кибератаки

Екосистемите от външни партньори са основен източник на рискове за киберсигурността на финансовите компании. Ново проучване показва, че почти 100% от най-големите европейски представители на сектора са претърпели пробив чрез своите доставчици през 2024.

SecurityScorecard анализира най-големите финансови компании в региона по пазарна капитализация. Те са оценени по скала от А до F „въз основа на 10 фактора, които говорят за възможен пробив в сигурността“. Едва ¼ (26%) от тях получават оценка А. 98% пък са претърпели пробив през организация по веригата за доставки, а около 18% са станали жертва на директна атака.

Компанията за киберсигурност изчислява, че вероятността организациите с рейтинг А да бъдат пробити е 13,8 пъти по-малка в сравнение с тези с рейтинг F. На този фон 33% от доставчиците на финансови услуги са получили рейтинг С или по-нисък. Това е особено тревожно, като се има предвид, че новият Закон на ЕС за цифровата оперативна устойчивост (DORA) трябва да влезе в сила на 17 януари 2025 г.

За сравнение, в транспорта няма компании с оценка С или по-ниска, докато в енергийния сектор ¾ (75%) са получили такава.

Скандинавските компании са оценени като най-сигурни. Едва 20% от тях получават оценка С или по-ниска, в сравнение с 24% в Обединеното кралство, 34% в Германия, 40% във Франция и 41% в Италия.

За да бъдете устойчиви на пробиви от трети страни:

• елиминирайте неправилните конфигурации на DNS (Domain Name System);
• укрепете сигурността на всички крайни точки чрез отстраняване на уязвимостите в лаптопи, настолни компютри, мобилни устройства и т.н.;
• редовно инсталирайте наличните пачове за всички софтуери, които използвате.

Над 200 000 създатели на съдържание в YouTube са станали мишена на киберпрестъпници в рамките на новооткрита фишинг кампания.

Злонамерените имейли се изпращат от името на известни брандове с теми като „Предложение за сътрудничество“ и „Възможност за маркетинг“. Те съдържат защитени с парола архиви, хоствани в облачни платформи като OneDrive.

След като се разархивират, изпълнимите файлове, маскирани като споразумения или рекламни материали, инсталират зловреден софтуер. Той е предназначен за кражба на чувствителна информация – данни за вход и бисквитки на сесии – или за получаване на отдалечен достъп до машината на жертвата.

За да се защитите:

• проверявайте задълбочено данните на подателя на имейла и потвърждавайте интереса чрез официалните канали на брандовете;
• избягвайте да теглите файлове или да кликате върху връзки от непознати или подозрителни източници;
• активирайте двуфакторно удостоверяване, за да добавите допълнително ниво на сигурност към своя акаунт в YouTube;
• редовно проверявайте профила си в YouTube за неоторизирани влизания или промени;
• уверете се, че всички, които участват в управлението на акаунта ви в платформата, са запознати с най-новите фишинг тактики.

 

Доскоро се смяташе, че обикновено за да бъде пробита една Wi-Fi мрежа, нападателят трябва да е физически близо до точката за достъп. Новопоявилата се тактика, наречена Nearest Neighbor, обаче обори категорично това разбиране.

Тя разкри, че дори добре защитената безжична мрежа може да се превърне в удобна входна точка за отдалечени нападатели. За целта те просто трябва да компрометират друга, по-уязвима компания, намираща се в същата или съседна сграда.

Как се случва атаката Nearest Neighbor?

Представете си хакерска група, която планира да проникне дистанционно в дадена организация. Тя събира информация за жертвата си, проучва външния ѝ периметър и успява да се сдобие с идентификационните данни на служители от масиви с изтекли пароли. Но не открива уязвимости, които да могат да бъдат използвани. В същото време външните услуги на организацията са защитени с MFA, така че само паролите не са достатъчни за достъп.

Един от потенциалните методи за проникване може да бъде корпоративната Wi-Fi мрежа. Това важи с още по-голяма сила, ако има такава за гости, която не е достатъчно изолирана от основната.

Тук обаче идва един проблем: хакерите са на другия край на земното кълбо и не могат физически да се свържат с Wi-Fi мрежата на организацията. Отговорът е тактиката Nearest Neighbor.

