Au fost publicate Normele privind autorizarea și verificarea furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (19.01.2023)

2023/01/19
Popularitate 1000

Comisia Europeană anunță intrarea în vigoare a Directivei NIS2 și a Directivei CER

La 16 ianuarie 2023, Comisia Europeană a anunțat intrarea în vigoare a Directivei privind măsurile pentru un nivel comun ridicat de securitate cibernetică în Uniunea Europeană (Directiva NIS2) și Directiva privind reziliența entităților critice (Directiva CER).

Conform Comisiei Europene, „Directiva NIS2 va asigura o Europă mai sigură și mai puternică prin extinderea semnificativă a sectoarelor și tipurilor de entități critice care intră în domeniul său de aplicare. Acestea includ furnizorii de rețele și servicii publice de comunicații electronice, servicii de centre de date, managementul apelor uzate și a deșeurilor, producția de produse critice, servicii poștale și de curierat și entități ale administrației publice, precum și sectorul sănătății în general. În plus, va consolida cerințele de gestionare a riscului de securitate cibernetică pe care companiile sunt obligate să le respecte și va simplifica obligațiile de raportare a incidentelor cu prevederi mai precise privind raportarea, conținutul și termenele.

Directiva CER înlocuiește Directiva europeană din 2008 privind infrastructura critică. Noile reguli vor consolida rezistența infrastructurii critice la o serie de amenințări, inclusiv calamități naturale, atacuri teroriste, amenințări interne sau sabotaj. Vor fi acoperite 11 sectoare: energie, transport, bancar, infrastructura pieței financiare, sănătate, apă potabilă, ape uzate, infrastructura digitală, administrație publică, spațiu și alimentație. Statele membre vor trebui să adopte o strategie națională și să efectueze evaluări periodice ale riscurilor pentru a identifica entitățile care sunt considerate critice sau vitale pentru societate și economie.

Ucraina propune înființarea Cyber United Nations

Într-un raport comun al Serviciului Statal de Comunicații Speciale și Protecția Informației (SSSCIP) și al Consiliului pentru Securitate Economică din Ucraina au fost detaliate atacurile cibernetice conjugate cu cele fizice lansate de Rusia împotriva infrastructurii critice din Ucraina.

Astfel, raportul propune crearea Cyber United Nations, echivalarea atacurilor cibernetice împotriva serviciilor civile cu crimele de război și modificarea definiției Națiunilor Unite pentru agresiune, astfel încât să inculdă utilizarea armelor cibernetice.

Conform lui Yurii Shchyhol, liderul SSSCIP, „Avem nevoie de Cyber United Nations, națiuni unite în spațiul cibernetic pentru a ne proteja, pentru protejarea eficientă a lumii în viitor, a lumii cibernetice și a lumii reale și convenționale. În această situație este necesar un hub sau o locație unde să putem schimba informații, să ne putem sprijini și interacționa.

Administrația Biden devine mult mai agresivă în abordarea securității cibernetice

O nouă politică va permite agențiilor americane să pătrundă în rețelele de criminalitate cibernetică și ale unor guverne străine. Președintele Biden este pe cale să aprobe o politică care merge mult mai departe decât orice efort anterior de a proteja companiile private de atacatori – și de a răspunde împotriva hackeri prin lansarea propriilor atacuri cibernetice.

Documentul de 35 de pagini, intitulat „Strategia națională de securitate cibernetică”, diferă de cele 12 documente similare semnate de președinți în ultimul sfert de secol, în două moduri semnificative. În primul rând, impune reglementări obligatorii pentru o gamă largă de industrii americane. În al doilea rând, autorizează agențiile americane de apărare, de informații și de aplicare a legii să continue ofensiva în rețelele de calculatoare ale infractorilor și ale guvernelor străine, ca represalii la atacurile lor asupra rețelelor americane.

