кибератаки

Изборната инфраструктура на Румъния е била обект на повече от 85 000 кибератаки за седмица, става ясно от разсекретен доклад на разузнавателна служба на страната.

Атакуващите са получили данни за достъп до уебсайтове, свързани с изборите. След това те са ги пуснали в руски хакерски форум по-малко от седмица преди първия тур на вота за президент.

На 19 ноември хакерите атакуват ИТ инфраструктурата на Постоянния избирателен орган (AEP). Те са компрометирали сървър с картографски данни, свързан както с публичната, така и с вътрешната мрежа на организацията. В резултат на това са били откраднати данни на Централното избирателно бюро и платформта за регистрация на избиратели.

Атаките са продължили до 25 ноември, нощта след първия тур на президентските избори. Целта е била компрометирането на цялата изборна инфраструктура. Нападателите са използвали SQL injection и cross-site scripting от устройства в повече от 33 държави.

Към президентските избори в Румъния е била насочена и кампания за оказване на влияние. Повече от 100 румънски инфлуенсъри от TikTok с над 8 милиона активни последователи са били манипулирани. Те са разпространявали предизборно съдържание, популяризиращо проруския кандидат Калин Джорджеску.

Професионалистите в киберсигурността оценяват положително въздействието на GenAI върху своята сфера.

Въпреки че технологията прави кибератаките по-опасни, 46% от тях смятат, че тя оказва положително влияние като цяло. 44% са неутрални, а едва 6% се изказват негативно, сочи докладът Generative AI and Cybersecurity: Risk and Reward на Ivanti.

Освен това 90% смятат, че GenAI е от полза за екипите по киберсигурността поне толкова или повече, отколкото за нападателите. 85% пък твърдят, че тези инструменти ще подобрят силно или умерено производителността на работата им.

GenAI има редица потенциални приложения в киберсигурността – от подобряване на ефективността на екипите до създаване на сигурен код. Технологията може да е полезна и предвид недостига на таланти с нужните умения. Според оценки на ISC2 в момента глобалният недостиг на такива наброява 4,8 млн. души.

Въпреки изразения оптимизъм респондентите признават, че GenAI ще увеличи значително сериозността на различните видове кибератаки. Попитани: „Кои от тези заплахи ще станат по-опасни благодарение на технологията?“, те ги подреждат в следния ред:

• фишинг (45%);
• използване на уязвимости в софтуера (38%);
• ransomware атаки (37%);
• използване на уязвимости, свързани с API (34%);
• DDoS атаки (31%);
• атаки, възполващи се от лошо криптиране (27%).

57% от професионалистите смятат, че обучението на служителите е най-важната защита срещу атаките със социално инженерство, задвижвани от GenAI. Въпреки това едва 32% казват, че обичайните обучителни програми са „много ефективни“ за защита от подобни заплахи.

Нова тактика помага на киберпрестъпниците да превръщат откраднати данни за банкови карти, свързани с Google Wallet и Apple Pay, в пари в брой.

Наречен Ghost Tap, този метод включва препредаване на NFC (Near Field Communication) трафика, за да се извършват трансакции анонимно и в голям мащаб.

Техниката въвежда няколко нови елемента, които я правят особено обезпокоителна. Ето как работи тя, според ThreatFabric:

• измамникът краде информация за кредитната карта и прихваща OPT (One-time PIN) кода чрез вече инсталиран зловреден софтуер за Android;
• регистрира откраднатата карта със собствения си смартфон;
• за да прикрие местоположението и самоличността си, той използва подставени лица (мулета) и ретранслатор на NFC трафик;
• чрез тях измамниците теглят пари, дистанцирайки се от престъплението, тъй като те могат да бъдат на другия край на света;
• Ghost Tap използва т.нар. relay attack, за да се възползва от данните на откраднатите кредитни карти, без да разполагат със самите тях;
• за да могат да препращат NFC трафика към „мулето“, изманиците разчитат на инструментариум NFCGate;

Тази тактика поставя значителни предизвикателства пред финансовите институции при откриването и предотвратяването на подобни измами.

Сценарият Ghost Tap разчита на факта, че устройството на жертвата вече е компрометирано от зловреден софтуер. Затова инсталирайте приложения само от надеждни източници. Бъдете много внимателни при всяка неочаквана комуникация през имейл, телефон или социална мрежа. Особено ако съдържа линк, който трябва да отворите, или отсрещната страна се представя за финансова институция.

 

Последен ъпдейт на 22 декември 2024 в 09:51 ч.

Една кибератака може да има опустошителни последици за всеки бизнес. Затова знанието как да реагирате ефективно по време на такава е от съществено значение.

