кибератаки

В петък вечерта крипто измамници за кратко са успели да превземат уебсайта на LEGO, за да популяризират фалшив „LEGO токен“, който може да бъде закупен с Ethereum.

По време на пробива хакерите са заменили основния банер на компанията за играчки с изображение, показващо крипто токени, брандирани с нейното лого, и текст, гласящ: „Нашият нов LEGO токен официално излезе! Купете новия LEGO токен днес и отключете тайни награди!“

За разлика от много измами с криптовалути, тази не е промотирала злонамерен сайт за кражба на активи, когато потребителят свърже портфейла си. Вместо това кликването върху бутона „Купи сега“ е отвеждал посетителите до платформата за криптовалути Uniswap, където те са можели „да закупят“ фалшивия токен на LEGO с Ethereum.

Според модератора на канала на LEGO в Reddit пробивът е продължил приблизително 75 минути. От компанията посочват, че не са били компрометирани потребителски акаунти и клиентите могат да продължат да пазаруват от уебсайта, както обикновено.

Китайската хакерска група Salt Typhoon е проникнала в мрежите на поне три от големите американски доставчици на телекомуникационни услуги – Verizon, AT&T и Lumen Technologies – в резултат на значителен пробив в киберсигурността.

Списъкът на засегнатите компании може да се окаже по-дълъг, тъй като нападателите са били внедрени в засегнатите системи в продължение на няколко месеца, преди да бъдат открити.

Смята се, че операцията има за цел кражба на информация, свързана със законни федерални искания за подслушване. Хакерите обаче са получили достъп до по-широк интернет трафик в компрометираните мрежи, което поражда опасения за потенциална кражба и на други чувствителни данни.

От ФБР предполагат, че зад кампанията стои Министерството на държавната сигурност на Китай.

 

Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024 – тенденция, валидна за всяка една от последните години. 

Какво представляват brute force атаките? 

Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

Видове brute force атаки 

За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

• Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
• Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
• Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
• Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
• Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
• Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
• Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
• Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

Как да се защитите? 

Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

3,8 терабайта в секунда (Tbps). Това е новият рекорд за DDoS атака. Досега първото място държеше атака срещу клиент на Microsoft Azure в Азия – 3,47 Tbps.

Кампанията, в рамките на която е поставен новият рекорд, е била насочена към критични сектори като финансови услуги, телекомуникации и интернет доставчици. Тя е продължила един месец, включвайки над 100 хиперволуметрични атаки. Атаката, счупила досегашното най-високо постижение, е продължила 65 секунди, преди да бъде смекчена.

Заразените устройства, формиращи ботнета, са включвали маршрутизатори Asus, системи MikroTik, видеорегистратори и уеб сървъри. Те са били локализирани в множество държави, включително Русия, САЩ, Виетнам, Бразилия и Испания, като са използвали протокола User Datagram Protocol (UDP) на фиксирани портове, който позволява бързо предаване на данни без установяване на официални връзки.

Волуметричните DDoS атаки като тази препълват честотната лента на целта или изчерпват нейните ресурси, като правят приложенията, устройствата или мрежовите системи недостъпни за легитимните потребители. В този случай много от атаките са достигнали до два милиарда пакета в секунда (pps), засягайки по-специално слоеве 3 и 4 на мрежовата и транспортната инфраструктура, съобщи доставчикът на интернет услуги Cloudflare.

Хакерите все по-често използват мобилните телефони на българските потребители като вектор за атаките си. За това предупреди пред Bloomberg TV Bulgaria Светлин Лазаров, ръководител на отдел „Дигитални анализи и киберразузнаване“ към дирекция „Киберпрестъпност“ в ГДБОП.

По думите му най-често тези атаки започват с фалшив SMS, който уж е от „Български пощи“ или е свързан с някаква награда. Потребителите са приканени да отворят линк, който ги води на фишинг страница, в която, за да се осъществи трансакцията, те трябва да:

• въведат данните от банковата си карта;
• статичната и динамичната си парола от двуфакторната автентикация.

И тук идва уловката: във фалшивия SMS за динамичната парола пише кода за удостоверяване на превода и за каква сума става въпрос, но сумата е в края на съобщението. Потребителят се интересува от кода и не вижда, че голяма сума пари ще бъде изтеглена от сметката му.

Затова, когато получите подобен SMS, винаги трябва да изчитате цялото съобщение и да сте сигурни за какво става дума, преди да предприемете каквито и да било действия.

Инвестиционни измами

Инвестиционните измами също са сериозен проблем, тъй като могат да бъдат свързани със загуба на сериозно количество средства, обясняват от ГДБОП пред Bloomberg TV Bulgaria.

При тях на жертвата първо се предлага демо сметка с виртуални пари във фалшива инвестиционна платформа, а след като сумата нарасне, тя трябва да инвестира собствени средства.

