Крайни потребители

  • IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate изтекоха в Dark Web

    Хакерска група е предоставила безплатно в Dark Web конфигурационни файлове, IP адреси и VPN идентификационни данни за над 15 000 устройства FortiGate.

    Belsen Group се появи за първи път в социалните медии и форумите за киберпрестъпления този месец. За да се популяризира, тя е създала уебсайт в Tor. Именно там групата е публикувала критичната информация, за да бъде използвана от други киберпрестъпници.

    Данните от FortiGate представляват архив с обем 1,6 GB, който съдържа папки, подредени по държави. Всяка от тях съдържа допълнителни подпапки за IP адресите на FortiGate в конкретната държава.

    Ако използвате подобно устройство:

    • незабавно променете всички пароли и конфигурации;
    • инсталирайте версия 7.2.2 на FortiOS или по-нова;
    • проверете за наличието на неоторизирани акаунти и ги премахнете незабавно;
    • редовно преглеждайте логовете на устройствата за подозрителна активност и мрежовия трафик за необичайни модели;
    • сегментирайте мрежата си, за да ограничите разпространението на потенциални атаки.
    • ако е необходимо, потърсете помощ от специалисти по киберсигурност за по-детайлен анализ.
  • Фалшиви оферти за работа в CrowdStrike тайно разпространяват XMRig cryptominer

    Киберпрестъпници се представят за специалисти по набиране на персонал от CrowdStrike, за да разпространяват cryptominer на устройствата на жертвите.

    Кампанията започва с фишинг имейл, който приканва мишената да насрочи интервю за роля на младши разработчик. Той съдържа връзка, която отвежда получателя до сайт, където може да го направи. От него потребителят трябва да изтегли „CRM приложение“ за Windows или macOS. То обаче сваля изпълним файл, написан на езика Rust, който инсталира cryptominer XMRig.

    Изпълнимият файл извършва няколко проверки на средата, предназначени да избегнат откриването и да анализират заразеното устройство. Те включват сканиране на инструментите за сигурност, проверка дали централният процесор има поне две ядра и т.н.

    От CrowdStrike предупреждават, че:

    • не провеждат интервюта през незабавни съобщения или групов чат;
    • не искат закупуване на продукти или услуги, или извършване на плащания като условие за наемане на работа;
    • никога не използват софтуер, който трябва да бъде изтеглен, за провеждане на интервюта.

    Хората, които се интересуват от кандидатстване за работа в компанията, трябва да използват официалната ѝ страница.

  • Хакерите използват нов трик за деактивиране на антифишинг защитата на Apple iMessage

    Киберпрестъпниците използват трик за изключване на вградената в iMessage на Apple защита срещу фишинг. Чрез него те подмамват потребителите да активират отново деактивираните зловредни връзки.

    Тъй като смартфоните навлизат все повече в ежедневието на хората, хакерите все по-често прибягват до smishing атаки. За да предпази потребителите, Apple iMessage автоматично деактивира връзките в съобщенията, получени от непознати податели. Това важи както за имейл адреси, така и за телефонни номера. Ако потребителят отговори на съобщението или добави изпращача в списъка си с контакти обаче, връзките се активират.

    В последните месеци се наблюдава рязко увеличение на smishing атаките, които се опитват да подмамят потребителите да отговорят на даден текст. Хакерите изпращат съобщения, свързани с доставки или неплатени задължения. В него те искат от потребителите да отговорят с „Y“, за да активират връзката.

    Нападателите разчитат на факта, че хората са свикнали да въвеждат STOP, Yes или NO, за да потвърждават срещи или да се отказват от текстови съобщения. Дори ако потребителят не кликне върху активираната връзка веднага, това, че взаимодейства, означава, че е подходяща цел за последващи фишинг атаки.