Ето 6 стъпки как да го направите:

1. Незабавно уведомяване на ИТ и управленските екипи

Служителят, който пръв се сблъска с пробива, трябва незабавно да уведоми ИТ и управленските екипи. Бързите действия са от решаващо значение, тъй като много кибератаки са проектирани да действат под радара, като безшумно изнасят данни. Ранното откриване може да предотврати по-голям пробив.

2. Прекъсване на връзката с компрометираната система

След като компрометираното устройство бъде идентифицирано, ИТ екипът трябва да го изключи от мрежата, за да предотврати допълнителни проблеми. Документирането трябва да започне веднага, за да се проследи как се разпространява инфекцията и кои системи са засегнати.

3. Проверка на целостта на резервните копия

ИТ специалистите трябва незабавно да проверят дали резервните копия в облака и на място не са били компрометирани. Целостта на им е от решаващо значение за ограничаване на въздействието на атаката и за поддържане на непрекъснатостта на бизнеса.

4. Прилагане на протоколи за реакция при инциденти

Ако вашата организация има план за реагиране при инциденти, започнете да го прилагате незабавно. Ако специалният екип не е на място, ИТ персоналът трябва да изпълни първите стъпки, описани в плана. Изолирането на засегнатите мрежови сегменти е от решаващо значение за ограничаване на заплахата.

5. Уведомяване на служителите

Уведомете всички служители за кибератаката, особено ако са замесени фишинг имейли. Човешката грешка често изостря нарушенията, така че те трябва да бъдат инструктирани да избягват всякакви подозрителни съобщения или прикачени файлове. Обучението по време на активна заплаха може значително да намали по-нататъшните щети.

6. Използване на инструменти за проследяване на заплахата

Използвайте EDR инструменти или други системи за сигурност, за да проследите и ограничите злонамерените дейности. Интегрираните инструменти за откриване на заплахи са по-ефективни за предотвратяване на повторно заразяване, отколкото ръчните процеси.

Нова PhaaS платформа улеснява широкомащабните атаки от типа adversary-in-the-middle (AiTM) за кражба на идентификационни данни за Microsoft 365.

Rockstar 2FA позволява на нападателите да заобикалят MFA на целевите акаунти чрез прихващане на валидни сесийни бисквитки. Te насочват жертвите към фалшива страница за вход, имитираща Microsoft 365, и ги подмамват да въведат своите идентификационни данни.

AiTM сървърът действа като прокси и препраща тези данни към легитимната услуга на Microsoft. По този начин завършва процеса на удостоверяване и улавя „бисквитката“, когато тя се изпраща обратно към браузъра на целта. Тази бисквитка може да бъде използвана за директен достъп до акаунта на жертвата, дори ако той е защитен с MFA.

Rockstar 2FA е придобил значителна популярност сред киберпрестъпниците от август 2024 г. насам. Платформата се продава за 200 долара за две седмици. От май 2024 г. насам тя е създала над 5000 фишинг домейна, които улесняват различни зловредни операции.

Съобщенията използват различни примамки – уведомления за споделяне на документи, известия от ИТ отдела, предупреждения за смяна на парола и др. Те разчитат на редица методи за избягване на блокиране, включително QR кодове, включване на връзки от легитимни услуги и прикачени PDF файлове.

Във времена на лесен достъп до мощни фишинг инструменти всеки трябва да е много внимателен с имейлите, които получава. Особено ако те съдържат файлове или линкове.

Мащабна DDoS атака изкара от строя за повече от девет часа Microsoft 365.

Прекъсването засегна множество услуги и функции, включително Exchange Online, Microsoft Teams и SharePoint Online. OneDrive, Purview, Copilot и Outlook също не бяха достъпни в рамките на срива.

Това не е първият случай на глобално прекъсване на платформите на технологичния гигант през 2024. През юли това се случи с Microsoft 365 и Azure, а засегнати бяха административния център, както и услугите Intune, Entra, Power BI и Power Platform.

 

Киберизмамниците засилват операциите си преди сезона на празничното пазаруване. Това се дължи на до голяма степен на пазарите в Dark Web. Te предлагат широка палитра от инструменти и услуги за атаки срещу потребителите и онлайн магазините.

Според доклад на FortiGuard Labs фишинг комплектите за имитиране на легитимни уебсайтове и имейли се продават на цени от 100 до 1000 долара. По този начин пазарите в Dark Web позволяват дори нискоквалифицирани нападатели да разполагат с мощни ресурси на достъпни цени.

Други инструменти, които се продават там, прихващат чувствителни данни за плащания по време на трансакции. Трети пък се използват за brute force атаки, които помагат на нападателите да компрометират акаунти.

Хакерите все по-често използват и уязвимости в популярни платформи като Adobe Commerce, Shopify и WooCommerce. Слабите конфигурации и остарелите плъгини излагат бизнесите на риск от атаки с отдалечено изпълнение на код (RCE). Те предоставят на нападателите администраторски достъп до сайтовете. След като бъдат компрометирани, тези платформи могат да послужат като портали за по-нататъшни измами или кражба на данни.

