Пробив в сигурността

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Malware кампания, наречена DollyWay, е компрометирала над 20 000 WordPress страници в глобален мащаб.

Тя функционира от 2016, но постоянно се развива, като използва все по-усъвършенствани стратегии за избягване на откриването, повторно заразяване и монетизиране.

Според GoDaddy в последната си версия кампанията действа като мащабна система за пренасочване към зловредни сайтове. В миналото тя е разпространявала вредни полезни товари като ransomware и банкови троянски коне.

Към февруари 2025 DollyWay е генерирала 10 милиона измамни импресии месечно. Тя е пренасочвала посетителите на WordPress сайтове към фалшиви платформи за запознанства, хазарт, крипто и лотарии. Това се случва въз основа на различни аспекти като местоположение на потребителя, тип устройство и т.н.

DollyWay е много устойчива заплаха, която автоматично заразява отново сайта при всяко зареждане на страница, което прави премахването ѝ особено трудно. Тя постига това, като разпространява своя PHP код във всички активни плъгини. Също така добавя копие на плъгина WPCode, който съдържа фрагменти от зловреден софтуер.

Подробности за кампанията и как да разберете, че сайтът ви е заразен, можете да намерите ТУК.

Грешка в ChatGPT позволява на нападателите да пренасочват потребителите към злонамерени URL адреси.

Според компанията за киберсигурност Veriti това излага на риск 35% от организациите, които използват платформата на OpenAI. Причината са неправилно конфигурирани intrusion prevention systems (IPS), WAF и firewall.

Нападателите могат да използват тази уязвимост, за да инжектират злонамерени URL адреси във входните параметри на ChatGPT. Използването ѝ е насочено основно срещу финансови организации.

За да се защитите:

• проверете своите IPS, WAF и firewall конфигурации;
• приоритизирайте свързаните с AI пропуски в сигурността в оценките на риска;
• винаги имайте едно наум, когато проследявате линкове към източници, подадени ви от GenAI платформите.

Над 300 приложения за Android, изтеглени 60 милиона пъти от Google Play, действат като adware или инструменти за кражба на креденшъли и информация за кредитни карти.

Според IAS Threat Lab те са обединени в кампания, наречена Vapor, стартирала в началото 2024 г.

Въпреки че всички тези приложения са били премахнати от магазина на Google, съществува риск Vapor да се завърне чрез нови такива. Причината – нападателите вече са демонстрирали способността си да заобикалят процеса на преглед на технологичния гигант.

Приложенията предлагат различни специализирани функционалности – проследяване на здравето, водене на бележки и дневници, оптимизатори на батерията, скенери за QR кодове и др. Те не съдържат злонамерени компоненти към момента на изпращане за проверка. Вместо това зловредната функционалност се изтегля след инсталиране чрез актуализации, доставени от C2 сървъри.

Сред най-често изтегляните зловредни приложения в кампанията са:

• AquaTracker – 1 милион изтегляния;
• ClickSave Downloader – 1 милион изтегляния;
• Scan Hawk – 1 милион изтегляния;
• Water Time Tracker – 1 милион изтегляния;
• Be More – 1 милион изтегляния;
• BeatWatch – 500 000 изтегляния;
• TranslateScan – 100 000 изтегляния;
• Handset Locator – 50 000 изтегляния.

Пълният списък на всички 331 злонамерени приложения, качени в Google Play, е достъпен ТУК.

За да се предпазите от подобни кампании:

• избягвайте инсталирането на ненужни приложения от неблагонадеждни издатели;
• проверявайте внимателно предоставените разрешения: Settings → Apps → See all apps (Настройки → Приложения → Виж всички приложения);
• ако откриете, че сте инсталирали някое от тези приложения, незабавно ги премахнете. Направете пълно сканиране на системата с Google Play Protect.

 

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

Tри новооткрити критични уязвимости на VMware се използват активно от хакерите. Те позволяват на нападатели с привилегирован достъп до виртуални машини (VM):

• да увеличават привилегиите си;
• да изпълняват код на хипервайзори;
• да изнасят чувствителни данни от паметта.

