Știrile săptămânii din cybersecurity (22.02.2024)
Marţi a fost anunţată o vastă operaţiune poliţienească internaţională - Operațiunea Cronos, la care participă forțe de ordine specializate din SUA și Europa, menită să lovească în inima grupării LockBit, specializată în atacuri de tip ransomware.
Miercuri, Departamentul de Stat al SUA a anunțat pe X (fostă Twitter) că oferă până la 10 milioane USD pentru informații care conduc la identificarea sau localizarea liderilor cheie ai grupării de ransomware LockBit și 5 milioane USD pentru informații care duc la arestarea și/sau condamnarea persoanelor din orice țară care conspiră pentru a participa la activitățile ransomware LockBit.
Reţeaua LockBit este considerată un lider în rândul bandelor online care criptează datele victimelor pentru a le extorca apoi de bani. Grupul rusofon a revendicat cel puţin 1.700 de atacuri începând din anul 2020 şi a încasat răscumpărări în valoare de cel puțin 91 de milioane de dolari.
UPDATE: Atac cibernetic de tip ransomware a afectat spitale din România
Echipa DNSC a emis o alertă pe canalele oficiale de comunicare, în care oferă detalii și recomandări în cazul atacului cu ransomware Backmydata care a afectat activitatea a 26 de spitale din România: https://www.dnsc.ro/citeste/alert-backmydata-ransomware-spitale-romania
DNSC recomandă tuturor entităților din domeniul sănătății, indiferent dacă au fost sau nu afectate de atacul ransomware Backmydata, să scaneze infrastructura proprie IT&C prin utilizarea scriptului de scanare YARA.
- Un set complex de reguli YARA au fost publicate de către DNSC la adresa:
https://www.dnsc.ro/vezi/document/yara-scan-dnsc-v101
- Instrucțiuni de rulare a scriptului și regulilor YARA
a. Descărcați și salvați local arhiva "YARA-Scan_DNSC-v101.zip" din linkul de mai sus
b. Extrageți arhiva în directorul dorit
c. Rulați scriptul "scanare-drive-C-backmydata.bat" cu drepturi de administrator pentru a începe scanarea (NOTĂ: Faceți clic dreapta pe script și selectați "Run as administrator"
d. Opțional, dacă este necesar și aplicabil, rulați și scriptul "scanare-drive-D-backmydata.bat
e. Verificați mesajele generate în terminal și fișierul .txt din directorul "Logs"
f. În cazul în care sunt detectate fișiere malware, vă rugăm să trimiteți fișierul .txt la [email protected]
O nouă vulnerabilitate Microsoft Exchange este exploatată activ
A fost descoperită o nouă vulnerabilitate în patch-ul de actualizări al Microsoft, lansat marți pentru luna februarie.
“Un atacator poate să vizeze un client NTLM, precum Outlook, printr-o vulnerabilitate care are ca scop extragerea de credențiale NTLM. Acestea pot apoi fi folosite împotriva serverului Exchange pentru a obține privilegiile de client ale utilizatorului și pentru a performa operațiuni pe serverul Exchange în numele acestuia”, a descris Microsoft.
Spionii cibernetici ruși exploatează vulnerabilități Roundcube împotriva guvernelor europene
Un grup rus de spionaj cibernetic a fost observat exploatând servere webmail vulnerabile Roundcube, în cadrul unor atacuri împotriva entităților guvernamentale, militare, și infrastructurale europene, raportează Recorded Future.
Ca parte a atacurilor observate, atacatorii se foloseau de inginerie socială și exploatau vulnerabilități XSS pentru a obține acces la anumite serverele de mail, cu scopul colectării de informații referitoare la activități politice și militare. Finalitatea atacurilor este, cel mai probabil, obținerea de avantaje strategice sau subminarea securității și a alianțelor europene.
Hackerii abuzează Google Cloud Run într-un atac troian masiv asupra instituțiilor bancare
Cercetătorii din domeniul securității avertizează că hackerii abuzează serviciul Google Cloud Run pentru distribuirea unor cantități masive de viruși troieni cu specific bancar, precum Astaroth, Mekotio, sau Ousaban.
Cercetătorii de la Cisco Talos au observat o creștere semnificativă în folosirea rău intenționată a serviciului Google, în mod particular pentru distribuția de malware, încă din Septembrie, 2023. Atunci, atacatorii din Brazilia au lansat campanii în masă prin fișiere de instalare MSI, cu scopul de a livra sarcini utile malițioase.
