorizând continuu și abordând vulnerabilitățile emergente care prezintă riscuri pentru infrastructurile digitale.
Cele două vulnerabilități critice ale Windows, care rezultă din Windows Internet Shortcut Files și Windows SmartScreen Security, vizează întreprinderile federale la nivel global.
Noul „Gold Pickaxe” Android, malware iOS îți fură captura feței pentru fraude
Un nou troian iOS și Android numit „GoldPickaxe” folosește o schemă de inginerie socială pentru a păcăli victimele să-și scaneze fețele și documentele de identitate, despre care se crede că sunt folosite pentru a genera deepfakes pentru acces bancar neautorizat.
Noul malware, reperat de Group-IB, face parte dintr-o suită de malware dezvoltată de grupul chinez de amenințare, cunoscut sub numele de „GoldFactory”, care este responsabil pentru alte tulpini malware, cum ar fi „GoldDigger”, „GoldDiggerPlus” și „GoldKefu”.
Grup-IB spune că analiștii săi au observat atacuri care vizau în principal regiunea Asia-Pacific, în principal Thailanda și Vietnam. Cu toate acestea, tehnicile utilizate ar putea fi eficiente la nivel global și există pericolul ca acestea să fie adoptate de alte tulpini malware.