    Джейк Мур, глобален съветник по сигурността в ESET, е категоричен:

    „Избягвайте да отговаряте на съобщения от непознати контакти. Винаги проверявайте легитимността на всяко съобщение, независимо дали става въпрос за iMessage или в рамките на която и да е платформа. Чак след това предприемайте каквото и да е действие, особено ако то изисква чувствителна информация“.

  • Тransaction simulation spoofing – нова фишинг тактика заплашва портфейлите за криптовалути

    Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

    Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

    Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

    Измамата протича така:

    • симулацията показва даден резултат;
    • потребителят я одобрява и я подписва за официално изпълнение;
    • нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
    • това променя резултата, до който ще доведе трансакцията.

    По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

    Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

    За да се защитите:

    • винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
    • използвайте само проверени приложения.
  • Криптовалутите стават основна цел за хакерите! 10 стъпки, с които да защитите портфейла си

    Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

    Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

    Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

    Затова и рисковете на това поле се задълбочават през 2024.

    Криптозаплахи, от които трябва да се пазите

    Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

    Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

    ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

    • Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
    • PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
    • Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
    • Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
    • Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
    • Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

    Как да се защитите

    Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

    Ето 10 важни стъпки:

    1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
    2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
    3. Включете 2FA за всяко криптоприложение, което използвате.
    4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
    5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
    6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
    7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
    8. Периодично премахвайте неизползваните разширения/софтуер.
    9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
    10. Бъдете нащрек за измами.
  • Фалшив PoC експлойт заразява с Infostealer системите на изследователите по сигурността

    Киберпрестъпници са създали фалшив proof-of-concept (PoC) експлойт на критична уязвимост на Microsoft. Той е предназначен да подмами изследователите по сигурността да изтеглят и стартират Infostealer.

    Според Trend Micro фалшивият PoC е свързан с критична уязвимост в Lightweight Directory Access Protocol (LDAP) в Windows. Пач за нея е публикуван в рамките на Patch Tuesday от декември 2024 г.

    Хакерите са създали злонамерено хранилище, съдържащо фалшивия PoC, който при изпълнение води до ексфилтриране на чувствителна компютърна и мрежова информация. Той краде списъци с процеси и директории, мрежови IP адреси, инсталирани актуализации и друга информация.

    PoC експлойтите се използват от общността за киберсигурност за идентифициране на уязвимости и потенциални заплахи за различни софтуери. Те дават възможност на специалистите да предприемат действия за справяне със заплахите.

    За да не станете жертва на този Infostealer:

    • изтегляйте код и библиотеки само от официални и надеждни хранилища;
    • бъдете предпазливи към подозрително съдържание, изглеждащо неуместно за инструмента или приложението, за което се представя;
    • ако е възможно, потвърдете самоличността на собственика на хранилището;
    • преглеждайте историята на последните промени в него за аномалии или признаци на злонамерена дейност;
    • бъдете предпазливи към хранилища с малко сътрудници, особено ако те твърдят, че е широко използвано;
    • потърсете отзиви или дискусии за хранилищата, за да идентифицирате потенциални червени флагове.
  • Хакерите превземат акаунти в PayPal с нестандартна фишинг кампания

    Нестандартна фишинг кампания убедително се представя за услугата за онлайн плащания PayPal. Тя подмамва потребителите да влязат в акаунтите си, за да извършат плащане. На практика обаче това позволява на нападателите да превземат акаунта.

    Иновативната част на атаката е свързана със злоупотреба с легитимна функция в Microsoft 365 за създаване на тестов домейн. Тя позволява на нападателите да създадат списък за разпространение на имейли. Благодарение на това фишинг съобщенията изглеждат като изпратени от PayPal и заобикалят стандартните проверки за сигурност на електронната поща.

