Știrile săptămânii din cybersecurity (02.11.2023)
Poliția Română, Directoratul Național de Securitate Cibernetică (DNSC), Asociația Română a Băncilor (ARB) și Ascendia, companie specializată în dezvoltarea de soluții de tip e-learning, lansează, în cadrul Proiectului național de educație digitală și de securitate cibernetică #SigurantaOnline, șase cursuri de e-learning. Cursurile vor fi disponibile gratuit pentru copii, părinți și profesori, obiectivul principal al inițiativei fiind creșterea gradului de pregătire pentru evitarea principalelor amenințări din online și gestionarea adecvată a riscurilor la utilizarea internetului.
Noua campanie “Protecție prin educație: Securitate digitală” își propune să facă o diferență reală în comunitate, prin diseminarea gratuită a acestor lecții online extrem de utile în procesul educațional. Obiectivul principal al inițiativei este ca fiecare membru al comunității să devină mai conștient de riscurile de securitate din mediul online și să se echipeze corespunzător cu instrumentele și cunoștințele necesare pentru a naviga în siguranță pe internet.
Partenerii campaniei au dezvoltat atât cursuri esențiale pentru elevii cu vârste cuprinse între 7 și 14 ani (Siguranța banilor pe internet, Dependența de internet, Prevenirea pornografiei infantile și Gestionarea datelor online) cât și cursuri destinate profesorilor, părinților și celor preocupați de instruirea copiilor (Securitatea cibernetică - acces general și Securitatea digitală a copiilor).
Octo Tempest, una dintre cele mai periculoase grupări de hacking financiar
Microsoft a publicat un amplu raport pentru a dezvălui profilul unei grupări de criminalitate cibernetică vorbitoare de limba engleză, specializată în atacuri de tip ransomware, care are capabilități avansate de inginerie socială și ale cărei atacuri au evoluat constant de la începutul anului 2022.
Microsoft apreciază că această grupare, pe care o urmărește sub denumirea Octo Tempest, este una dintre cele mai periculoase grupări motivate financiar, campaniile desfășurate de acest atacator fiind ample, iar gama de tehnici, tactici și proceduri (TTP), extinsă.
”Octo Tempest, care se suprapune cu cercetările asociate cu 0ktapus, Scattered Spider și UNC3944, a fost văzută inițial la începutul anului 2022 vizând organizațiile de telecomunicații mobile și de externalizare a proceselor de afaceri pentru a iniția porturi de numere de telefon (cunoscute și ca schimburi SIM). Octo Tempest și-a monetizat intruziunile în 2022, vânzând schimburi de SIM altor infractori și preluând conturi de persoane pentru a le fura criptomoneda.”, se arată în raport.
În campaniile recente, acest atacator a fost observat folosind o gamă variată de TTP-uri pentru a naviga în medii hibride complexe, a exfiltra date sensibile și a cripta datele.
Analiza Microsoft prezintă TTP-urile asociate grupării, recomandări pentru utilizatori și un set de linii directoare generale care ar putea ajuta la detectarea activităților malițioase.
În ultimele zile, Directoratul Național de Securitate Cibernetică (DNSC) a observat o creștere notabilă a utilizării unor tehnici de inginerie socială, folosite de atacatori pentru obținerea accesului ilicit la conturile online ale utilizatorilor. Practic, infractorii cibernetici încearcă să exploateze serviciul de autentificare multifactorială folosit de utilizatori, care le permite securizarea mai puternică a conturilor personale.
Scenariul de atac folosit în ultimul timp de atacatori presupune în primul rând compromiterea unui cont de social media, ori a unui cont al unui serviciu de mesagerie (ex: WhatsApp). În continuare, folosindu-se de încrederea generată de acel cont, atacatorii trimit mesaje private către contactele disponibile, specificând faptul că destinatarul acelui mesaj urmează să primească sau a primit un cod de 6 cifre.
