кибератаки

Критична уязвимост в сигурността на Microsoft 365 Copilot е позволявала кражба на чувствителна потребителска информация чрез сложна верига от експлойти.  

Открита от изследователя в сферата на киберсигуростта Йохан Рехбергер, тя комбинира: 

• въвеждане на команда към Copilot чрез злонамерен имейл или споделен документ;
• автоматично активиране на инструмент за достъп до данните на таргетираната система; 
• ASCII Smuggler за скриване на ексфилтрираната информация; 
• предаване на хипервръзки към контролирани от атакуващия домейни. 

Най-иновативният аспект в случая е ASCII Smuggler. Той използва специални Unicode символи, които са невидими в потребителския интерфейс. По този начин атакуващият може да вгради откраднатите данни в привидно безобидни хипервръзки, а когато потребителят щракне върху тях, скритата информация се изпраща до сървъра на нападателя.  

Уязвимостта вече е отстранена от Microsoft, макар че от компанията не разкриват подробности по темата. 

По-голямата част от ransomware атаките се извършват между 1 и 5 ч. сутринта, когато е най-вероятно екипите за киберсигурност да бъдат изненадани, според доклада „ThreatDown 2024 State of Ransomware” на компанията за киберсигурност Malwarebytes. 

Други основни заключения в него показват, че: 

• хакерите все по-често използват техники, при които разчитат на вградени инструменти за системно администриране, за да затруднят откриването и предотвратяването на атаките от екипи без Security Operations Center (SOC);
• целият процес на ransomware атаката – от първоначалния достъп до криптирането на данните – се съкращава от седмици до часове. 

Най-засегнатите сектори са услугите и производството, като във втория броят на ransomware атаките се е увеличил със 71% на годишна база. ИТ услугите, строителството, технологиите, логистиката, търговията на дребно, здравеопазването, образованието и търговията на едро допълват топ 10 на най-често атакуваните индустрии. 

Друга лоша новина е, че атаките, извършени от групи извън най-известните 15, също се увеличават – от 25% на 31%. Това подчертава, че те стават достъпни за по-широк кръг киберпрестъпници. 

За да защитите критичните си данни, вашите системи трябва да бъдат наблюдавани 24/7/365. 

Над 445 хил. DDoS атаки или с 45% повече спярмо миналата година са засечени през първото полугодие на 2024 г. по данни на Gcore Radar Report.

Най-мощната атака през изследвания период е достигнала 1,7 Tbps, докато през 2023 г. тя е била 1,6 Tbps. За контекст, дори атака от 300 Gbps може да спре достъпа до незащитен сървър.

Повечето от тях са били кратки – под 10 минути, но най-дългата е продължила цели 16 часа.

Компаниите за онлайн залагания са най-честите цели на DDoS атаки с 49% от общия брой на инцидентите, но най-голям ръст е регистриран в технологичния сектор – удвояване до 15%. Това обаче далеч не означава, че останалите индустрии не са заплашени от DDoS атаки. Напротив – независимо от големината, региона и сферата, в която оперира една компания, тя може да стане жертва на атака за отказ на услуга.

Затова ви съветваме да:

• внедрите услуги за защита от DDoS;
• използвате Web Application Firewall (WAF);
• ограничите броя на едновременните заявки към сървърите си;
• разработите план за реакция при инциденти.

Австралийското правителство включи използването на рансъмуер в списъка на криминалните престъпления. Специално наказателно преследване грози хора,  които атакуват критична инфраструктура с криптовируси.

Това е част от националния план за действие при рансъмуер атака, който не одобрява плащането на откуп на киберпрестъпници, с цел да се прекъсне порочен бизнес модел.

Планът въвежда нов задължителен режим за докладване на инциденти с рансъмуер, който ще изисква организации с оборот над 10 млн. AU$ годишно да уведомяват официално правителството, ако претърпят кибератака.

Критичната инфраструктура, която не може да си позволи прекъсвания на работата, е все по-често срещана цел на киберпрестъпници. В края на ноември 2021 г. инцидент с откуп се случи в държавна компания за производство на електроенергия в Куинсланд.

