кибератаки

Австралийското правителство включи използването на рансъмуер в списъка на криминалните престъпления. Специално наказателно преследване грози хора,  които атакуват критична инфраструктура с криптовируси.

Това е част от националния план за действие при рансъмуер атака, който не одобрява плащането на откуп на киберпрестъпници, с цел да се прекъсне порочен бизнес модел.

Планът въвежда нов задължителен режим за докладване на инциденти с рансъмуер, който ще изисква организации с оборот над 10 млн. AU$ годишно да уведомяват официално правителството, ако претърпят кибератака.

Критичната инфраструктура, която не може да си позволи прекъсвания на работата, е все по-често срещана цел на киберпрестъпници. В края на ноември 2021 г. инцидент с откуп се случи в държавна компания за производство на електроенергия в Куинсланд.

McDonald’s е поредната мултинационална компания – жертва на кибератака. Пробивът е довел до излагане на лична информация на клиенти и служители в Южна Корея и Тайван. Компанията твърди, че сред изтеклите данни няма чувствителна информация или детайли за плащания.

McDonald’s разследва случая и възнамерява да използва резултатите, за да подобри мерките си за сигурност.

По-рано през м. юни 2021 г. компанията за бързо хранене пострада индиректно от друга кибератака – рансъмуер спря работата на основният й доставчик на месо в САЩ.

Университетът в Hertfordshire, Великобритания е съобщил за кибератака, която е спряла всичките му ИТ системи, включително Office 365, Teams и Zoom, локални мрежи, Wi-Fi, имейли, съхранение на данни и VPN. Всички онлайн часове са отменени за два дни, а системите все още се възстановяват.

В безпрецедентната ситуация, в която се намират учебните заведения в Европа, включително в България, е много важно те да използват легитимно антивирусно решение, които да обезпечи безопасността на мрежите им. Такъв продукт следва да е инсталиран и на домашните устройства, които някои преподаватели използват за изпълнение на служебните си задължения.

Последен ъпдейт на 14 април 2021 в 03:43 ч.

Кибератаките към критично важна инфраструктура стават все по-популярни през последните години. Организаторите им търсят слабости във функционирането на системите, за да проникнат и парализират ключови за обществото и бизнеса индустриални съоръжения.

Такава слабост, при това в световен мащаб, се очертават системите за индустриален контрол (ICS): изглежда че скорошното нападение от страна на Израел срещу съоръжение на Иран за обогатяване на уран е станало именно през тях.

Уязвимостта на ICS и други т. нар. „операционни технологии“, използвани в индустриални процеси и големи инфраструктурни инсталации (електрически мрежи, стоманени и химически производства, пречиствателни станции), беше демонстрирана преди повече от десетилетие с разкритието на атаката на злонамерения софтуер Stuxnet.

За разлика от „по-конвенционалните“ хакове с цел за кражба на данни, кибератаките срещу оперативни технологии причиняват и сериозни физически щети: прекъсване на електрозахранването, замърсяване на водата, пренапрежение и повреда на системи, дори експлозия.

Изследователите на PRODAFT (швейцарска компания за киберсигурност) твърдят, че са успели да проникнат в компютърната инфраструктура на хакерите, стоящи зад най-голямата кибератака до момента.

SilverFish (така е наречена групата) са управлявали сървъри в Русия и Украйна, някои от тях – споделени с известната руска престъпна хакерска група Evil Corp. Засечени са писмени коментари на руски жаргон и на английски език.

Изследователите са разкрили уеб панел, в който хакерите тестват дали злонамерената им дейност се маркира от антивирусните решения на жертвите.

Според PRODAFT, SilverFish са използвали и други методи за атака, освен уязвимостта в софтуера на SolarWinds. Кампанията на хакерите продължава и през 2021 г.

Като целеви регион на действие на групата се посочва САЩ и някои европейски страни (Италия, Холандия, Дания, Австрия, Франция и Великобритания).

