Știrile săptămânii din cybersecurity (29.02.2024)

Foto: Pixabay

Ransomware-ul LockBit se bazează pe capacitatea de rezervă pentru a continua să funcționeze

Operațiunea de aplicare a legii care a avut loc la începutul lunii nu a compromis complet activitatea de ransomware LockBit, dar a dus la oprirea de scurgeri de date și arestarea membrilor aflați în Ucraina și Polonia. Cu membrii conducerii încă în libertate (probabil în Rusia), s-a presupus că LockBit va continua o perioadă de timp într-un mod diminuat sau, eventual, aceștia se vor reforma sub un nou nume. În schimb, grupul pare hotărât să-și restabilească capacitatea inițială cât mai curând posibil.

Grupul de ransomware LockBit a postat anterior o declarație în care a dezvăluit că forțele de ordine au folosit vulnerabilități PHP pentru a pătrunde în unele dintre site-urile sale web, inclusiv site-ul de scurgere de date. Cu toate acestea, au susținut și că au copii de rezervă fără PHP activat, care le-ar permite să revină. Această afirmație pare să fi fost corectă, deoarece grupul a lansat un nou site de scurgeri de date care listează victimele ransomware-ului său și timpul rămas pentru a începe negocierea unei plăți, înainte ca datele furate să fie pierdute.

Hackerii atacă utilizatorii care fac rezervări de bilete online folosind fișiere PDF weaponized

Atacatorii folosesc fișiere PDF weaponized pentru a exploata vulnerabilitățile software, permițându-le să execute un cod rău intenționat pe un sistem țintă.

PDF-urile oferă un format comun și de încredere care le face vehicule eficiente pentru livrarea de programe malware sau pentru lansarea de atacuri de tip phishing.

Mai mult decât atât, capacitatea lor de a încorpora scripturi și elemente multimedia crește, de asemenea, potențialul de exploatare.

Cercetătorii de securitate cibernetică de la Forcepoint au descoperit recent că hackerii atacă în mod activ utilizatorii care fac rezervări online de bilete folosind astfel de fișiere PDF.

Puteți analiza un fișier malware, o rețea, un modul și o activitate de registru cu mediul de testare pentru malware ANY.RUN și Threat Intelligence Lookup, care vă va permite să interacționați cu sistemul de operare direct din browser.

Cercetătorii detaliază vulnerabilitatea recentă a comenzilor rapide Zero-Click de la Apple

Au apărut detalii despre o vulnerabilitate de securitate de mare gravitate, corectată acum, în aplicația Apple Shortcuts, care ar putea permite o comandă rapidă pentru a accesa informații sensibile de pe dispozitiv fără consimțământul utilizatorilor.

Vulnerabilitatea, urmărită ca CVE-2024-23204 (scor CVSS: 7,5), a fost rezolvată de Apple pe 22 ianuarie 2024, odată cu lansarea iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 și watchOS 10.3.

„O comandă rapidă poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără solicitarea utilizatorului”, a spus producătorul iPhone, afirmând că problema a fost remediată cu „verificări suplimentare ale permisiunilor”.

Apple Shortcuts este o aplicație de scriptare care permite utilizatorilor să creeze fluxuri de lucru personalizate (alias macrocomenzi) pentru a executa anumite sarcini pe dispozitivele lor. Este instalat implicit pe sistemele de operare iOS, iPadOS, macOS și watchOS.

Cercetătorul de securitate Bitdefender, Jubaer Alnazi Jabin, care a descoperit și raportat eroarea comenzilor rapide, a spus că ar putea fi folosită pentru a crea o comandă rapidă rău intenționată, astfel încât să poată ocoli politicile de transparență, consimțământ și control (TCC).

În acest weekend va avea loc prima ediție a Olimpiadei de Securitate Cibernetică

Deși securitatea cibernetică nu este încă o disciplină aflată în curricula de învățământ pre-universitar, Ministerul Educației, la propunerea DNSC și a organizatorilor, respectiv a partenerilor care susțin Campionatul Național de Securitate Cibernetică și participarea echipei naționale a României la Campionatul European de Securitate Cibernetică (ECSC) a prins în calendarul oficial al olimpiadelor școlare, în premieră, Olimpiada de Securitate Cibernetică.