При нея нападателите:

• откриват по-слабо защитена организация, физически разположена в обхвата на целевата Wi-Fi мрежа;
• пробиват нейните системи и получават достъп до тях;
• компрометират устройство, оборудвано с безжичен модул;
• сканират Wi-Fi средата чрез него и откриват SSID на мрежата на целевата компания;
• използват компрометираното устройство като мост и се свързват с целевата Wi-Fi мрежа.

По този начин нападателите проникват в периметъра на жертвата. След това те могат да продължат с основните си цели – кражба на информация, криптиране на данни, наблюдение на дейността на служителите и др.

Как да се предпазите

Nearest Neighbor не е теоретична заплаха. Тази тактика вече се използва от ATP групите.

За да не станете жертва на подобна атака, трябва да се отнасят към сигурността на своите Wi-Fi мрежи изключително отговорно.

Ето пет основни стъпки, които могат да ви защитят:

1. Уверете се, че Wi-Fi мрежата за гости е наистина изолирана от основната мрежа.
2. Засилете сигурността на корпоративния Wi-Fi достъп чрез 2FA с еднократни кодове или сертификати.
3. Възприемете Zero Trust модела за сигурност.
4. Използвайте усъвършенствана система за откриване и предотвратяване на заплахи.
5. Ако не разполагате с висококвалифицирани вътрешни специалисти по киберсигурност, използвайте външни такива.

Хакерските групи, подкрепяни от национални държави, използват нов инструмент за атаки срещу гражданска критична инфраструктура в западните страни.

Зловреднията софтуер IOCONTROL е специално създаден за заразяване IoT системи и такива за управление и събиране на данни (SCADA). Засегнатите устройства включват рутери, програмируеми логически контролери (PLC), интерфейси човек-машина (HMI), защитни стени и други базирани на Linux IoT/OT платформи.

Компанията за киберсигурност Claroty засича новият инструмент след атака срещу система за управление на гориво. Тя е компрометирана от CyberAv3ngers – APT група, зад която стои Корпуса на гвардейците на ислямската революция на Иран.

В списъка със засегнатите от IOCONTROL доставчици влизат Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika и Unitronics.

 

Статистиката показва ясна картина – само през първата половина на 2024 г. са докладвани над 9000 киберинцидента. Това означава почти по една нова атака на всеки час.

Ескалиращите рискове в онлайн пространството превърнаха киберсигурността в основен аспект на бизнес стратегиите. Според проучване на Accenture 96% от изпълнителните директори я определят като съществен фактор за растежа на компанията си.

Това води до непрекъснати инвестиции. 74% от тях обаче продължават да изразяват загриженост за способността си да се справят с кибератаките заради нарастващата им сложност.

Този процент показва, че бизнес ръководителите имат още много какво да учат, а някои известни пробиви могат да бъдат използвани като добри уроци.

1. Строгите политики за пароли са изключително важни

Поддържането на силна политика за паролите е от съществено значение за всяка организация. Тя трябва да налага минимална дължина от осем (по-добре 12) символа, като комбинира букви, цифри и специални символи.

Избягването на лесно отгатваеми модели, като „Пролет2024!“ или „Лято2024!“ също е изключително важно.

Пример: През 2020 г. нидерландският етичен хакер Виктор Геверс отгатва паролата на тогавашния кандидат за Белия дом Доналд Тръмп за Twitter при петия си опит. Тя е „maga2020!“ – намигване към лозунга на кампанията на републиканеца „Да направим Америка отново велика“.

Тогава Геверс пояснява, че намерението му не е било да открадне чувствителна информация, а да повиши осведомеността за рисковете в онлайн пространството.

Урок: Когато възприемете стриктен подход към паролите си, можете значително да намалите рисковете и да укрепите цялостната си позиция по отношение на киберсигурността.

2. MFA има своите граници

Многофакторното удостоверяване (MFA) някога беше обявено за голям скок в сигурността. Чрез изискването за допълнителни нива на проверка тази технология значително повиши бариерата за неоторизиран достъп. Въпреки че тя осигурява допълнителна защита обаче, далеч не е безпогрешна.

Пример: През юли 2021 г. EA Games претърпява значителен пробив, дължащ се на умело заобикаляне на MFA. Хакерът използва откраднати бисквитки, съдържащи идентификационните данни за вход на служител, за да проникне в Slack канала на компанията. Представяйки се за него, той се свързва с ИТ поддръжката, твърдейки, че е загубил телефона си на парти и се нуждае от нов токън за многофакторно удостоверяване. Тази тактика на социално инженерство успява и му осигурява достъп до корпоративната мрежа на EA.