O grupare de criminalitate cibernetică dezvăluie capacitatea de a cripta un dispozitiv RTU folosind ransomware

Un grup de hackeri a susținut că a efectuat un atac ransomware împotriva unui RTU (remote terminal unit), un dispozitiv mic aflat în mediile sistemului de control industrial (ICS). Atacatorii au explicat că au executat ransomware GhostSec în timpul operațiunii.

În mesajul său de pe Twitter, Anonymous Operations a scris: „Toată lumea știe că GhostSec a crescut nivelul de când am început să atacăm ICS, acum este timpul să împingem istoria hacking-ului și mai departe!”. Toată lumea a auzit, evident, despre un ransomware care a atacat un desktop cu Windows, un server sau dispozitive IoT, dar am dori să anunțăm acum primul atac RTU!"

Grupul a adăugat: „Da! Tocmai am criptat primul RTU din istorie! Un dispozitiv mic proiectat doar pentru un mediu ICS! Știam că va veni timpul mai devreme sau mai târziu. Ei bine, a venit!

Aproximativ 1000 de nave afectate de un atac ransomware

Serverele software-ului ShipManager, furnizat de compania DNV, au fost afectate de un atac ransomware pe 7 ianuarie 2023.

Astfel, in jur de 70 de clienți ai DNV, ce operează aproximativ 1000 de nave, au fost anunțați să ia în considerare măsuri de ameliorare în funcție de datele încărcate în sistemul ShipManager. Totuși, incidentul nu a afectat abilitatea navelor de a opera în continuare, acestea folosind funcțiile offline ale ShipManager.

Conform lui Simon Chassar, chief revenue officer la Claroty, „Din nefericire, atacurile ce afectează industria de infrastructură critică sunt în creștere, acestea crescând transformarea digitală și adăugând mai multe sisteme cyber-fizice la rețelele lor fără a avea instrumentele de protecție potrivite.”

Vulnerabilități critice de securitate descoperite în routere Netcomm și TP-Link

Două vulnerabilități de securitate, identificate prin CVE-2022-4873 și CVE-2022-4874, afectează modelele de router Netcomm NF20MESH, NF20 și NL1902 care rulează versiuni de software anterioare versiunii R6B035 și care, atunci când sunt înlănțuite, permit unui atacator aflat la distanță să execute cod arbitrar, conform unui aviz publicat de Carnegie Mellon University (CMU) la 17 ianuarie 2023.

De asemenea, potrivit unui alt aviz al CMU, două vulnerabilități de securitate afectează routerele TP-Link WR710N-V1-151022 și Archer-C5-V2-160201, prima dintre ele, identificată prin CVE-2022-4499, conducând la dezvăluirea informațiilor, iar cea de-a doua, CVE-2022-4498, permițând executarea codului de la distanță.

MSI ar fi dezactivat accidental Secure Boot pentru peste 290 de plăci de bază

Un cercetător de securitate a descoperit că producătorul de plăci de bază MSI ar fi dezactivat accidental unele funcții de pornire securizată UEFI pe mai mult de 290 de modele bazate pe Intel și AMD care utilizează o versiune recentă de firmware, dezactivarea afectând inclusiv modele noi de plăci de bază MSI.

Cercetătorul susține că actualizarea pentru firmware-ul MSI ”7C02v3C”, lansată pe 18 ianuarie 2022, a schimbat o setare implicită Secure Boot pe plăcile de bază MSI, astfel încât sistemul să pornească ignorând potențialele încălcări de securitate, în condițiile în care producătorul nu a documentat niciodată schimbarea.

O listă completă a celor peste 290 de plăci de bază afectate de această setare nesigură este disponibilă pe GitHub.

O rețea de criminalitate cibernetică ce vindea criptomonede false a fost destructurată

Europol a anunțat desființarea unei rețele de criminalitate cibernetică implicată în vânzarea de criptomonede false în Europa, Australia și Canada, 14 persoane fiind arestate și peste 260 de alți suspecți au fost audiați. Suspecții au folosit reclame pe rețelele de socializare pentru a găsi victime și pentru a le atrage să investească bani în criptomonede false.

