Пробив в сигурността

Водеща румънска енергийна компания обяви, че е станала обект на „продължаваща“ ransomware атака.

Electrica Group обслужва над 3,8 милиона потребители в Трансилвания и Мунтения.

Атаката не е засегнала SCADA системите на доставчика, използвани за контрол и наблюдение на разпределителната мрежа.

Тази кибератака идва, след като Конституционният съд на Румъния анулира първия тур от президентските избори. Причина за това бяха потвърдени данни за руска кампания за влияние в TikTok в полза на един от кандидатите.

Вълна от ransomware атаки има и зад океана. Те са насочени към здравния сектор на САЩ, а последната жертва е водещият производител на устройства за сърдечна хирургия Artivion. Базираната в Атланта компания има търговски представители в повече от 100 държави. Нападателите са криптирали някои от нейните системи и са откраднали различни типове данни.

В последните месеци подобни съобщения дойдоха и от други организации в сектора на здравеопазването в САЩ. Ransomware атаки бяха извършение срещу веригата от клиники Boston Children’s Health Physicians (BCHP) и UMC Health System, доставчик на здравни услуги за над 300 000 американци.

Организациите у нас също не са застраховани – независимо от тяхната големина и индустрия. За да се предпазите:

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, на 2 различни места, и 1 копие офлайн;
• уверете се, че резервните ви копия работят правилно, което изисква постоянни проверки;
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използвайте софтуери за киберсигурност;
• въведете стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждайте постоянно обучения по киберсигурност на служителите си.

 

Изборната инфраструктура на Румъния е била обект на повече от 85 000 кибератаки за седмица, става ясно от разсекретен доклад на разузнавателна служба на страната.

Атакуващите са получили данни за достъп до уебсайтове, свързани с изборите. След това те са ги пуснали в руски хакерски форум по-малко от седмица преди първия тур на вота за президент.

На 19 ноември хакерите атакуват ИТ инфраструктурата на Постоянния избирателен орган (AEP). Те са компрометирали сървър с картографски данни, свързан както с публичната, така и с вътрешната мрежа на организацията. В резултат на това са били откраднати данни на Централното избирателно бюро и платформта за регистрация на избиратели.

Атаките са продължили до 25 ноември, нощта след първия тур на президентските избори. Целта е била компрометирането на цялата изборна инфраструктура. Нападателите са използвали SQL injection и cross-site scripting от устройства в повече от 33 държави.

Към президентските избори в Румъния е била насочена и кампания за оказване на влияние. Повече от 100 румънски инфлуенсъри от TikTok с над 8 милиона активни последователи са били манипулирани. Те са разпространявали предизборно съдържание, популяризиращо проруския кандидат Калин Джорджеску.

Руската APT група Fancy Bear е успяла да пробие американска компания през нейната корпоративна Wi-Fi мрежа от хиляди километри разстояние.

Използваната техника, наречена nearest neighbor attack, е нова. За да реализират атаката, хакерите са компрометирали първо организация в близка сграда в обхвата на Wi-Fi мрежата.

Кампанията е открита от компанията за киберсигурност Volexity по време на разследване на атака срещу сървър във Вашингтон, окръг Колумбия. Организацията, станала жертва Fancy Bear, е извършвала дейност, свързана с Украйна.

Хакерите първо са получили идентификационните данни за корпоративната Wi-Fi мрежа. Нейната експлоатация от хиляди километри обаче е била невъзможна. Затова намират организация в сграда наблизо, която им служи като опорна точка към целевата безжична мрежа. Те компрометират нейните системи и използват устройствата ѝ, които имат както кабелна, така и безжична връзка (лаптоп, рутер и т.н.). Те им позволяват да се свържат с корпоративната Wi-Fi мрежа на целта.

Тази кампания показва, че атаки, които доскоро изискваха близост на нападателя, вече могат да се извършват от огромни разстояния. Затова не пренебрегвайте по никакъв начин сигурността на Wi-Fi мрежите си. Мерките за защита включват:

• промяна на паролата по подразбиране;
• активиране на мрежово криптиране;
• редовно актуализиране на фърмуера на рутера;
• деактивиране на дистанционното му управление;
• създаване на мрежа за гости, която да се използва от външни лица, когато се налага;
• изключване на показването на името на мрежата;
• използване на виртуални частни мрежи (VPN);
• задължително активиране на защитната стена на рутера.

 

За да отговорят на очакванията на клиентите си за бързина и удобство, все повече фирми преминават към онлайн търговия. Те обаче не трябва да пренебрегват един нарастващ риск – кражбата на бизнес идентичност. Това важи с особена сила за B2B организациите. 

Наближаващият празничен сезон допълнително задълбочава този проблем. А фактът, че киберпрестъпниците стават все по-изобритателни, вдига неимоверно цената на потенциалните щети. 

Ето четири често срещани предизвикателства пред фирмите при кражба на идентичност и какво можете да направите, за да ги предотвратите. 