Уязвимостите, открити от Microsoft Threat Intelligence Center (MSTIC), засягат продуктите VMware ESXi, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform.

Broadcom вече е пуснала пачове за засегнатите продукти:

• ESXi 8.0/7.0: Пачове ESXi80U3d-24585383 и ESXi70U3s-24585291;
• Workstation 17.x: Версия 17.6.3;
• Fusion 13.x: Актуализация 13.6.3.

Организациите, използващи VMware Cloud Foundation или Telco Cloud Platform, трябва да приложат асинхронни пачове или да преминат към фиксирани версии на ESXi.

Съветваме ви:

• незабавно да актуализирате ESXi, Workstation и Fusion;
• да наблюдавате активността на виртуалните машини за необичайни модели за повишаване на привилегиите или достъп до паметта.

Виртуализацията е в основата на критичната инфраструктура. Проактивната защита е от първостепенно значение за сигурността на вашата организация.

 

50% от всички организации имат натрупани уязвимости с висока степен на сериозност, оставени отворени за повече от една година. Над 2/3 (70%) от тях идват от код на трети страни и веригата за доставка на софтуер.

В същото време средното време за отстраняване на уязвимостите в сигурността на софтуерите е нараснало до осем месеца и половина. Според доклада State of Software Security (SoSS) на Veracode това е ръст от 47% за последните пет години.

Ако се направи сравнение с преди 15 години, този скок е още по-умопомрачаващ – 327%. Това до голяма степен се дължи на по-голямото разчитане на код от трети страни и използването на такъв, генериран от AI.

Около 3/4 (74,2%) от всички организации имат някакъв дълг по отношение на сигурността, включително недостатъци с по-ниска степен на сериозност.

Други констатации в доклада включват:

• 56% от приложенията съдържат уязвимости в сигурността с висока степен на сериозност, а 80,3% – някакви недостатъци, били те и по-незначителни;
• 64% от приложенията имат уязвимости в кода на първата страна, докато 70% – в кода на трети страни.

Съветваме организациите да следят постоянно за новооткрити уязвимости и да прилагат пачове в първия възможен момент.

Услугата за уведомяване за нарушаване на сигурността на данните Have I Been Pwned (HIBP) добави над 284 милиона нови акаунта, откраднати чрез infostealer.

Информацията е открита в канал в Telegram, наречен ALIEN TXTBASE. От услугата са анализирали 1,5 TB логове, събрани от различни източници. Те съдържат 23 млрд. реда с 493 млн. уникални двойки уебсайтове и имейл адреси, както и 244 милиона нови компрометирани пароли.

Поради големия брой акаунти в тази колекция данните вероятно включват стари и нови креденшъли, откраднати чрез credential stuffing атаки.

Съветваме ви да проверите веднага дали някой от вашите онлайн профили не е компрометиран и да вземете необходимите мерки, ако сте част от списъка. Те включват:

• незабавна смята на паролите на всички засегнати акаунти със силни и уникални комбинации;
• активиране на 2FA;
• проверка на други ваши акаунти дали не са компрометирани;
• постоянно следене за подозрителна активност в засегнатите акаунти;
• абониране за известия от Have I Been Pwned, за да бъдете информирани за бъдещи пробиви в сигурността, които могат да засегнат вашите профили.

Последен ъпдейт на 17 март 2025 в 09:52 ч.

Откраднатите акаунти в WhatsApp подхранват мащабна престъпна дейност – от разпространение на спам до сложни измамни схеми. Ето защо те са постоянен фокус на киберпрестъпниците, които използват различни методи за тяхното превземане.

Нападателите обикновено поемат контрола върху акаунта ви в WhatsApp по два начина. Единият е да добавят ново устройство към акаунта ви чрез функцията Linked devices. Другият – да пререгистрират профила ви на своето устройство, сякаш сте си купили нов смартфон.

В първия случай вие продължавате да използвате приложението както обикновено, но престъпниците също имат достъп до него. Във втория – губите достъп до акаунта си, а когато се опитате да влезете, WhatsApp ви уведомява, че той се използва на друго устройство.

