кибератаки

Иновативна хакерска кампания използва необичаен метод за кражба на входни данни за профили в Google – блокира потребителите в Kiosk mode на браузъра. 

Зловреден софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, блокирайки клавишите ESC и F11 на клавиатурата. Според OALABS целта е жертвата да бъде изнервена дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да го „отключи“. След като пълномощията са запазени, зловредният софтуер StealC ги краде от хранилището за пълномощия и ги изпраща към нападателя. 

Потребителите, които попаднат в подобна ситуация, трябва да:  

• избягват въвеждането на чувствителна информация; 
• опитат други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“, които могат да помогнат за извеждане на работния плот на преден план и за стартиране на мениджъра на задачите за затваряне на браузъра (End Task).

Ако всичко това не успее, винаги можете да извършите твърдо изключване, като задържите бутона за захранване.  При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер.  

Последен ъпдейт на 25 септември 2024 в 12:39 ч.

Училищатa и университетите са изправени пред нарастващи разходи, свързани с ransomware атаки, от една страна, а от друга – срещат все повече трудности да се възстановят след тях. 

Организациите от образователния сектор плащат най-високата средна стойност след подобни кампании – 6,6 млн. USD, като сумата е сравнима само с откупите, платени от федералното правителство на САЩ.  

Докладът State of Ransomware in Education 2024 на компанията за киберсигурност Sophos установява, че 44% от училищата в 14 държави от различни глобални региони, в това число и Европа, са се сблъскали с искане за откуп в размер на 5 млн. USD или повече. На 32% от висшите учебни заведения са им били искани между 1 и 5 млн. USD, а на 35% – над 5 млн. USD. 

Кампаниите срещу образователни институции са намалели през 2024 г. в сравнение с 2023, но остават повече спрямо 2022. 

В същото време 95% от атакуваните образователни институции са съобщили, че киберпрестъпниците са се опитали да компрометират и резервните копия на данните им, като при 71% тези опити са успешни. 

Въпреки че България не е след изследваните държави, училищата у нас не са застраховани по никакъв начин. За да се предпазят от ransomware атаки, те трябва да: 

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн; 
• сте сигурни, че резервните копия работят правилно, което изисква постоянни проверки; 
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани; 
• използват софтуери за киберсигурност; 
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация; 
• провеждат постоянно обучения по киберсигурност на служителите си. 

Хакерите все по-често използват легитимен софтуер за злонамерени цели, тъй като той им дава възможност да заобиколят мерките за сигурност, сливайки се с нормалния мрежов трафик. 

Според компанията за киберсигурност ReliaQuest тактиката CAMO (Commercial Applications for Malicious Operations) е била използвана в 60% от всички критични инциденти, свързани с атаки от типа Hands-On-Keyboard (когато нападателят извършва ръчно дейностите, а не използва скриптирани команди), от януари до август 2024 г. – ръст с 16% в сравнение с 2023. При нея най-често се използват основни ИТ инструменти като PDQ Deploy, софтуер за автоматично инсталиране на пачове, и решения за дистанционно наблюдение и управление като AnyDesk или ScreenConnect. 

За да се предпазят, организациите трябва да: 

• сегментират мрежата си чрез VLAN и DMZ; 
• изготвят „бели списъци“ на приложения чрез Windows Defender Application Control (WDAC) или AppLocker;
• контролират строго използването на инструменти за автоматично инсталиране на пачове и дистанционно наблюдение и управление;  
• включат осведомеността за CAMO в своите планове за реакция при инциденти, penetration тестове и оценки на риска.  

Севернокорейската хакерска група Lazarus примамва разработчици на Python да инсталират зловреден софтуер чрез оферти за работа, които изискват изпълнението на тест за кодиране на продукти за управление на пароли.  

Според доклад на ReversingLabs хакерите хостват зловредните проекти за кодиране в GitHub, където жертвите намират README файлове с инструкции как да изпълнят теста. Те имат за цел да дадат усещане за легитимност, както и чувство за спешност. 