Conform scenariului servit de atacatori, motivația pentru care acel cod a fost transmis eronat variază. Fie este vorba despre o greșeală de introducere a numărului de telefon, fie că este de fapt o metodă de a certifica faptul că expeditorul ar fi primit un vot la un concurs online, ori că persoana care a trimis mesajul și-a pierdut accesul la cont și are nevoie ca un număr de prieteni să valideze identitatea lui prin furnizarea acelui cod.
Eric Goldstein, directorul executiv adjunct al CISA a declarat că, de mai bine de doi ani, de când CISA gestionează catalogul KEV al vulnerabilităților cunoscute exploatate activ de hackeri din întreaga lume, agențiile federale au înregistrat reduceri semnificative ale suprafeței de atac și implicit au redus riscul compromiterii rețelelor, demonstrând efectul catalogului asupra securității cibernetice a celor peste 100 de agenții civile federale ale guvernului SUA.
”Pentru prima dată avem vizibilitate în timp real asupra vulnerabilităților și configurărilor greșite din 102 agenții, permițând remedierea în timp util înainte să apară intruziunile – inclusiv direcționând remedierea a peste 12 milioane de vulnerabilități exploatate cunoscute în ultimii doi ani”, a spus el.
Goldstein a remarcat că, din anul fiscal 2022 până în 2023, CISA a observat o reducere cu 79% a suprafeței de atac din cauza vulnerabilităților cunoscute exploatate accesibile în mediul online, pentru că orice vulnerabilitate adăugată în catalog trebuie abordată de toate agențiile civile federale într-un interval de trei săptămâni.
În declarația pe care Goldstein a oferit-o în timpul unei audieri a Camerei Reprezentanților, acesta a împărtășit, pe lângă statisticile care indică efectul catalogului KEV asupra securității cibernetice, mai multe inițiative pe care CISA speră să le ia în viitor
O nouă grupare de criminalitate cibernetică apare în peisajul amenințărilor
Cercetătorii în securitate cibernetică au analizat un eșantion al unui nou ransomware-as-a-service numit Hunters International și au descoperit o asemănare izbitoare cu codul folosit în atacurile ransomware Hive, ceea ce duce la presupunerea că vechea grupare de criminalitate cibernetică și-a reluat activitatea sub un alt brand.
Cercetătorul care a descoperit noul criptolocker a ajuns la concluzia că malware-ul Hunters International era un eșantion al ransomware-ului Hive versiunea 6.
Gruparea Hunters International a negat faptul că ar fi un rebrand al grupării de criminalitate cibernetică Hive și a declarat, în schimb, că este o grupare nouă care a achiziționat codul sursă al criptolocker-ului de la dezvoltatorii Hive.
”Toate codurile sursă Hive au fost vândute, inclusiv site-ul web și versiunile vechi Golang și C și noi suntem cei care le-am achiziționat”, au declarat atacatorii, menționând că în codul Hive existau multe greșeli care au cauzat indisponibilitatea pentru decriptare în unele cazuri.
În acest moment, site-ul de scurgeri de date ale grupării listează o singură victimă, o școală din Marea Britanie de unde atacatorii susțin că au exfiltrat aproape 50.000 de fișiere.
Gruparea de criminalitate cibernetică Hive a dispărut brusc din peisajul amenințărilor după ce site-ul său de scurgeri de date și cel de plăți au fost confiscate de FBI în ianuarie 2023, în cadrul unei operațiuni internaționale de aplicare a legii.
Noi vulnerabilități de securitate descoperite în NGINX Ingress Controller pentru Kubernetes
Trei vulnerabilități severe de securitate, care pot permite unui atacator să fure acreditări secrete din cluster, au fost descoperite în NGINX Ingress Controller pentru Kubernetes.
Vulnerabilitățile sunt identificate prin CVE-2022-4886 (scor CVSS: 8,8), CVE-2023-5043 (scor CVSS:7,6) și CVE-2023-5044 (scor CVSS:7,6), iar exploatarea acestora cu succes ar putea permite unui atacator să injecteze cod arbitrar și să obțină acces neautorizat la date sensibile.
