A publicat studiul «Disponibilitatea pentru implementarea în România a schemei de certificare a securității cibernetice» Accesați aici studiul

Știrile săptămânii din cybersecurity (04.08.2022)

2022/08/04
Popularitate 1000

O rețea de peste 11,000 de site-uri de investiții false vizează Europa

Infractorii cibernetici vizează site-urile de comerț electronic care folosesc platforma PrestaShop pentru a fura informațiile de plată ale clienților. Atacatorii abuzează de un lanț de vulnerabilități nou descoperit pentru a executa cod malițios.

În acest context, este utilizată o rețea cu peste 11.000 de domenii pentru a promova numeroase scheme de investiții false utilizatorilor din mai multe țări din Europa și pentru a-i convinge să depună minim EUR 250. Platformele prezintă dovezi false ale unor celebrități pentru a crea o imagine de legitimitate și a atrage un număr mai mare de victime.

Astfel, este recomandată o atenție sporită în selectarea serviciilor unei platforme de investiții prin practici precum consultarea recenziilor de la alți utilizatori. De multe ori, escrocii nu fac eforturi pentru a imita opinia unui utilizator real și publică variații ale aceluiași text.

FIRST aduce modificări cu privire la protocolul TLP

Organizația FIRST (Forum of Incident Response and Security Teams) a anunțat intrarea în vigoare a unei noi versiuni a protocolului TLP (TRAFFIC LIGHT PROTOCOL), începând cu data de 1 august 2022.TLP a fost creat pentru a facilita o mai bună partajare a informațiilor potențial sensibile și o colaborare mai eficientă. Schimbul de informații are loc de la o sursă de informații, către unul sau mai mulți destinatari.

TLP reprezenta astfel un set de patru etichete utilizate pentru a indica limitele de partajare care trebuie aplicate de destinatari.  Prima variantă a protocolului cuprindea patru termeni standard - TLP:RED, TLP:AMBER, TLP:GREEN și TLP:WHITE. Schimbarea cheie introdusă în TLP v2 este înlocuirea termenului “TLP:WHITE” cu termenul “TLP:CLEAR”. În ciuda schimbării terminologiei, termenul și-a păstrat însemnătatea.

BlackCat a revendicat atacul de tip ransomware asupra Creos Luxembourg

Gruparea de criminalitate cibernetică ALPHV, alias BlackCat, a revendicat săptămâna trecută responsabilitatea unui atac cibernetic, din perioada 22 - 23  iulie 2022, împotriva Creos Luxembourg SA, operatorul unor rețele de energie electrică și gaze naturale.

Deși atacul cibernetic a dus la indisponibilitatea portalurilor pentru clienți ale Encevo și Creos, nu a existat nicio întrerupere a serviciilor furnizate.

La 31 iulie 2022, BlackCat  a adăugat Creos pe site-ul său de extorcare și a amenințat Creos asupra faptului că va publica 180.000 de fișiere furate cu o dimensiune totală de peste 150 GB, inclusiv contracte, acorduri, pașapoarte, facturi și e-mailuri, etc.

Mai multe site-uri guvernamentale din Taiwan au fost vizate de atacuri DDoS

Mai multe atacuri de tip Distributed-Denial-of-Service (DDoS) au cauzat întreruperi ale mai multor site-uri web guvernamentale din Taiwan, în contextul sosirii mediatizate a lui Nancy Pelosi, speaker-ul Camerei Reprezentanților din Statele Unite ale Americii.

Astfel, site-urile web ale biroului prezidențial din Taiwan, ale ministerului de externe și ale altor instituții guvernamentale au fost oprite pentru scurt timp după ce au fost inundate de trafic.

Ministerul de Externe din Taiwan a susținut că site-urile web ale ministerului și ale biroului prezidențial au fost afectate de până la 8,5 milioane de solicitări de trafic pe minut de la un „număr mare de IP-uri din China, Rusia și alte locuri”.

Poliția Spaniolă a arestat doi indivizi care au atacat cibernetic sistemul de alertă la radiații

Poliția Spaniolă a anunțat arestarea a două foști lucrători în domeniul energiei nucleare, în legătură cu un atac cibernetic asupra rețelei de alertă de radioactivitate (RAR) a Spaniei, care a avut loc între martie și iunie 2021. Actul de sabotaj ar fi dezactivat mai mult de o treime din senzorii utilizați pentru a monitoriza nivelurile excesive de radiații în întreaga țară.

Conform unei analize împărtășite de Poliția Spaniolă, intruziunea a fost în două direcții, una care a culminat cu accesul neautorizat la sistemul informatic al centrului de control pentru a șterge o aplicație web folosită pentru gestionarea sistemului RAR.