От Lazarus обикновено се представят за големи компании, използвайки за контакт професионалната социална мрежа LinkedIn. Те оферират кандидатите да открият грешка в приложение за управление на пароли, да изпратят своето решение и да споделят скрийншот като доказателство за работата си – всичко това в рамките на общо 30 минути. README файлът на проекта инструктира жертвата да стартира приложението PasswordManager.py на своята система и след това да започне да търси грешки и да ги отстранява. Изпълнени, тези инструкции водят до изтеглянето на зловреден софтуер. 

За да се предпазят, разработчиците трябва: 

• да проверят самоличността на човека отсреща и независимо да потвърдят, че въпросната компания наема персонал; 
• сканират подадения код и да го изпълняват само в безопасна среда. 

Новооткрит зловреден софтуер се възползва от уязвимости в GLPI, система за управление на ИТ активи, и уебсайтове на WordPress, за да събира чувствителна информация от заразените устройства. 

Според компанията за киберсигурност QiAnXin DarkCracks е изключително усъвършенстван и може да остане скрит дори от най-напредналите инструменти за киберсигурност изключително дълго време. Освен че заразява устройствата, той ги използва като стартова площадка за разполагане на допълнителни зловредни компоненти и разпространение към други жертви.  

DarkCracks е проектиран за дългосрочна експлоатация и се адаптира към промените, оставайки оперативен, когато части от него са открити и премахнати. Зловредният софтуер може да функционира, дори ако основните му сървъри бъдат изведени от строя. 

За да се защитите от тази напреднала заплаха: 

• Актуализирайте редовно целия си софтуерен стак и системи, за да сте сигурни, че известните уязвимости са отстранени;  
• наблюдавайте мрежовия трафик за необичайна активност, включително неочаквани връзки към външни сървъри; 
• използвайте усъвършенстваните инструменти за откриване, способни да разпознават многопластовите техники за замаскиране на DarkCracks. 

DDoS (Distributed Denial of Service) атаките са се увеличили в световен мащаб със 102% през първата половина на тази година в сравнение със същия период на 2023 г.  

Според доклада DDoS Attacks Report на StormWall най-силно засегнат е правителственият сектор – ръст от 116% на годишна база, или 29% от общия брой на регистрираните инциденти от този вид. Това отчасти се дължи на големия брой държави, в които се проведоха избори. Ако се погледне само статистиката за Q2/2024, когато се проведоха въпросните изборни кампании, броят на DDoS атаките срещу сектора е скочил с внушителните 183% на годишна база. 

Следващите най-често атакувани индустрии са развлекателната и финансовата – съответно 16% и 14% от DDoS атаките за първите шест месеца на годината. StormWall отбелязва значително увеличение на подобни кампании по време на Евро 2024, като на 16 юни една от услугите за стрийминг на спортни предавания е била подложена на атака от 650 Gbp/s. 

От компанията за киберсигурност предупреждават също така, че ботнет мрежите стават все по-мощни – средният им размер се е увеличил от 5000 устройства през първата половина на 2023 г. до 20 000 през същия период на тази. 

 

Подкрепяните от Русия и Северна Корея хакери отдавна са сериозен проблем за киберсигурността на бизнеса и правителствените системи навсякъде по света. Това важи с още по-голяма сила за САЩ и Европа, а по всичко личи, че тази тенденция се задълбочава.  

Хакери на руското военно разузнаване атакуват ключови сектори на държави от НАТО

APT групи (Advanced Persistent Threats) към специализирано звено на Главното разузнавателно управление на руския Генерален щаб, използващи иновативни технологии като изкуствения интелект, се насочват към критични сектори на държави членки на НАТО и техни съюзници. Според федералните власти на САЩ и девет други западни служби в списъка с потенциални цели влизат организации от сферата на транспорта, енергетиката, здравеопазването, правителствените и финансовите услуги и т.н.  

В рамките на разследването са документирани повече от 14 000 случая на сканиране на домейни в поне 26 държави членки на НАТО и още няколко от ЕС. Нападателите са компрометирали уебсайтовете на жертвите, сканирали са инфраструктурата им и са ексфилтрирали данни. 

Свързаните с Москва групи са използвали известни уязвимости, като сред наблюдаваните активни експлойти са такива срещу продуктите на Atlassian Confluence Server и Data Center, IP камери на Dahua и Sophos Firewall.  