Un nou malware SSH-Snake se folosește de cheile SSH pentru a infecta rețele
Un atacator sau un grup de atacatori cibernetici se folosesc de o unealtă open-source de scanare a rețelelor, denumit SSH-Snake, pentru căutarea cheilor private ale utilizatorilor și infectarea laterală pe infrastructurile rețelelor.
SSH-Snake a fost descris ca “un vierme de rețea care se modifică singur”, aspect care îl diferențiază de alte software-uri malițioase similare, prin faptul că reușește să evite șabloanele uzuale de atac scriptat.
Viermele de rețea caută cheile private în diverse locații, inclusiv în fișierele de istoric shell, și le folosește ulterior pentru a infecta, nedetectat, alte sisteme aflate în conexiune cu rețeaua.
Grupul Cactus Ransomware a declarat că au furat 1.5 TB de date de la compania Schneider Electric, după ce au spart rețeaua acesteia luna trecută.
25 de MB de date au fost publicate pe site-ul de pe dark web asociat cu grupul pe 19 februarie, în semn de dovadă a succesului atacului. Alături de aceste date, atacatorii au mai publicat și câteva capturi de ecran care conțineau pașapoartele și acordurile de confidențialitate a mai multor cetățeni americani.
Ministerul Educației lansează în premieră Olimpiada de Securitate Ciberntică
Ministerul Educației a publicat recent lista olimpiadelor care se vor organiza și desfășura în anul școlar 2023 – 2024. În calendarul competițiilor naționale aprobate de minister se află, în premieră, Olimpiada de Securitate Cibernetică (OSC), ca o recunoaștere clară a importanței majore pe care o dobândește educația de securitate cibernetică în România, în contextul evoluției tehnologice rapide, dar și al deficitului de specialiști în acest domeniu.
Tematica specifică pentru OSC include exerciții ce integrează concepte fundamentale de securitate cibernetică, dar și elemente aplicate de criptografie, securitatea aplicațiilor web, mobile sau desktop, tehnici de Open Source Intelligence, analiza jurnalelor electronice, al traficului de rețea, capturilor de date, memorie sau hard disk, inginerie inversă, configurarea și securitatea sistemelor de operare și rețele, programare și scripting.
Nouă din zece furnizori de servicii gestionate s-au confruntat cu un atac cibernetic
Riscurile cibernetice privind lanţurile de aprovizionare pot lua multe forme, de la ransomware şi furt de date la atacuri de tip denial-of-service (DDoS) şi fraudă, iar un raport din 2022 a arătat că 90% dintre furnizorii de servicii gestionate (MSP) au suferit un atac cibernetic, în ultimele 18 luni, conform unui articol de specialitate publicat pe blogul din România al producătorului de soluţii antivirus Eset.
O statistică oficială relevă faptul că, anul trecut, în SUA, au existat cu 40% mai multe atacuri asupra lanţului de aprovizionare decât atacuri bazate pe malware. Acestea au condus la breşe care au afectat peste zece milioane de persoane.
În ultimii doi ani, am observat o creștere semnificativă a activității de hacktivism datorită războaielor și conflictelor geopolitice în diferite regiuni. În special, odată cu războiul împotriva Ucrainei, am remarcat o mobilizare semnificativă a actorilor non-statali, care formează noi grupuri sau se alătură colectivelor de hackeri existente.
Hacktivismul poate fi definit ca o formă de hacking informatic realizată în scopul promovării obiectivelor activității politice sau sociale. În timp ce activismul descrie o utilizare normală și non-disruptivă a internetului pentru susținerea unei cauze specifice, hacktivismul implică operațiuni care folosesc tehnici de hacking cu intenția de a perturba, fără a cauza daune serioase. Linia dintre hacktivism și implicarea în hostilități și cauzarea de daune severe devine din ce în ce mai neclară, iar spațiul cibernetic devine tot mai complicat.
Noile vulnerabilități Wi-Fi expun dispozitivele Android și Linux hackerilor
Cercetătorii din domeniul securității cibernetice au identificat două metode de a ocoli autentificarea în software-ul Wi-Fi open-source găsit pe dispozitivele Android, Linux și ChromeOS. Acestea ar putea păcăli utilizatorii să se conecteze la o clonă a unei rețele legitime sau să permită unui atacator să se alăture unei rețele de încredere fără o parolă.