Competiția va debuta cu etapa județeană în acest weekend, iar cei mai talentați tineri în domeniul securității cibernetice din fiecare județ se pot califica la etapa națională care va avea loc în perioada 22-25 mai 2024, la București.

Începe Campionatul Național de Securitate Cibernetică – RoCSC2024

Anul acesta va avea loc cea de-a cincea ediție a Campionatului Național de Securitate Cibernetică – RoCSC2024, competiție lansată și organizată de Directoratul Național de Securitate Cibernetică (DNSC), Serviciul Român de Informații (prin intermediul Centrului Național Cyberint) și Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI), cu un important sprijin din partea unor parteneri și sponsori din mediul privat.

Încă din anul 2015, această inițiativă public-privată a susținut tinerele talente din domeniul cyber și a organizat activități de selecție, training și participare a echipei naționale a României la Campionatul European de Securitate Cibernetică (European Cyber Security Challenge – ECSC).

Campionatul Național, intitulat Romanian Cyber Security Challenge (RoCSC), este un eveniment anual de tip Capture The Flag (CTF) ce își propune să identifice tineri talentați în cybersecurity, să pună bazele unei comunități a pasionaților de cyber și să contribuie activ la procesul de formare a experților, în contextul unei nevoi din ce în ce mai acute pe piața muncii de specialiști în domeniu.

Retailerul Pepco a pierdut circa 15 milioane de euro în urma unui atac de tip phishing în Ungaria

Retailerul european Pepco Group a fost ținta unui atac de phishing împotriva afacerii sale din Ungaria, ceea ce a dus la pierderi de aproximativ 15 milioane de euro, a anunțat compania, potrivit Reuters.

“Nu este clar în acest stadiu dacă fondurile pot fi recuperate, deși Pepco depune diverse eforturi prin intermediul partenerilor săi bancari și al poliției”, a precizat compania.

În acest stadiu, incidentul nu pare să fi implicat informații sau date ale clienților, furnizorilor sau personalului, a adăugat compania. Pepco a precizat că grupul are un bilanț solid, cu acces la lichidități de peste 400 de milioane de euro din numerar și facilități de credit, și că a continuat să genereze un flux de numerar puternic din operațiunile sale.

Grupul Pepco are 248 de magazine în Ungaria și a avut venituri de 1,9 miliarde de euro în primul trimestru.

Criminalitatea cibernetică va crește fulminant în anii următori

Costul global al criminalității cibernetice este de așteptat să crească în următorii patru ani, de la 9,22 trilioane de dolari în 2024, la 13,82 trilioane de dolari, până în 2028, potrivit estimărilor de la Statista Market Insights.

Criminalitatea cibernetică este definită de Cyber Crime Magazine drept „deteriorarea și distrugerea datelor, furtul banilor, pierderi de productivitate, furt de proprietate intelectuală, furt de date personale și financiare, delapidare, fraudă, întrerupere post-atac a activității normale, investigații criminalistice, restaurarea și ștergerea datelor și sistemelor piratate și prejudicii asupra reputației”, potrivit Statista.

Pe măsură ce tot mai mulți oameni folosesc internetul, fie pentru muncă, fie pentru viața personală, există mai multe oportunități potențiale de exploatare pentru infractorii cibernetici.

În același timp, tehnicile atacatorilor devin din ce în ce mai avansate, cu mai multe instrumente disponibile pentru escroci. Pandemia de coronavirus a înregistrat o schimbare deosebită în atacurile cibernetice, după cum explică analiștii Market Insights de la Statista: „Criza COVID-19 a venit cu mai multe atacuri cibernetice în organizații, din cauza vulnerabilității de securitate a muncii de la distanță, precum și a trecerii la medii IT virtualizate, cum ar fi ca infrastructura, datele și rețeaua de cloud computing.”