Кражбата на бизнес идентичност е сложен проблем 

Кражбата на бизнес идентичност често включва мащабни финансови измами, данъчни проблеми и манипулиране на веригата за доставки.  

Една от най-простите и често срещани тактики е подмяната на електронна поща. При нея престъпниците се представят за легитимен бизнес имейл. Те се стремят да измамят компаниите да прехвърлят средства или да изпратят стоки, като се представят за доверен партньор.  

Друга тактика е използването на фиктивни компании, които престъпниците създават и оставят да „остареят“, за да изглеждат легитимни. Някои от тях използват и неактивни, но реални фирми, за да придадат достоверност на схемите си.  

За да изпреварите тези тактики, можете да разчитате на модерни технологии като AI и машинно обучение. Те могат да следят за необичайно поведение и да откриват измамите, преди да са нанесли щети. 

Нарастващи разходи и финансови последици 

Кражбата на бизнес идентичност води до тежки финансови последици – от преките загуби до разходите за възстановяване на откраднатите средства. За съжаление, много предприятия успяват да възстановят само малка част от загубеното.  

С нарастващата сложност на тези престъпления възстановяването става все по-трудно и скъпо. За да се защитите, инвестирайте в надеждни решения за сигурност. 

Увреждане на репутацията и дългосрочни последици 

Последиците от кражбата на бизнес идентичност надхвърлят финансовите загуби. Когато се случи измама, тя може да разклати доверието на клиентите, партньорите и доставчиците и да подкопае доверието в бизнеса ви.  

След като дадена фирма веднъж е станала мишена, тя може да бъде изправена пред повторни атаки. Откраднатите данни често се препродават и използват повторно дори години по-късно.  

В някои случаи могат да последват правни или регулаторни санкции, което допълнително натоварва репутацията ви. Възстановяването може да отнеме години, а за някои предприятия загубеното доверие често никога не се възстановява напълно.  

Решаването на проблема с кражбата на идентичност е свързано не само с предотвратяването на непосредствени загуби. Трябва да имате постоянен фокус върху киберсигурността като критична част от вашия бизнес. 

Балансиране на сигурността и клиентския опит 

Фирмите трябва да намерят деликатен баланс между повишаването на сигурността и поддържането на безпроблемно обслужване на клиентите.  

Добавянето на допълнителни нива на сигурност, като MFA например, може да забави процеса на трансакциите. Пренебрегването на тези предпазни мерки обаче оставя бизнеса с широко отворени за атаки врати.  

Често срещана защитна мярка е ограничаването на локациите за доставка до проверени бизнес адреси, свързани с конкретни имейли. Но нападателите могат да излъжат притежател на такъв, да получат достъп и да правят поръчки от него. 

Предизвикателството тук е мерките за сигурност да се интегрират по начин, който не пречи на клиента. Можете да използвате системи за откриване на измами, които работят във фонов режим, без да пречат на покупките.  

Намерете точния експерт за предотвратяване на измами 

Борбата с измамите изисква много работа. Затова фирмите могат да се възползват от партньорства с външни експерти. Специалистите по киберсигурност предоставят експертните знания и инструменти, необходими за предпазване от нововъзникващи заплахи. В същото време компаниите могат да се съсредоточат върху основните си бизнес операции.  

Използването на външни доставчици за вземане на решения в реално време, оценка на риска и наблюдение на трансакциите помага на фирмите да останат една крачка пред измамниците.  

Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса. 

Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API. 

Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат. 

Неправилно конфигурирани API 

Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици. 

Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики. 

Лошо проектирани API 

Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението. 

Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура. 

Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024  злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.  

Тези проблеми могат да бъдат преодолени чрез  специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API. 

Липса на видимост 

API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях. 

Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване. 

Неадекватно тестване за сигурност 

Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.  

Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение. 

А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея. 

Все повече организации осъзнават, че принтерите и копирните машини могат да бъдат слабо място в тяхната киберзащита. Особено в контекста на хибридната работа.  

Проучването Global Print Security Landscape 2024 на Quocirca установява, че през 2024 г. 67% от респондентите са преживели инцидент, свързан със сигурността на копирните машини. През миналата година този процент е бил 61.  

Малките и средните организации са най-застрашени: 

• 3/4 (74%) от тях съобщават за инцидент, свързан със загуба на данни заради принтери;  
• 33% идентифицират личните принтери на служителите като основен риск за сигурността;
• много от тях нямат специализиран IT персонал за управление на принтерната сигурност. 

Списъкът с основните уязвимости е дълъг и разнообразен. На първо място, преминаването към облачни и хибридни решения за печат създава по-сложна и трудна за контролиране среда.  

В същото време много организации използват остарели принтерни системи. Те не получават редовни актуализации за сигурност, нямат вградени съвременни защити и често работят с фабрични настройки. Използването на фабрични настройки означава, че една открита уязвимост може да засегне множество устройства от същия модел. 

Не на последно място, принтерите рядко са включени в системите за мониторинг на сигурността. 

Как да се защитим 

Всичко изброено по-горе ясно показва, че защитата на принтерната инфраструктура е от изключително значение за всяка компания, независимо от нейния размер.  