FortiGuard предупреждава, че вече са регистрирани хиляди зловредни домейни с празнична тематика. Те подлъгват потребителите с фалшиви промоции, както и с фишинг имейли и уебсайтове. Тяхната изработка е изключително добра, тъй като за нея се използва AI. С помощта на технологията фишинг кампаниите стават много по-персонализирани и правдоподобни.

Препоръчваме компаниите да подсигурят административните си панели, да актуализират плъгините и да следят за регистрации на фалшиви домейни.

Потребителите пък трябва да проверяват внимателно URL адресите на уебсайтовете, да избягват обществения Wi-Fi за пазаруване и да активират многофакторна автентикация (MFA) на акаунтите си.

Набор от уязвимости позволява на фалшиви VPN сървъри да инсталират злонамерени актуализации, когато към тях се свържат клиенти на Palo Alto и SonicWall SSL-VPN.

Той се използва за кражба на входни данни, изпълнение на код с повишени привилегии и атаки от типа man in the middle. Нападателите подлъгват жертвите си да се свържат към контролираните от тях VPN сървъри чрез социално инженерство или фишинг атаки.

SonicWall са пуснали пачове за справяне с уязвимостта още през юли, докато Palo Alto Networks – едва вчера. Първите препоръчват потребителите да инсталират NetExtender Windows 10.2.341 или по-нови версии, а вторите – инсталирането на GlobalProtect 6.2.6 или по-нова версия. Стартирането на Palo Alto Networks GlobalProtect VPN клиента в режим FIPS-CC също намалява риска.

Съветваме ви възможно най-бързо да инсталирате пачовете, за да защитите вашите системи.

 

Ransomware атака срещу Blue Yonder, ключов доставчик на софтуер за управление на веригата за доставки, наруши операциите на редица глобални компании.

Starbucks, например, е била принудена да се върне към ръчни процеси за управление на графиците на служителите и системите за заплати.

В Обединеното кралство веригите супермаркети Morrisons и Sainsbury’s също са били засегнати. Първата разчита на Blue Yonder за управление на складовете си. След атаката се е наложило тя да прибегне до ръчна система за бекъп. Това е оказало влияние върху доставките и наличността на продуктите ѝ.

Други известни компании, включително Albertsons, Kroger, Ford, Procter & Gamble и Anheuser-Busch, също използват решенията на Blue Yonder.

Софтуерният доставчик обслужва над 3000 клиенти в 76 държави, като предлага end-to-end платформа за веригата за доставки. Тя е използвана от множество търговци на дребно, производители и логистични компании.

Този инцидент още веднъж показва колко свързана е глобалната бизнес екосистема. Атака срещу една компания може да окаже негативно влияние върху множество индустрии по целия свят. Затова киберсигурността трябва да е основен приоритет за всяка организация. Независимо от големината, сферата, в която оперира, и географското ѝ местоположение.

 

Киберпрестъпниците все по-често експлоатират уязвимости в легитимни драйвери, за да заобиколят системите за сигурност. По този начин те могат да получат пълен контрол над компютрите на жертвите си.

Драйверите са ключови софтуерни компоненти, които осигуряват комуникацията между операционната система и хардуерните устройства. Тъй като те са цифрово подписани от легитимни производители, операционната система им се доверява по подразбиране. Именно това доверие експлоатират киберпрестъпниците.

Как работят BYOVD атаките?

При BYOVD атака, злонамерените актьори:

1. Внедряват легитимен, но уязвим драйвер в целевата система.
2. Експлоатират уязвимостите за получаване на привилегирован достъп.
3. Използват получените права за:

• деактивиране на защитния софтуер;
• инсталиране на руткитове;
• създаване на скрити точки за достъп;

Първоначално използвани само от елитни хакерски групи като Turla и Equation Group, BYOVD атаките стават все по-достъпни. Проектът Living Off The Land Drivers (LOLDrivers) е идентифицирал над 700 уязвими драйвера, които могат да бъдат експлоатирани.

С увеличаването на достъпността на BYOVD атаките, експертите очакват техният брой да продължи да расте. Затова организациите трябва да приемат комплексен подход към киберсигурността. Той включва както превантивни мерки, така и способност за бързо откриване и реагиране на заплахи.

За да се защитите от BYOVD атаки, ви препоръчваме:

• поддържайте списък с одобрени драйвери;
• редовно обновявайте драйверите с най-новите версии;
• използвайте системи за унифицирано управление на крайните точки (UEM);
• внедрете решения за откриване и реагиране в крайните точки (EDR);
• правете непрекъснат мониторинг на инсталираните драйвери;
• провеждайте регулярни penetration тестове.