    За да сте сигурни, че бизнесът и служителите ви няма да станат жертва на подобна иновативна атака:

    • провеждайте регулярни обучения по киберсигурност;
    • създайте правило в рамките на скенерите за сигурност на електронната поща, което да разпознава съобщения, изпращани чрез списък за масови имейли;
    • използвайте инструменти за сигурност, базирани на AI, които правят по-дълбок анализ на поведението на потребителите, отколкото статичните филтри.
  • Новооткрит плъгин за WordPress създава фалшиви платежни страници! Ето как да се предпазите

    Плъгин за WordPress, наречена PhishWP, се използва от киберпрестъпници за създаване на фалшиви страници за плащания. Те имитират легитимни услуги като Stripe, което позволява кражба на чувствителни финансови и лични данни.

    Зловредният плъгин е забелязан от SlashNext в руски форум за киберпрестъпност. Той позволява на нападателите да генерират убедителни интерфейси за плащане. По този начин те могат да крадат данни за кредитни карти, адреси за фактуриране и дори еднократни пароли от жертвите. След като информацията бъде въведена, PhishWP предава откраднатите данни директно на нападателите чрез Telegram, често в реално време.

    Киберпрестъпниците внедряват PhishWP или чрез компрометиране на съществуващи WordPress сайтове, или чрез създаване на фалшиви такива. Дизайнът на плъгина възпроизвежда точно легитимни страници за плащане, което затруднява потребителите да открият измамата.

    В случаите, когато има активиран 3DS код, плъгинът включва и изскачащ прозорец за попълването му. По този начин той също се изпраща към нападателят, заедно с данни като IP адрес, информация за браузъра и т.н.

    Не на последно място, плъгинът включва и функционалност, която изпраща на жертвата имейл за потвърждение с данните за нейната поръчка. Тази функционалност превръща PhishWP в изключително успешен инструмент за кражба на информация.

    За да се предпазите от заплахи като PhishWP, използвайте усъвършенствани софтуери за защита от фишинг, базирани на браузъра. Те откриват заплахи в реално време, като блокират злонамерени URL адреси във всички основни платформи. Освен това идентифицират опитите за фишинг преди да бъдат компрометирани чувствителни данни.

  • Уязвимости в рутери на ASUS позволяват произволно изпълнение на код. Незабавно актуализирайте фърмуера!

    Производителят на мрежово оборудване ASUS издаде критична препоръка за сигурност за няколко свои модела рутери.

    Компанията е идентифицирала две уязвимости, които позволяват инжектиране и произволно изпълнение на код в някои серии фърмуер. Те дават дистанционен достъп на нападателите чрез функцията AiCloud.

    Уязвимостите засягат рутерите на ASUS с версии на фърмуера 3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102 и застрашават сигурността както на домашни, така и на бизнес мрежи.

    За да се намали рискът, ASUS препоръчва следните стъпки:

    • актуализирайте фърмуера на рутера си незабавно, когато новите версии станат достъпни. Потребителите могат да намерят най-новия фърмуер на страницата за поддръжка на ASUS или на специфичната страница на своя продукт на уебсайта на компанията;
    • въведете силни, уникални пароли както за безжичната мрежа, така и за страницата за администриране на устройството. Паролите трябва да са дълги поне 10 символа и да включват комбинация от главни и малки букви, цифри и символи.
    • активирайте защитата с парола в рамките на услугата AiCloud.

    Потребителите, които използват излезли по-стари рутери, работещи с фърмуер 3.0.0.4_382, трябва:

    – да се уверят, че паролите им за вход и за Wi-Fi са силни;

    – да деактивират услуги, достъпни от интернет, като отдалечен достъп, пренасочване на портове, DDNS, VPN сървър, DMZ и FTP;

    – да проверяват и актуализират процедурите за сигурност и оборудването си.

    IoT устройствата стават все по-разпространени в домовете и предприятията. Затова поддържането на актуален фърмуер и силни конфигурации за сигурност е от съществено значение за защита срещу потенциални киберзаплахи.

  • Основни киберзаплахи, които ще продължат да се развиват през 2025 (Част 1)

    2024 г. ни демонстрира от всичко по много по отношение на киберрисковете. Различни типове атаки, експлойти и, разбира се, множество уязвимости поставиха на изпитание всички индустрии. За поредна година хакерите показаха, че не са се отказали от целта си да стават все по-изобретателни.