Vulnerabilitățile, urmărite ca CVE-2023-52160 și CVE-2023-52161, au fost descoperite în urma unei evaluări de securitate a wpa_supplicant și, respectiv, Intel iNet Wireless Daemon (IWD).
Defectele „permit atacatorilor să păcălească victimele să se conecteze la clone ale rețelelor de încredere, să le intercepteze traficul și să se alăture rețelelor altfel sigure fără a avea nevoie de parolă”, a declaratTop10VPN într-o nouă cercetare efectuată în colaborare cu Mathy Vanhoef, care a descoperit atacuri asupra rețelelor Wi-Fi, precum KRACK, DragonBlood și TunnelCrack.
ConnectWise confirmă defectul ScreenConnect aflat în exploatare activă
La mai puțin de 24 de ore de la livrarea unor corecții de urgență pentru defectele critice de securitate aleprodusul de acces la desktop la distanță ScreenConnect, ConnectWise spune că hackerii lansează deja exploit-uri pentru a prelua conturile de întreprindere.
„Am primit actualizări ale conturilor compromise pe care echipa noastră de răspuns la incidente le-a putut investiga și confirma”, a spus ConnectWise într-un aviz actualizat emis miercuri.
Recunoașterea exploatării vine în momentul în care mai multe companii de securitate au publicat un cod proof of concept pentru a amplifica urgența companiilor de a actualiza instalațiile locale la ConnectWise ScreenConnect 23.9.8.
Versiunile afectate includ ScreenConnect 23.9.7 și versiunile anterioare.
Apple adaugă criptare post-cuantică la iMessage
Apple dezvăluie PQ3, un nou protocol criptografic post-cuantic pentru iMessage, conceput pentru a proteja comunicațiile împotriva atacurilor de calcul cuantic.
Apple a dezvăluit miercuri PQ3, un nou protocol criptografic post-cuantic pentru iMessage, care este conceput pentru a proteja comunicațiile criptate chiar și împotriva viitoarelor atacuri de calcul cuantic.
Criptarea end-to-end este prezentă implicit în multe aplicații de mesagerie populare, dar nivelul real de protecție depinde de protocoalele criptografice pe care le folosesc și de modul în care sunt implementate.
Apple descrie trei niveluri de criptare în aplicațiile de mesagerie: nivelul 0, aplicații care nu oferă implicit criptare end-to-end; nivelul 1, aplicații care oferă implicit criptare end-to-end prin criptografia tradițională; nivelul 2, aplicații care oferă securitate post-cuantică în stabilirea inițială a cheii de criptare; și nivelul 3, aplicații care oferă securitate post-cuantică atât în stabilirea cheie, cât și în schimburile de mesaje în curs.
Vulnerabilități de înaltă severitate ale corecțiilor Chrome 122, Firefox 123
Google și Mozilla rezolvă vulnerabilitățile de securitate ale memoriei de mare severitate cu cele mai recente actualizări Chrome și Firefox.
Google și Mozilla au lansat săptămâna aceasta actualizări de software Chrome și Firefox pentru a rezolva mai multe vulnerabilități în ambele browsere, inclusiv erori de securitate de memorie de grad ridicat.
Marți, Chrome 122 a fost lansat pe canalul stabil cu patch-uri pentru 12 defecte de securitate, inclusiv opt care au fost raportate de cercetători externi.
Două dintre acestea sunt defecte de mare severitate, cea mai gravă dintre ele, bazată pe recompensa plătită pentru bug-uri, fiind o eroare de acces la memorie în afara limitelor în Blink. Google spune că a oferit o recompensă de 7.000 de dolari cercetătorului care raportează.
Cealaltă problemă de securitate de mare severitate raportată extern, rezolvată cu cea mai recentă actualizare Chrome, este o defecțiune de utilizare după gratuită în Mojo, pentru care Google a acordat o recompensă de 5.000 USD.
Chrome 122 rezolvă, de asemenea, cinci vulnerabilități de gravitate medie, inclusiv implementări neadecvate în Izolarea site-ului, Politica de securitate a conținutului și Navigare, o utilizare gratuită în Accesibilitate și o aplicare insuficientă a politicii în Descărcare.
Postat în: stiri awareness cybersecuirty OSC rasnomware Romania
Vizualizat de 821 ori