Признаци, че акаунтът ви в WhatsApp е компрометиран

Има няколко признака, че акаунтът ви вече може да е компрометиран. Това са:

• получавате отговори на съобщения, които никога не сте изпращали;
• приятелите ви се оплакват от странни съобщения, идващи от вас;
• забелязвате изтрити съобщения в чатовете, включително и от самите вас – въпреки че никога не сте изпращали или изтривали нищо там;
• получавате код за проверка на вход в WhatsApp, който не сте поискали или очаквали;
• вашият акаунт има статус или е публикувал истории, които не сте създавали;
• профилната ви снимка, името или описанието на профила ви са се променили неочаквано;
• добавени сте към чатове или групи, към които никога не сте се присъединявали;
• когато се опитате да влезете в профила си, WhatsApp ви информира, че той се използва на друго устройство и ви подканва да се регистрирате отново.

Обърнете специално внимание на първите три признака и действайте незабавно, ако ги забележите. Хакерите често използват компрометирани акаунти, за да измамят техните контакти. Те могат да се представят за вас, за да поискат спешна финансова помощ, да обещаят подаръци или да поканят хората да участват във фалшиви анкети.

Какво да направите, ако акаунтът ви в WhatsApp е бил хакнат

След като се уверите, че профилът ви в приложението е компрометиран, трябва веднага да предприемете действия. Петте стъпки включват:

1. Уверете се, че SIM картата, свързана с акаунта ви в WhatsApp, е поставена в смартфона ви.
2. Отворете WhatsApp.
3. Ако той се отвори нормално:

• отидете в настройките на приложението – Settings (Настройки) на iPhone или в допълнителното меню (трите точки) на Android. Изберете Linked devices (Свързани устройства);
• излезте от профила си на всички допълнителни устройства, за да прекъснете достъпа на нападателите;

4. Ако WhatsApp ви каже, че сте излезли от профила си и трябва да се регистрирате:

• въведете телефонния си номер;
• поискайте еднократен код за регистрация;
• изчакайте SMS или гласово повикване с кода и го въведете;
• ако акаунтът ви е защитен с 2FA, след като въведете еднократния код за регистрация, въведете и ПИН кода си.
• WhatsApp може да ви предложи да възстановите чатовете и настройките си от резервно копие в iCloud, Google Drive или локално хранилище. Приемете!

5. Ако преди това не сте задали изискването за ПИН код, нападателите може да са го направили, за да ви попречат да възстановите достъпа си.

• той може да бъде нулиран чрез Forgot PIN (Забравен ПИН). Ако имейл адресът ви е свързан с вашия акаунт в WhatsApp, ще получите незабавно връзка за нулиране;
• отидете в него, отворете последното съобщение от WhatsApp, докоснете връзката вътре и след това изберете Confirm. След това можете да се върнете в WhatsApp и да зададете нов ПИН код;
• дори да не сте свързали имейл адрес, можете да поискате нулиране на ПИН, но ще трябва да изчакате една седмица. През това време акаунтът ви ще остане недостъпен.

Как да защитите акаунта си от ново хакване

След като завършите тези стъпки, достъпът на нападателите до профила ви ще бъде преустановен. Но много скоро отново може да станете обект на атака.

За да се защитите от ново превземане на акаунта си:

• включете верификация в две стъпки и запомнете своя ПИН код – той не е еднократен. За да направите това, отидете в Settings (Настройки) → Account (Акаунт) → Two-step verification;
• никога не споделяйте своя ПИН код или еднократните кодове за регистрация с никого, тъй като само измамниците питат за тези данни;
• WhatsApp вече позволява въвеждането на биометрично удостоверяване и дълги криптографски ключове за вход. Можете да ги активирате чрез Settings → Account → Passkeys;
• настройте резервен имейл адрес за възстановяване на профила: Settings → Account → Email address;
• активирайте 2FA за имейлa си;
• всички тези мерки за сигурност в WhatsApp няма да са ви от голяма полза, ако смартфонът или компютърът ви е заразен със зловреден софтуер. Затова не забравяйте да защитите всяко свое устройство.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.