Știrile săptămânii din cybersecurity (18.08.2022)
Site-ul Energoatom a fost atacat timp de trei ore de Armata Populară Cyber
La 16 august 2022, Energoatom, operatorul de stat al centralelor nucleare din Ucraina, a emis o declarație conform căreia site-ul propriu a fost ținta unui atac cibernetic desfășurat de grupul rus Armata Populară Cyber.
Atacatorii au utilizat 7.25 milioane de boți, care au simulat sute de milioane de vizualizări ale paginii principale a site-ului Energoatom. Atacul cibernetic a durat trei ore, însă nu a cauzat probleme semnficative.
După atacul împotriva site-ului Energoatom, Armata Populară Cyber a vizat Institutul Ucrainean al Comemorării Naționale, al cărui site a funcționat cu dificultate.
Dimensiunea cibernetică a conflictului Rusia-Ucraina
De la câștigarea vizibilității în timpul conflictului din Kosovo din 1999, atacurile cibernetice au devenit parte integrantă a conflictelor din epoca modernă, după cum reiese din atacurile cibernetice efectuate de actori statali, semistatali și nestatali în timpul conflictului Rusia-Ucraina. Prin urmare, ar fi util să înțelegem tendințele activităților cibernetice din timpul conflictului menționat, din ziua invaziei (adică 24 februarie) până la finalizarea celei de-a doua faze a conflictului (adică 12 mai). În acest sens, este important să subliniem faptul că tendințele activităților cibernetice pot diferi în diferite moduri în a treia și în etapele ulterioare.
Microsoft a întrerupt o operațiune a grupării de criminalitate cibernetică SEABORGIUM
Centrul Microsoft Threat Intelligence Center (MSTIC) a publicat un aviz prin care înștiințează publicul cu privire la anumite acțiuni întreprinse pentru a perturba campaniile de hacking și inginerie socială lansate de o grupare de criminalitate cibernetică sponsorizată de statul rus, numită SEABORGIUM.
SEABORGIUM, cunoscut și sub numele ColdRiver sau TA446, vizează în principal țările NATO, dar a desfășurat acțiuni inclusiv în Ucraina, încearcând să fure e-mailuri sensibile de la organizații și persoane de interes pentru Rusia.
Conform Microsoft, "în cadrul țărilor vizate, SEABORGIUM își concentrează operațiile în principal asupra companiilor de consultanță în domeniul apărării și al informațiilor, organizațiilor neguvernamentale și interguvernamentale, grupurilor de reflecție și învățământului superior".
Google și Apple au lansat actualizări de securitate
Google a lansat actualizări de securitate pentru 11 vulnerabilități ale browser-ului Chrome pentru Windows, Mac și Linux. Printre vulnerabilitățile reparate se află CVE-2022-2856, de tip „improper input validation”, pentru care Google a indicat că a observat un exploit activ.
În plus, Apple a lansat versiunile 12.5.1 pentru macOS, 15.6.1 pentru iOS și 15.6.1 pentru iPadOS, reparând vulnerabilitățile CVE-2022-32894, identificată la nivel kernel și CVE-2022-32893, specifică WebKit. Cele două vulnerabilități pot fi exploatate conjugat, astfel încât atacatorul să preia controlul unui dispozitiv și să instaleze malware pe acesta.
Avertizare CISA pentru exploatarea activă a unor vulnerabilități din Zimbra Collaboration Suite
Cybersecurity and Infrastructure Security Agency (CISA) a lansat o avertizare referitoare la exploatarea activă a cinci vulnerabilități specifice Zimbra Collaboration Suite (ZCS). Printre acestea se află CVE-2022-27924, o vulnerabilitate de severitate ridicată ce permite unui atacator neautentificat să injecteze comenzi memcache într-o instanță ZCS și să cauzeze rescrierea intrarilor cache.
Vulnerabilitățile au fost reparate de Zimbra în perioada mai 2022 – iulie 2022, însă CISA recomandă administratorilor să verifice existența activităților rău intenționate prin utilizarea semnăturilor de detecție din avertizare, în special în cazurile în care actualizările nu au fost aplicate rapid.
Ransomware-ul Zeppelin poate cripta dispozitivele de mai multe ori
CISA și FBI au emis un avertisment comun prin care informează organizațiile că atacatorii care implementează ransomware-ul Zeppelin ar putea cripta fișierele de mai multe ori.
De asemenea, cele două agenții americane au diseminat indicatori de compromitere (IOC), tactici, tehnici și proceduri (TTP) și au făcut recomandări pentru a ajuta profesioniștii din domeniul securității cibernetice să detecteze și să blocheze atacurile ce utilizează această tulpină de ransomware.
FBI a detectat operația Zeppelin în iunie 2021, iar malware-ul aferent operației a trecut prin mai multe schimbări de nume în decursul unui an. Operatorii Zeppelin vizează organizații din domeniul apărării, companii de tehnologie și entități din domeniul medical.
Suckworm continuă să atace entitățile ucrainene cu malware-ul Infostealer
Shuckworm, o grupare rusă de criminalitate cibernetică, cunoscută și sub denumirile Actinium, Armageddon, Gamaredon, Primitive Bear sau Trident Ursa, continuă să atace entități ucrainene cu malware-ul Infostealer în cadrul unei campanii de spionaj cibernetic.
Ultima serie de atacuri ar fi început la 15 iulie 2022 și ar fi continuat până pe 8 august 2022, fiind utilizate e-mailuri de phishing deghizate în buletine informative și ordine de luptă.
În sistemele compromise au fost livrate două backdoor-uri, Pterodo și Giddome, ambele dezvoltate și actualizate în permanență de atacatori în încercarea de a nu fi detectate. Pterodo este un malware dropper VBS cu capacități de a executa scripturi PowerShell, iar Giddome dispune, printre altele de capacitatea de a înregistra audio.
Un furnizor de software pentru sectorul sanitar britanic, afectat de un atac cu ransomware
Advanced, un furnizor de software pentru sectorul sanitar din Marea Britanie, a dezvăluit că a suferit un atac cibernetic de tip ransomware la 4 august 2022 și confirmat motivele din spatele incidentului o săptămână mai târziu.
Atacul cibernetic ar putea avea impact asupra a milioane de pacienți ai Serviciului Național de Sănătate (NHS) din Marea Britanie, un client important al companiei Advanced. Compania a apelat la Mandiant și la Microsoft pentru a investiga breșa de securitate și pentru a readuce în mediul online, cu ”protecții îmbunătățite”, sistemele afectate.
Record al numărului de fraude digitale de identitate în 2021
Conform Identity Theft Resource Center (ITRC), în 2021 au fost primite 14,947 de rapoarte referitoare la furtul de identitate de la consumatori, reprezentând o creștere cu 26% față de 2020 și cel mai mare număr de rapoarte de acest gen primit vreodată.
În acest context, 53% din persoanele care au fost victime ale înșelătoriilor au fost compromise prin fraude cu Google Voice, cel mai întâlnit tip de fraudă de identitate în 2021. Escrocii vizează potențiale victime care vând obiecte online, trimițându-le un cod de verificare Google și o cerere pentru transmiterea codului, sub pretextul verificării dacă potențiala victimă este adevăratul vânzător. Astfel, în urma primirii codului, atacatorul poate lega numărul de telefon al victimei de un cont fraudulos de Google Voice, care poate fi utilizat pentru alte înșelătorii.
În plus, ITRC a înregistrat pentru 2021 creșteri de 235% pentru furtul conturilor non-financiare și de 1044% pentru furtul conturilor de social media.