Резултатът е катастрофален. Хакерът краде 780 GB чувствителни данни, включително изходния код на FIFA 21 и различни вътрешни инструменти за разработка. След това тези данни са продадени в нелегални форуми.

Урок: Този инцидент разкрива уязвимостите в протоколите за сигурност на компанията. Оттогава EA засилва защитата си и затяга политиките си за защита, за да предотврати бъдещи инциденти.

3. Хората грешат

Дори и най-усъвършенстваните системи за сигурност не са застраховани от уязвимости. Една на пръв поглед незначителна грешка може да внесе значителни рискове, независимо от сложността на използваните инструменти или протоколи.

Пример: В Естония разработчиците прилагат най-добрите практики за създаването на цифрови лични карти. В крайна сметка обаче са допуснати критични пропуски в сигурността, засягащи над 750 000 граждани.

Те се дължат основно на производителя на картите – Gemalto. Между 2014 г. и 2017 г. естонските власти откриват сериозна уязвимост в криптографската библиотека, отговаряща за генерирането на частни ключове. Този недостатък създава потенциална възможност за кражба на самоличност, но компанията не информира своевременно правителството. Вследствие на това естонските власти се налага да предприемат спешни мерки, като преустановят използването на цифрови сертификати в засегнатите карти. Тази ситуация в крайна сметка води до съдебен спор, в резултат на който Gemalto плаща обезщетение в размер на 2,2 млн. евро.

Урокът: Силната рамка за сигурност сама по себе си е недостатъчна – трябва да се обърне внимание и на човешкия фактор. Организациите трябва да прилагат стратегии, които подобряват надзора и устойчивостта.

Това включва:

• цялостно и регулярно обучение на персонала;
• редовни одити на сигурността както на вътрешните системи, така и на доставчиците от трети страни;
• създаване на ясни протоколи за сигурност, които дават възможност на служителите да разпознават и решават потенциални проблеми;

Повтаряща се тема в тези казуси е въздействието на човешката грешка. Всеки трябва да е наясно, че подценяването – като например използването на прости пароли или заобикалянето на MFA – често създават уязвимости. А нападателите се възползват от тях.

Не забравяйте, че киберсигурността е постоянен процес, а не еднократен акт. Нито един инструмент не може да предложи пълна защита. Многопластовият подход, при който мерките се допълват взаимно, е най-ефективната стратегия за намаляване на рисковете.

Продължаваща фишинг кампания таргетира служители на над 30 компании от 12 индустрии в 15 държави, част от които европейски.

Досега тя успешно е разпространила над 200 зловредни връзки, предназначени за credential theft. Отраслите, към които е насочена тази фишинг операция, включват eнергетика, мода, финанси, аерокосмическа индустрия, производство, телекомуникации и държавна администрация.

Нападателите използват усъвършенствани техники за заобикаляне на защитите на електронната поща и избягване на откриването, предупреждават от компанията за киберсигурност Group-IB.

Те включват:

• Изпращане на фишинг имейли от доверени домейни;
• динамично брандиране на съобщенията в стила на атакуваната компания;
• имитации на официални платформи за работа с документи.

Нападателите вграждат злонамерени URL адреси в легитимни услуги като Adobe.com и Google AMP, което затруднява откриването им от инструментите за сигурност. Те използват и фалшиви известия от DocuSign.

За да не станете част от жертвите на тази кампания:

• активирайте MFA за допълнително ниво на сигурност;
• обучавайте служителите си да проверяват информацията при получаване на неочаквани имейли, преди да предприемат действия;
• прилагайте усъвършенствани системи за филтриране на електронна поща, които могат да откриват и блокират заплахите.
• редовно следете акаунтите си за неоторизиран достъп.

Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

За да повишите нивата на киберсигурност, ви съветваме да:

• използвате допълнителни приложения за автентикация;
• интегрирате методи, които не са базирани на парола, като Passkey;
• добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

Дизайнерите на MFA приложения трябва да:

• залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
• въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.

Водеща румънска енергийна компания обяви, че е станала обект на „продължаваща“ ransomware атака.

Electrica Group обслужва над 3,8 милиона потребители в Трансилвания и Мунтения.

Атаката не е засегнала SCADA системите на доставчика, използвани за контрол и наблюдение на разпределителната мрежа.