Затова ви съветваме: 

• криптирайте всички комуникации между устройствата и сървърите; 
• използвайте защитени протоколи като IPSec или SSL/TLS;
• редовно обновявайте сертификатите за сигурност; 
• въведете стриктен контрол на достъпа и силни пароли за всички устройства; 
• имплементирайте многофакторно удостоверяване (комбинация от PIN код, карта за достъп и/или биометрични данни);  
• създайте и поддържайте политика за управление на достъпа;  
• актуализирайте фърмуера на всички устройства веднага след излизане на нова версия и провеждайте месечни проверки за нови уязвимости; 
• ангажирайте външни експерти за годишен одит; 
• поддържайте актуален регистър на всички устройства и техните конфигурации. 

Не забравяйте и самите служители. Те трябва да са обучени как да работят чувствителни документи и да разпознават подозрително поведение на устройствата. Процедурите за докладване на инциденти и безопасно използване на отдалечен печат също са част от задължителните мерки за защита на вашата организация. 

Критична уязвимост в сигурността, засягаща над 87 000 FortiOS устройства, ги прави изложени на потенциални атаки с отдалечено изпълнение на код (RCE). Тя засяга множество версии на продуктите FortiOS, FortiProxy, FortiPAM и FortiWeb и е оценена с 9,8 от 10.

Fortinet е пуснала пачове за засегнатите продукти и настоятелно препоръчва на потребителите да надградят до най-новите сигурни версии: 

• FortiOS 7.4: 7.4.0 до 7.4.2 – надградете до 7.4.3 или по-нова версия; 
• FortiOS 7.2: 7.2.0 до 7.2.6 – надградете до 7.2.7 или по-нова версия; 
• FortiOS 7.0: 7.0.0 до 7.0.13 – надградете до 7.0.14 или по-нова версия; 
• FortiPAM 1.2: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.1: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.0: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiProxy 7.4: от 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия; 
• FortiProxy 7.2: 7.2.0 до 7.2.8 – надграждане до 7.2.9 или по-нова версия; 
• FortiProxy 7.0: 7.0.0 до 7.0.15 – надграждане до 7.0.16 или по-нова версия; 
• FortiWeb 7.4: 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия. 

Тъй като хакерите продължават да се насочват към известни уязвимости, бързите действия са от решаващо значение за защита на критичната инфраструктура и чувствителните данни. 

 

Китайската хакерска група Salt Typhoon е проникнала в мрежите на поне три от големите американски доставчици на телекомуникационни услуги – Verizon, AT&T и Lumen Technologies – в резултат на значителен пробив в киберсигурността.

Списъкът на засегнатите компании може да се окаже по-дълъг, тъй като нападателите са били внедрени в засегнатите системи в продължение на няколко месеца, преди да бъдат открити.

Смята се, че операцията има за цел кражба на информация, свързана със законни федерални искания за подслушване. Хакерите обаче са получили достъп до по-широк интернет трафик в компрометираните мрежи, което поражда опасения за потенциална кражба и на други чувствителни данни.

От ФБР предполагат, че зад кампанията стои Министерството на държавната сигурност на Китай.

 

Японският конгломерат Panasonic разкри пробив в сигурността си – данни на файлов сървър са били достъпни по време на хакерското проникването.

Компанията е наела външни специалисти, които да разследват инцидента и да разкрият, дали изтеклата информация съдържа лични данни на клиенти и/или чувствителна информация.

Атаката срещу Panasonic се нарежда в поредицата киберинциденти с японски компании – Kawasaki, NEC, Mitsubishi Electric, Kobe Steel и Pasco също съобщиха за пробиви на сигурността през последните години.

В петъчната вечер (13 август 2021 г.) е установена рансъмуер атака срещу вътрешната мрежа на секретариата на Националната хазна, разкри бразилското Министерството на икономиката. Специалистите по сигурността все още разследват степента на сериозност на пробива и последиците от него.

Националната хазна (Tesouro Nacional) е специализиран орган на Министерството на икономиката на Бразилия, който отговаря за администрирането на финансовите ресурси на федералното правителство, както и за управлението и финансирането на държавния дълг на страната. Сред основните задачи на секретариата е да финансира държавния дефицит чрез емитиране на дългови държавни ценни книжа.

Смята се, че атаката по никакъв начин не е засегнала платформата за търговия на Бразилската фондова борса и сделките могат да се извършват нормално.

Това не е първата подобна атака срещу бразилски държавни институции. През април 2021 г. съдебната система в Рио Гранде до Сул беше засегната от рансъмуера REvil.

А по-рано, през ноември 2020 г., бандата RansomEXX атакува Върховния съд на Бразилия, като криптира системите, а уебсайтовете на множество други бразилски федерални правителствени агенции също бяха изключени.

Заключение

Заразяването с криптовирус и последващото възстановяване е неприятно и скъпо „преживяване“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите и минимизиране на негативните последици за дейността и репутацията.