Пхенян подготвя вълна от кибератаки срещу организации за криптовалути 

В същото време севернокорейски групи подготвят вълна от кибератаки срещу „организации с достъп до големи количества активи или продукти, свързани с криптовалута“. От ФБР предупреждават, че се очаква кампанията да бъде базирана на особено опасни тактики за социално инженерство, включително силно персонализиране, което ще я направи изключително убедителна. 

През последните няколко месеца федералното бюро е засякло различни спонсорирани от Пхенян групи, проучващи цели, свързани с борсово търгувани криптофондове (ETF).  

Предстоящите атаки могат да включват както кражба на криптовалути, така и внедряване на зловреден софтуер. От ООН изчисляват, че досега при подобни кампании севернокорейските хакери са откраднали около 3 млрд. долара в криптовалути, но сегашната вълна от кибератаки може да се окаже още по-трудна за откриване от предишните. 

В нейните рамки се очаква хакерите да се представят за специалисти по набиране на персонал и да се насочат към служители от различни сектори. Те дори може да кандидатстват за работа в различни западни организации и ако бъдат наети, да извършват злонамерена дейност отвътре. 

Обикновено подобни атаки започват с фалшиви предложения за работа или с файлове, съдържащи „троянски кон“, маскирани като PDF, Virtual Network Computing (VNC) клиенти или софтуер за отдалечени конференции. Тези злонамерени файлове често се изпращат под прикритието на предложения за наемане на работа, оферти за специалисти на свободна практика или дори идеи за инвестиции.  

„Компаниите, особено в криптосектора, трябва да бъдат предпазливи по отношение на служителите, които се занимават с лични дейности като търсене на работа на устройства с достъп до фирмена информация, тъй като нападателите се насочват предимно към идентификационните данни за вход и криптопортфейлите. Освен това организациите трябва внимателно да проверяват потенциалните инвестиционни партньори, за да се уверят в тяхната автентичност“, съветва Анди Гарт, директор по правителствените въпроси в ESET. 

Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

• проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
• задайте правило .htaccess, за да се забрани директният достъп до log файла. 

ЗЛовредно приложение за Android комбинира класически тактики с неизползван до момента метод за атака: експлоатация на NFC четеца на телефона за клониране и кражба на физически дебитни и кредитни карти. Откритието е на анализаторите от ESET. 

Кампанията протича така: 

• фишинг имейл, в който се твърди, че устройството е компрометирано, подлъгва жертвата да изтегли зловредното приложение NGate;  
• след като то бъде инсталирано, показва фалшив уебсайт, изискващ въвеждане на информация като дата на раждане, ПИН код и др. (класическият фишинг елемент от атаката);  
• жертвите се подканват да включат NFC на своите устройства и да поставят физическа дебитна или кредитна карта на гърба на смартфона, за да бъде регистрирана в профила на потребителя; 
• чрез NFC четеца на телефона, NGate клонира картата; 
• откраднатите данни се използват създаване на други реплики на открадната карта, след което тя може да бъде източена чрез теглене на банкомат или плащане на POS терминали.  

Българските потребители също често са обект на подобни кампании. Така че бъдете много предпазливи при онлайн комуникация с финансови институции – проверявайте URL адресите на уебсайтовете, никога не давайте ПИН кодовете си и изключвайте функцията NFC, когато не ви е необходима.  

Pig Butchering – практика на използване на онлайн самоличности за изграждане на доверие у жертвите, преди да им бъдат поискани големи суми пари – е най-разпространеният тип измама, генериращ приходи за киберпрестъпниците, от началото на 2024. 

В същото време, през последните четири години циклите на онлайн измамите са станали значително по-кратки и по-ефективни.  

Това са основните констатации в доклада на Chainalysis за киберпрестъпността през първата половина на 2024.  

Списъкът със заключения включва още: 

• 43% от приходите от измами в блокчейн са свързани с портфейли, станали активни едва през последната година (предишният връх е 29%); 
• онлайн и базираната на блокчейн инфраструктура, използвана за измами, се актуализира по-бързо от всякога; 
• киберпрестъпниците все повече предпочитат по-малки, по-прости, по-бързи и по-целенасочени кампании, които могат да донесат по-високи приходи в дългосрочен план.