Actorii cibernetici ruși folosesc routere compromise pentru a facilita operațiunile cibernetice

Agenția Națională de Securitate a SUA (NSA) s-a alăturat Biroului Federal de Investigații (FBI) și altor co-semnatari, pentru a publica un aviz de securitate cibernetică - „Actorii cibernetici ruși folosesc routere compromise pentru a facilita operațiunile cibernetice”. Materialul include informații despre tacticile, tehnicile și procedurile observate (TTP), indicatorii de compromitere (IOC) și recomandări de atenuare pentru utilizatorii EdgeRouter și alte soluții de securitate a rețelei.

Cel de-al 85-lea Centru de Servicii Speciale Principale al Statului Major al Rusiei (GRU), cunoscut și sub denumirea de APT28, Fancy Bear și Forest Blizzard, a folosit Ubiquiti EdgeRouters compromis pentru colectarea de acreditări, rezumate, trafic de rețea proxy și găzduiește pagini de spearphishing și instrumente personalizate. Printre victime se numără instituțiile academice, de cercetare, ambasadele, contractanții pentru apărare și partidele politice.

Ubiquiti EdgeRouters au un sistem de operare ușor de utilizat, bazat pe Linux, care le face populare atât printre consumatori, cât și printre actorii cibernetici rău intenționați. Dispozitivele sunt adesea livrate cu acreditări implicite și au protecție limitată pentru firewall. În plus, EdgeRouters nu își va actualiza automat firmware-ul decât dacă este configurat de către consumator.

Recomandările includ efectuarea unei resetări hardware din fabrică, actualizarea la cea mai recentă versiune de firmware, modificarea oricăror nume de utilizator și parole implicite și implementarea regulilor strategice de firewall pe interfețele WAN.

FBI avertizează sectorul medical din SUA cu privire la atacuri vizate de ransomware-ul BlackCat

Guvernul SUA avertizează cu privire la reapariția atacurilor ransomware BlackCat (alias ALPHV) care vizează sectorul sănătății chiar și în această lună.

„De la mijlocul lui decembrie 2023, dintre cele aproape 70 de ținte, sectorul sănătății a fost cel mai frecvent victimizat”, a spus guvernul într-un aviz actualizat.

„Acest lucru este probabil ca răspuns la postarea administratorului ALPHV/BlackCat care își încurajează afiliații să vizeze spitalele după acțiuni operaționale împotriva grupului și a infrastructurii sale la începutul lunii decembrie 2023”.

Alerta vine din partea Biroului Federal de Investigații (FBI), a Agenției pentru Securitate Cibernetică și a Infrastructurii (CISA) și a Departamentului de Sănătate și Servicii Umane (HHS).

Operațiunea de ransomware BlackCat a suferit o lovitură majoră la sfârșitul anului trecut, după ce o operațiune coordonată de aplicare a legii a dus la confiscarea site-urilor de pe DarkWeb pe care publică scurgeri date. Dar eliminarea s-a dovedit a fi un eșec după ce grupul a reușit să recâștige controlul asupra site-urilor și a trecut la un nou portal de scurgeri de date TOR care continuă să rămână activ până în prezent.

Infiniti USA Cyber Attack dezvăluie o nouă amenințare pentru Dark Web: Grupul Ransomware Mogilevich

Infiniti USA, divizia de vehicule de lux a producătorului japonez Nissan, a devenit presupusa țintă a unui atac cibernetic sofisticat al unui nou grup de ransomware.

Atacatorii, identificați ca grupul de ransomware Mogilevich, au orchestrat atacul cibernetic planificat cu meticulozitate, compromițând o cantitate substanțială de date sensibile.

Anunțul inițial al atacului cibernetic asupra Infiniti USA a apărut pe dark web, unde grupul și-a proclamat succesul în infiltrarea sistemelor Infiniti USA și a postat, de asemenea, despre veniturile organizației, în valoare totală de 528,5 milioane de dolari.

Datele compromise, de peste 22 GB, au inclus un set de date de informații confidențiale, variind de la numerele de identificare ale vehiculelor (VIN) la numele clienților, adresele, e-mailurile și parole.

Un astfel de depozit vast de date cu caracter personal are implicații grave atât pentru persoanele afectate, cât și pentru organizație, evidențiind consecințele grave ale intruziunilor cibernetice.