În absența unor remedieri, întreținătorii software-ului au lansat atenuări care implică activarea opțiunii ”strict-validate-path-type” și setarea --enable-annotation-validation pentru a preveni crearea de obiecte Ingress cu caractere invalide și a impune restricții suplimentare.
ARMO a spus că actualizarea NGINX la versiunea 1.19, alături de adăugarea configurației de linie de comandă ”--enable-annotation-validation”, remediază CVE-2023-5043 și CVE-2023-5044.
Biblioteca publică din Toronto se confruntă cu perturbări din cauza unui atac cibernetic
Cel mai mare sistem de biblioteci publice din Canada, Toronto Public Library, care deservește peste 1,2 milioane de membri și are peste 12 milioane de publicații repartizate în 100 de filiale, a declarat sâmbătă, 28 octombrie 2023, că se confruntă cu dificultăți tehnice din cauza unui atac cibernetic ce a afectat site-ul, paginile de servicii pentru membri, accesul la colecțiile sale digitale, serviciile online, WiFi-ul și serviciile de imprimare.
Oficialii au angajat experți în securitate cibernetică pentru a rezolva situația, dar au spus că ”ar putea dura câteva zile până ce toate sistemele să fie complet restabilite la funcționarea normală”.
Nicio grupare de criminalitate cibernetică nu a revendicat încă responsabilitatea atacului cibernetic, iar organizația nu a oferit detalii cu privire la natura incidentului.
În ultimul an, zeci dintre cele mai importante instituții din Canada s-au confruntat cu atacuri de tip ransomware sau alt gen de atacuri cibernetice, inclusiv Air Canada, National Gallery of Canada sau Toronto Symphony Orchestra confruntându-se cu incidente de securitate cibernetică.
Atacatorii LockBit susțin că au compromis sistemele IT ale companiei Boeing
Gruparea de criminalitate cibernetică LockBit a listat compania Boening pe site-ul său de scurgeri de date și susține că a furat o cantitate imensă de informații sensibile din rețelele companiei pe care amenință că le va publica dacă Boeing nu contactează atacatorii până la data de 2 noiembrie 2023.
„O cantitate enormă de date sensibile a fost exfiltrată și este gata să fie publicată dacă Boeing nu ne contactează în termenul limită! Deocamdată nu vom publica liste sau mostre, pentru a proteja compania.”, se arată în mesajul publicat de atacatori pe site-ul Tor.
Cererea de răscumpărare nu a fost încă dezvăluită, dar analistul în securitate cibernetică Dominic Alvieri consideră că ar putea fi una record, de aproximativ 1,8 miliarde de dolari.
Boeing este unul dintre cei mai mari producători aerospațiali și contractori de apărare din lume, iar în 2022 compania a înregistrat vânzări de 66,61 miliarde de dolari.
Hactiviștii pro-Hamas vizează entități israeliene cu BiBi-Linux-Wiper
Echipa Security Joes Incident Response s-a oferit voluntar pentru a ajuta companiile israeliene în timpul conflictului dintre statul Israel și organizația teroristă Hamas, iar în timpul unei investigații criminalistice a identificat un nou malware Linux, denumit BiBi-Linux-Wiper, care poate distruge un întreg sistem de operare dacă rulează cu permisiuni root.
Programul malware, un executabil x64 ELF scris în C/C++ și având o dimensiune de fișier de 1,2 MB, permite atacatorului să specifice folderele țintă prin parametrii de linie de comandă, iar capabilitățile sale includ coruperea concomitentă a fișierelor, suprascrierea lor, redenumirea acestora cu o extensie ce conține șirul codificat ”BiBi” și excluderea anumitor tipuri de fișiere de la procesul de deteriorare.
Alături de analiza noului program malware, cercetătorii au diseminat TTP-urile, indicatorul de compromitere identificat în investigații și o regulă YARA.