Ако в сметката се натрупа значителна сума пари и потребителят реши да си ги изтегли обаче, изведнъж комуникацията прекъсва и това става невъзможно.

За да не попаднете в такава ситуация, винаги проверявайте легитимността на платформата, през която смятате да инвестирате, както и отзивите за нея в интернет.

 

Руската хакерска група FIN7 разпространява зловреден софтуер за кражба на данни чрез мрежа от фалшиви сайтове за генериране на nudefake – deepfake технология за създаване на голи версии на снимки на облечени хора – с помощта на AI.  

Мрежата от генератори работи под една и съща марка – AI Nude – и се популяризира чрез black hat SEO тактики, за да могат сайтовете да се класират високо в резултатите от търсенето. 

Според компанията за следене на зловредната активност в интернет Silent Push сайтовете позволяват на потребителите да качват снимки на хора, които искат да „съблекат“. След като предполагаемият „deepnude“ бъде направен обаче, той не се показва на екрана. Вместо това потребителят е подканен да кликне върху връзка, за да изтегли създаденото изображение.  

Това го води към друг сайт, който показва връзка за защитен с парола архив, хостван в Dropbox. Архивът обаче съдържа зловредния софтуер Lumma Stealer, който краде информация, идентификационни данни и бисквитки, записани в уеб браузърите, портфейли за криптовалута и др. 

Всичките седем сайта, открити от Silent Push, са свалени вече, но винаги бъдете много внимателни, когато различни онлайн платформи ви предлагат свободен достъп до напреднали технологии. Понякога безплатното излиза най-скъпо. Особено в интернет. 

Фалшива актуализация за Google Chrome разпространява зловредния софтуер WarmCookie чрез компрометирани уебсайтове. WarmCookie се използва за получаване на достъп до системата на потребителите с Windows и по принцип се разпространява чрез фишинг кампании, свързани с предложения за работа.  

Зловредният софтуер инсталира „задна вратичка“, която позволява както разпространение на повече полезни товари, така и проучване на целевите мрежи. 

WarmCookie краде пръстови отпечатъци, прави снимки на екрана, ексфилтрират откраднати данни, чете и записва файлове и взаимодейства със C&C сървър, за да получава команди. 

За да се предпазите от WarmCookie, проверявайте обстойно надеждността на предлаганите ви актуализации. За най-сигурно използвайте само официални страници, независимо дали става дума за Chrome или за някой друг софтуер. 

Kиберпрестъпниците използват по-широк от всякога набор от злонамерени документи, за да разпространяват зловреден софтуер, и като цяло променят фокуса си при реализацията на фишинг кампании. 

Това е едно от основните заключение на доклада HP Wolf Security Threat Insights Report Q2 2024, според който хакерите дават приоритет на скриптови техники за фишинг пред подходи, основани на традиционни злонамерени файлове. Те заменят често използваните Microsoft Office документи, съдържащи злонамерени макроси, със скриптови езици като VBScript и JavaScript, комбинирайки ги с криптирани архивни файлове. 

Вместо да изпращат прикачен документ, който включва злонамерен макрос, участниците в заплахите изпращат архивен файл, който включва скрит злонамерен код на VBScript или JavaScript заедно с файла, който жертвата иска да изтегли. 

Според доклада на HP Wolf Security през второто тримесечие на 2024 г. 39,23% от атаките със зловреден софтуер са били извършени чрез архивен файл, в сравнение с 27,89% през предходния отчетен период. Компанията за киберсигурност установява, че нападателите са използвали 50 различни формата на архивни файлове за разгръщане на фишинг кампании. 

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.  

  

Нова версия на зловредния софтуер за Android Necro е била инсталирана на поне 11 милиона устройства чрез Google Play. Тя се разпространява чрез SDK, използвани от легитимни приложения, и инсталира: 

• рекламен софтуер, който зарежда връзки чрез невидими прозорци WebView; 
• модули, които изтеглят и изпълняват произволни JavaScript и DEX файлове; 
• инструменти, специално разработени за улесняване на измамите с абонаменти; 
• механизми, които използват заразени устройства като проксита за насочване на злонамерен трафик. 

От Kaspersky са открили Necro в две приложения в Google Play със значителна потребителска база – Wuta Camera, инструмент за редактиране на снимки с над 10 000 000 изтегляния, и Max Browser, с над 1 милион.  

Извън Play Store той се разпространява предимно чрез модифицирани версии на популярни приложения, публикувани в неофициални уебстраници. Пример за това са модовете на WhatsApp „GBWhatsApp“ и „FMWhatsApp“, както и модификацията на Spotify – „Spotify Plus“. В доклада се споменават и модове за Minecraft и други популярни игри като Stumble Guys, Car Parking Multiplayer и Melon Sandbox. 

Както става ясно, опасности дебнат дори в официалните магазини за приложения, но за да минимизирате, риска, никога не теглете и не инсталирайте съдържание от неофициални сайтове.