    Експертите са категорични, че тази притеснителна тенденция ще се запази и през 2025. Ето кои са 10-те киберзаплахи, които ще продължат да се развиват и през тази година.

    Zero day eксплойти

    Пробивите от типа Zero day и увеличаването на техния обем са особено тревожна тенденция. За тях по условие няма пачове. Освен че организациите не могат да се защитят, нападателите могат да компрометират системите незабелязано.

    Пример за това е Log4Shell – критична RCE уязвимост в Java Naming and Directory Interface (JNDI) на Log4j. През нея нападателите можеха лесно да поемат контрол над уязвимите системи – значителна заплаха, тъй като Log4j се използва в почти всяко Java приложение.

    Добрата новина е, че все по-широкото използване на изкуствен интелект от страна на защитниците се очаква да промени пейзажа. То ще автоматизира процеса на откриване на скрити софтуерни недостатъци.

    Все пак не трябва да забравяме, че нападателите също взимат на въоръжение технологията.

    Supply Chain атаки

    Supply Chain атака остава активна заплаха, която се задълбочава, тъй като организациите зависят все повече от услугите на външни изпълнители. Най-големият проблем при тях е, че въздействието им се разпространява каскадно върху множество заинтересовани страни: клиенти, доставчици и т.н.

    Най-известният пример на това поле е пробивът в SolarWinds. Той засегна системата за управление на мрежи SolarWinds Orion, използвана от над 30 000 организации – включително щатски и федерални агенции. В резултат на това backdoor malware  компрометира хиляди данни, мрежи и системи.

    Той даде възможност на нападателите да изпълняват API команди, без на практика да имат подобни права.

    Използване на инфраструктурата за дистанционна работа

    След 2020 г. и пандемията COVID-19 организациите се ориентираха към миодели за дистанционна и хибридна работа. Това обаче се превърна в сериозен проблем за киберсигурността.

    Нападателите се фокусираха върху уязвимости във VPN софтуерите, протоколите за отдалечени работни станции (RDP) и фишинг атаките през платформи като Zoom и Microsoft Teams.

    Инцидентите, при които бяха използвани VPN и RDP за получаване на нерегламентиран достъп до корпоративни системи и мрежи, са стотици. Отдалечените служители често работят от по-слабо защитени среди, което ги превърна в особено уязвим вектор за атаки срещу бизнесите.

    Според експертите инфраструктурата за отдалечена работа ще продължи да бъде основна цел за киберпрестъпниците през 2025 г.

    Системи за изкуствен интелект и машинно обучение

    С възхода на AI и все по-широкото му използване идват и все повече рискове той да бъде експлоатиран от хакерските групи. Атаките от типа data poisoning и model inversion излизат на преден план сред развиващите се рискове по отношение на машинното обучение (ML) и изкуствения интелект (AI).

    Тези технологии стават неразделна част от системите за проверка на самоличността. Така че подобни атаки, които имат потенциала да неутрализират техните защити, носят сериозни рискове за организациите.

    Неправилни облачни конфигурации

    Тъй като бизнесите продължават да прехвърлят операциите си към облака, той ще продължи да се затвърждава като водещ вектор за атака за хакерите. Причината – облачните инстанции често не са правилно конфигурирани.

    Сложността на тези среди ще продължава да се увеличава, което ще доведе до още повече грешки. А неправилните конфигурации могат да имат сериозни последици – нарушаване на сигурността на данните, неоторизиран достъп до критични системи, финансови загуби, увреждане на репутацията.

    За да предотвратят пробиви в облака през 2025 г., компаниите трябва да се съсредоточат върху три ключови области: видимост, контрол на достъпа и непрекъснато наблюдение.

    Очаквайте продължение!

Back to top button