McDonald’s е поредната мултинационална компания – жертва на кибератака. Пробивът е довел до излагане на лична информация на клиенти и служители в Южна Корея и Тайван. Компанията твърди, че сред изтеклите данни няма чувствителна информация или детайли за плащания.

McDonald’s разследва случая и възнамерява да използва резултатите, за да подобри мерките си за сигурност.

По-рано през м. юни 2021 г. компанията за бързо хранене пострада индиректно от друга кибератака – рансъмуер спря работата на основният й доставчик на месо в САЩ.

Университетът в Hertfordshire, Великобритания е съобщил за кибератака, която е спряла всичките му ИТ системи, включително Office 365, Teams и Zoom, локални мрежи, Wi-Fi, имейли, съхранение на данни и VPN. Всички онлайн часове са отменени за два дни, а системите все още се възстановяват.

В безпрецедентната ситуация, в която се намират учебните заведения в Европа, включително в България, е много важно те да използват легитимно антивирусно решение, които да обезпечи безопасността на мрежите им. Такъв продукт следва да е инсталиран и на домашните устройства, които някои преподаватели използват за изпълнение на служебните си задължения.

Последен ъпдейт на 14 април 2021 в 15:43 ч.

Кибератаките към критично важна инфраструктура стават все по-популярни през последните години. Организаторите им търсят слабости във функционирането на системите, за да проникнат и парализират ключови за обществото и бизнеса индустриални съоръжения.

Такава слабост, при това в световен мащаб, се очертават системите за индустриален контрол (ICS): изглежда че скорошното нападение от страна на Израел срещу съоръжение на Иран за обогатяване на уран е станало именно през тях.

Уязвимостта на ICS и други т. нар. „операционни технологии“, използвани в индустриални процеси и големи инфраструктурни инсталации (електрически мрежи, стоманени и химически производства, пречиствателни станции), беше демонстрирана преди повече от десетилетие с разкритието на атаката на злонамерения софтуер Stuxnet.

За разлика от „по-конвенционалните“ хакове с цел за кражба на данни, кибератаките срещу оперативни технологии причиняват и сериозни физически щети: прекъсване на електрозахранването, замърсяване на водата, пренапрежение и повреда на системи, дори експлозия.

Изследователите на PRODAFT (швейцарска компания за киберсигурност) твърдят, че са успели да проникнат в компютърната инфраструктура на хакерите, стоящи зад най-голямата кибератака до момента.

SilverFish (така е наречена групата) са управлявали сървъри в Русия и Украйна, някои от тях – споделени с известната руска престъпна хакерска група Evil Corp. Засечени са писмени коментари на руски жаргон и на английски език.

Изследователите са разкрили уеб панел, в който хакерите тестват дали злонамерената им дейност се маркира от антивирусните решения на жертвите.

Според PRODAFT, SilverFish са използвали и други методи за атака, освен уязвимостта в софтуера на SolarWinds. Кампанията на хакерите продължава и през 2021 г.

Като целеви регион на действие на групата се посочва САЩ и някои европейски страни (Италия, Холандия, Дания, Австрия, Франция и Великобритания).

На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

За целта е нужно:

• Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
• Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

Какви вреди може да причини една DDoS атака

DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

DDoS се прилага на различни нива:

• Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
• Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
• Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

Препоръки към администраторите

Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

• Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
• Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
• За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.

Компанията Verkada, която предоставя охранителни камери, базирани в облака, съобщи, че е претърпяла инцидент с киберсигурността. Резултатът: Хакери са проникнали във видео потока на множество бизнес клиенти, сред които Tesla и Cloudflare.

Атаката е реализирана, използвайки идентификационни данни на администратор, публично налични в интернет.

Твърди се, че са компрометирани емисиите от около 150 хил. охранителни камери на клиенти на Verkada. Компанията казва, че става дума за устройства, разположени в официално затворени офиси.

Мащабът и обхватът на проблема се разследват. Verkada е деактивирала всички вътрешни администраторски акаунти, за да блокира нарушението. На клиентите е предоставена гореща телефонна линия за помощ.