Victimele rețelei desființate de Europol sunt, preponderent, cetățeni germani și au fost ademenite să investească sume care au crescut progresiv, prejudiciul financiar ajungând în final la peste 2 milioane EUR. Poliția suspectează că un număr mare de fraude nu au fost raportate de victime și din acest motiv prejudiciul financiar total ar putea fi de sute de milioane de euro.

O operație internațională de aplicare a legii a fost desfășurată de autorități în Bulgaria, Cipru, Germania și Serbia, poliția percheziționând mai multe locații și confiscând trei portofele criptografice în valoare de aproximativ 1 milion USD, 50,000 EUR, trei autoturisme, documente, echipamente electronice și copii de rezervă ale unor date.

Cuba Ransomware exploatează vulnerabilitatea Microsoft SSRF

Rapoarte recente de la Microsoft și de la alte companii sugerează că gruparea de criminalitate cibernetică urmărită sub numele DEV-0671 sau Cuba Ransomware a început să exploateze vulnerabilitatea de tip zero-day identificată prin CVE-2022-41080, exploatată și în atacurile ransomware Play, pentru a compromite serverele Microsoft Exchange.

Pentru această vulnerabilitate SSRF Exchange, Microsoft a lansat actualizări de securitate la 8 noiembrie 2022, iar organizațiile ar trebui să implementeze cele mai recente dintre acestea sau să dezactiveze Outlook Web Access (OWA) până la aplicarea remedierilor pentru CVE-2022-41080.

VPN-uri compromise sunt folosite pentru răspândirea malware-ului EyeSpy

Bitdefender a descoperit o campanie ce exploatează componente ale aplicației legitime de monitorizare SecondEye pentru a spiona utilizatorii 20Speed VPN, un serviciu VPN iranian.

Programul malware de supraveghere livrat se numește EyeSpy, majoritatea infecțiilor provin din Iran, cu detectări mai mici în Germania și SUA, iar Bitdefender a indicat că ”EyeSpy are capacitatea de a compromite pe deplin confidențialitatea online prin înregistrarea tastelor și furtul de informații sensibile, cum ar fi documente, imagini, portofele criptografice și parole. Acest lucru poate duce la preluări complete de cont, furt de identitate și pierderi financiare”.

Avast a lansat un decriptor gratuit pentru ransomware-ul BianLian

Cercetătorii de la Avast au dezvoltat un decriptor pentru ca victimele unei variante a ransomware-ului BianLian să își poată restaura fișierele criptate, punându-l gratuit la dispoziția acestora.

Avast declară că decriptorul BianLian este un proiect încă în desfășurare, iar capacitatea de a decripta fișiere criptate cu ajutorul altor variante ale acestei tulpini de ransomware va fi adăugată în curând.

De asemenea, Avast oferă și alte instrumente gratuite de decriptare pentru diverse programe ransomware.

Trei sferturi dintre școlile din UK au avut un incident cibernetic în ultimii trei ani

În mai 2022, 805 școli din Regatul Unit au fost supuse unui al doilea audit efectuat de către National Cyber Security Center și National Grid for Learning, primul având loc în anul 2019.

Concluziile acestui nou raport indică faptul că 73% dintre școli au avut incidente de tip phishing sau situații în care angajații au fost redirecționați către site-uri web frauduloase, comparativ cu 69% în 2019.

Auditul din 2022 a evidențiat numeroase îmbunătățiri ale măsurilor de securitate, cum ar fi protecția firewall în 100% dintre școli, soluții antvirus utilizate în 99% din cazuri și implementarea autentificării 2FA au pe cele mai importante conturi în 74% dintre unitățile de învățământ.

 


Vizualizat de 3294 ori