O a doua componentă a atacului a presupus țintirea a peste 300 de senzori pe parcursul a două luni, determinând eșecul conexiunii acestora cu centrul de control și reducând astfel capacitatea de detectare a rețelei.

Malware CosmicStrand găsit pe plăcile de bază ASUS și Gigabyte

Cercetătorii de la Kaspersky au descoperit o nouă variantă a rootkit-ului UEFI, numită CosmicStrand și populară printre hackerii vorbitori de limbă chineză. Atacatorii folosesc astfel de programe malware din 2016 pentru a viza ținte din China, Vietnam, Iran și Rusia.

CosmicStrand are un lanț de execuție complex pentru infecția sistemelor Windows cu un implant în modulul kernel, rămânând nedetectat și persistând într-un sistem atât timp cât este fezabil.

Rootkit-urile UEFI sunt neobișnuite și apar doar în atacurile foarte direcționate. Acest tip de malware este conceput special pentru a infecta computerele la cel mai elementar nivel și se asigură astfel că un computer rămâne infectat chiar dacă sistemul de operare este reinstalat sau utilizatorul înlocuiește în întregime hard disk-ul dispozitivului.

Hackerii chinezi folosesc Manjusaka ca alternativă pentru Cobalt Strike

Cercetătorii de la Cisco Talos au dezvăluit un nou cadru ofensiv numit Manjusaka, pe care ei îl descriu ca „un frate chinez al lui Sliver și Cobalt Strike”.

O versiune complet funcțională a sistemului de comandă și control (C2), scrisă în Golang cu o interfață de utilizator în limba chineză simplificată, este disponibilă gratuit și poate genera cu ușurință noi implanturi cu configurații personalizate, crescând probabilitatea adoptării mai largi a acestui cadru. de către atacatori.

Manjusaka conține toate caracteristicile clasice ale unui astfel de malware. Dezvoltatorul cadrului de atac poate integra cu ușurință noi sisteme de operare precum MacOSX sau mai multe variante ale Linux, precum cele care rulează pe dispozitive încorporate.

Hackerii nord-coreeni folosesc o extensie de browser malițioasă pentru a spiona conturile de e-mail

Atacatorii cibernetici asociați Coreei de Nord au implementat o extensie malițioasă pe browserele web bazate pe Chromium, capabilă să fure conținutul e-mail-urilor din Gmail și AOL.

Instalarea add-on-ului se realizează prin înlocuirea fișierelor Preferences și Secure Preferences ale browserului cu cele primite de la un server de la distanță, în urma pătrunderii cu succes în sistemul Windows vizat.

Firma de securitate cibernetică Volexity a atribuit malware-ul grupului SharpTongue, despre care se spune că se suprapune grupul Kimsuky. De obicei, SharpTongue vizează persoanele care lucrează pentru organizații din SUA, Europa sau Coreea de Sud și care "lucrează pe subiecte care implică Coreea de Nord, probleme nucleare, sisteme de armament și alte chestiuni de interes strategic pentru Coreea de Nord."

Grupul Semikron a fost ținta unui atac cibernetic al LV Ransomware

Semikron este un producător independent de componente semiconductoare de putere mare cu sediul în Germania, 24 de filiale în lume și fabrici de producție în Germania, Brazilia, China, Franța, India, Italia, Slovacia și SUA.

Conform Semikron, compania a fost victima unui atac cibernetic în urma căruia atacatorii responsabili suțin că au exfiltrat date. Deși compania nu a distribuit nicio informație despre ransomware-ul utilizat în incident, o notă de răscumpărare implementată pe unul dintre sistemele Semikron criptate indică un atac LV Ransomware și că au fost furate documente și alte date în valoare de 2 TB.

Producătorul european de rachete MBDA neagă că hackerii ar fi pătruns în sistemele sale

Producătorul european de rachete MBDA a negat că sistemele sale au fost încălcate după ce atacatorii cibernetici s-au oferit să vândă date presupus a fi furate din sistemele companiei.

Hackerii din grupul auto-intitulat „Adrastea” au susținut că au exploatat vulnerabilități critice din sistemele Semikron și au obținut aproximativ 60 GB de date, inclusiv fișiere care descriu proiecte militare sau informații comerciale. Fișierele au fost scoase la vânzare.

Pe 1 august 2022, MBDA a emis o declarație prin care a confirmat că fișierele au fost furate, dar a neagat că sistemele sale au fost încălcate de hackeri. În acest context, este posibil ca atacatorii să fi obținut acces la o unitate de stocare a unui angajat al companiei.


Postat în: stiri awareness

Vizualizat de 1173 ori