Într-un raport tehnic publicat luni, 30 octombrie 2023, cercetătorii Horizon3.ai prezintă modul în care hackerii pot exploata vulnerabilitatea CVE-2023-20198 care a fost folosită ca o eroare de tip zero day pentru compromiterea a zeci de mii de dispozitive Cisco IOS XE.
Cisco a lansat corecții pentru majoritatea versiunilor software-ului său IOS XE, dar mii de sisteme continuă să fie compromise, conform scanărilor de pe internet, iar această vulnerabilitate poate fi exploatată de un atacator pentru crearea unui utilizator nou, cu privilegii de nivel 15, care oferă control complet asupra dispozitivului.
Atacatorii au început să exploateze CVE-2023-20198 înainte ca Cisco să dezvăluie, pe 16 octombrie, această vulnerabilitate, iar pe 25 octombrie, platforma Censys a identificat aproximativ 28.000 de gazde Cisco IOS XE compromise răspândite în întreaga lume, multe dintre dispozitive aflându-se la furnizori majori de telecomunicații și internet.
În scurt timp numărul dispozitivelor compromise a crescut de aproximativ două ori, pentru ca în decurs de câteva zile să scadă brusc la câteva sute.
Numărul dispozitivelor compromise a scăzut deoarece multe dintre acestea au devenit invizibile atunci când atacatorul a modificat codul malițios pentru a verifica dacă există un antet de autorizare înainte de a răspunde, însă cercetătorii Fox-IT au venit cu o metodă de scanare adaptată la schimbare și au declarat că, pe 23 octombrie 2023, aproximativ 38.000 de gazde Cisco IOS XE încă erau compromise.
Atlassian avertizează asupra unei noi vulnerabilități critice
Confluence Atlassian avertizează clienții să ”ia măsuri imediate” pentru a remedia o vulnerabilitate nou descoperită în instrumentul său de colaborare Confluence, toate versiunile fiind susceptibile la eroare.
Vulnerabilitatea este identificată prin CVE-2023-22518 (scor CVSS: 9,1) și a fost remediată în versiunile 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 .
Compania australiană a explicat că exploatarea vulnerabilității ar putea duce la pierderi semnificative de date, însă nu există niciun impact asupra confidențialității, deoarece un atacator nu poate exfiltra datele.
Înainte de aplicarea actualizărilor de securitate, Atlassian sugerează deconectarea instanțelor Confluence de la internetul public. Dacă acest lucru nu este realizabil, furnizorul recomandă restricționarea accesului la rețeaua externă.
Hacktiviștii ucraineni aparținând grupării IT Army of Ukraine au efectuat atacuri DDoS asupra a trei furnizori de internet ruși, Miranda Media, Krymtelekom și MirTelekom, dezactivând temporar serviciile de internet în anumite teritorii care au fost ocupate de armata rusă și au invitat susținătorii să li se alăture pentru a perturba comunicațiile inamicului.
”Acest lucru afectează nu numai Crimeea, ci și părțile ocupate din regiunile Herson, Zaporizhia, Donețk și Lugansk.
O altă lovitură a armatei noastre cibernetice care perturbă comunicarea militară a inamicului în linia frontului.” Se arată în mesajul publicat de gruparea IT Army of Ukraine pe canalul său Telegram.
Miranda Media a anunțat vineri, 27 octombrie 2023, că se confruntă cu un atac masiv de tip DDoS, menționând că ”toate serviciile tehnice și IT ale companiei au fost plasate în alertă maximă” și că sunt luate toate măsurile necesare pentru a restabili funcționalitatea rețelei.
Până la sfârșitul zilei de vineri, compania rusă a reușit să atenueze atacul și să-și restabilească parțial serviciile. Pe de altă parte, în perioada mai-septembrie 2023, gruparea de criminalitate cibernetică afiliată guvernului rus, Sandworm, a compromis sistemele IT ale unui număr de 11 furnizori de servicii de telecomunicații din Ucraina, ceea ce a dus la întreruperea serviciilor acestora
Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity Siguranta Online cybersecurity cybersecurity stiri
Vizualizat de 7398 ori