Тази кибератака идва, след като Конституционният съд на Румъния анулира първия тур от президентските избори. Причина за това бяха потвърдени данни за руска кампания за влияние в TikTok в полза на един от кандидатите.

Вълна от ransomware атаки има и зад океана. Те са насочени към здравния сектор на САЩ, а последната жертва е водещият производител на устройства за сърдечна хирургия Artivion. Базираната в Атланта компания има търговски представители в повече от 100 държави. Нападателите са криптирали някои от нейните системи и са откраднали различни типове данни.

В последните месеци подобни съобщения дойдоха и от други организации в сектора на здравеопазването в САЩ. Ransomware атаки бяха извършение срещу веригата от клиники Boston Children’s Health Physicians (BCHP) и UMC Health System, доставчик на здравни услуги за над 300 000 американци.

Организациите у нас също не са застраховани – независимо от тяхната големина и индустрия. За да се предпазите:

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, на 2 различни места, и 1 копие офлайн;
• уверете се, че резервните ви копия работят правилно, което изисква постоянни проверки;
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използвайте софтуери за киберсигурност;
• въведете стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждайте постоянно обучения по киберсигурност на служителите си.

 

Нов тип атака използва стандарта SD Express, за да получи директен достъп до паметта на устройството чрез неговия четец на SD карти.

DaMAgeCard заобикаля традиционните мерки за сигурност. Той позволява на нападателите да извличат чувствителни данни или да инжектират зловреден код, без да имат физически достъп до целевото устройство.

Стандартът SD Express е въведен с цел повишаване на скоростта на пренос на данни в SD картите. С него те могат да работят както в режим SDIO, така и като PCIe/NVMe устройство. Това означава, че те могат да взаимодействат директно с шината за памет на системата. Тази възможност, макар и полезна за производителността, въвежда значителни рискове за сигурността, когато не се управлява правилно.

Атаката използва способността на SD Express картите да превключват между двата режима, показват в своя демонстрация от Positive Labs. Когато се поставят, хост контролерът обикновено започва в режим SDIO, след което преминава в PCIe. Той обаче може да бъде заблуден чрез емулиране на това взаимодействие.

Последиците от DaMAgeCard са сериозни. Тя може потенциално да:

• извлича чувствителни данни – ключове за криптиране или всякаква информация, съхранявана в оперативната памет;
• инжектира зловреден код, което да доведе до постоянни инфекции със зловреден софтуер или до неоторизиран контрол върху устройството;
• неутрализира традиционните протоколи за сигурност като IOMMU (Input-Output Memory Management Unit), което прави системите уязвими.

Фотографи, геймъри и други потребители, които се нуждаят от високоскоростен трансфер на данни, бързо възприемат SD Express технологията. Както се вижда обаче, тя отваря нови вектори за атака. Не забравяйте, че производителността никога не трябва да бъде за сметка на сигурността.

Киберпрестъпниците подлъгват Web3 разработчици с фалшиви бизнес срещи, използвайки измамна платформа за видеоконференции. Тя заразява Windows и Mac със зловреден софтуер за кражба на криптовалути, банкова информация и данни от уеб браузърите.

Кампанията е наречена „Meeten“ и е в ход от септември 2024 г. Откривателите ѝ от Cado Security Labs предупреждават, че нападателите постоянно променят брандинга на фалшивия софтуер за срещи. Досега те са открили случаи на използване под имената „Clusee“, „Cuesee“, „Meetone“ и „Meetio“.

Фалшивите платформи са подкрепени от привидно официални уебсайтове и акаунти в социалните медии. Посетителите попадат в тях чрез фишинг или социално инженерство. Те са подканяни да изтеглят „приложение за срещи“, което в действителност е Realst stealer.

В един от случаите с жертават ужким се свързва неин познат през Telegram. Той иска да обсъдят бизнес възможност. За целта предлага да си насрочат среща, като преди това тя е подканена да изтегли въпросния софтуер. Измамникът дори изпраща инвестиционна презентация от името на компания. Това показва, че става въпрос за сложна и целенасочена измама.

Съветваме ви никога да не инсталирате софтуер, препоръчан от потребители в социалните мрежи, без първо да са проверили дали той е легитимен. Дори да се окаже такъва, задължително го сканирайте с някой от многофункционалните антивирусни инструменти, които се предлагат на пазара.