На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

За целта е нужно:

• Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
• Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

Какви вреди може да причини една DDoS атака

DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

DDoS се прилага на различни нива:

• Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
• Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
• Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

Препоръки към администраторите

Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

• Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
• Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
• За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.

Компанията Verkada, която предоставя охранителни камери, базирани в облака, съобщи, че е претърпяла инцидент с киберсигурността. Резултатът: Хакери са проникнали във видео потока на множество бизнес клиенти, сред които Tesla и Cloudflare.

Атаката е реализирана, използвайки идентификационни данни на администратор, публично налични в интернет.

Твърди се, че са компрометирани емисиите от около 150 хил. охранителни камери на клиенти на Verkada. Компанията казва, че става дума за устройства, разположени в официално затворени офиси.

Мащабът и обхватът на проблема се разследват. Verkada е деактивирала всички вътрешни администраторски акаунти, за да блокира нарушението. На клиентите е предоставена гореща телефонна линия за помощ.

Въпреки взетите мерки за сигурност, електронният гигант Foxconn е пострадал от рансъмуер атака през уикенда след Деня на благодарността. Нападателите са откраднали файлове от мексиканското поделение на компанията, след което са криптирали устройствата. Поискали са откуп в биткойн, равняващ се на над 34 млн. USD.

Рансъмуер групата DoppelPaymer е потвърдила, че стои зад атаката и е публикувала бизнес документи и отчети Foxconn на сайта си.

Foxconn е най-голямата компания за електроника в световен мащаб. Произвежда фотокамери за Canon, конзоли за Sony (PlayStation 3 и PlayStation 4), Nintendo (Wii), Microsoft (Xbox 360), електронни книги за Amazon.com, цифрови телефони за Motorola, Xiaomi, OnePlus, продукти за Apple (iPhone, iPad, MacBook, iPod), Dell, HP, Cisco, дънни платки за Intel.

Към момента на публикуване на този материал уебсайтът на засегнатото поделение на Foxconn все още е недостъпен и показва грешка на посетителите.

Услугата на Drobox е използвана като хранилище за източване на чувствителна информация от жертвите на новооткрито зловредно приложение Crutch.

Делото на скандалната група Turla APT е разкрито от ESET в една от жертвите: Министерство на външните работи на страна-членка на ЕС.

Crutch заобикаля някои слоеве на сигурността, като злоупотребява с легитимна инфраструктура – в случая Dropbox – за да се слее с нормалния мрежов трафик, докато ексфилтрира откраднати документи и получава команди от своите оператори.

Предполага се, че зловредният софтуер се използва само срещу конкретни специфични цели, за кибершпионаж. Изследователите са открили прилики между моделът на действие на Crutch от 2016 г. и Gazer.

Засечени са опити за проникване в системите на AstraZeneca, един от тримата водещи разработчици на ваксина срещу COVID-19.

Злонамерените лица, за които се подозира, че са от Северна Корея, са се представили като специалисти по подбор на персонала. Те са установили контакт със служители от AstraZeneca през LinkedIn и WhatsApp. След това са им изпратили „длъжностни характеристики“, съдържащи злонамерен код, предназначен да получи достъп до компютърите им.

Атаката е насочена към широк кръг от служители на фармацевтичния производител, включително към персонал, работещ по ваксината срещу COVID-19, но няма данни да е постигнала успех. AstraZeneca е отказала да коментира.

Препоръки:

• Потребители, избягвайте да кликате върху линкове и да отваряте прикачени документи (.pdf, .doc, .txt), получени от непознати, които са се свързали с вас в социалните мрежи или по и-мейл, за да не позволите нежелан достъп до компютъра си
• Работодатели, провеждайте адекватни и регулярни обучения за персонала си, за да могат служителите ви да разпознават и да не се хващат на тези фишинг атаки, които по някакъв начин успеят да преминат през филтрите ви