кибератаки

Нова версия на зловредния софтуер за Android Necro е била инсталирана на поне 11 милиона устройства чрез Google Play. Тя се разпространява чрез SDK, използвани от легитимни приложения, и инсталира: 

• рекламен софтуер, който зарежда връзки чрез невидими прозорци WebView; 
• модули, които изтеглят и изпълняват произволни JavaScript и DEX файлове; 
• инструменти, специално разработени за улесняване на измамите с абонаменти; 
• механизми, които използват заразени устройства като проксита за насочване на злонамерен трафик. 

От Kaspersky са открили Necro в две приложения в Google Play със значителна потребителска база – Wuta Camera, инструмент за редактиране на снимки с над 10 000 000 изтегляния, и Max Browser, с над 1 милион.  

Извън Play Store той се разпространява предимно чрез модифицирани версии на популярни приложения, публикувани в неофициални уебстраници. Пример за това са модовете на WhatsApp „GBWhatsApp“ и „FMWhatsApp“, както и модификацията на Spotify – „Spotify Plus“. В доклада се споменават и модове за Minecraft и други популярни игри като Stumble Guys, Car Parking Multiplayer и Melon Sandbox. 

Както става ясно, опасности дебнат дори в официалните магазини за приложения, но за да минимизирате, риска, никога не теглете и не инсталирайте съдържание от неофициални сайтове.  

Aгенциите за киберсигурност на САЩ, Обединеното кралство, Канада, Австралия и Нова Зеландия предупредиха за нова мащабна ботнет мрежа, управлявана от компания, свързана с китайското правителство. Тя се състои от 260 000 устройства – от уебкамери до рутери – работи със зловреден софтуер Mirai и се използва за DDoS атаки, компрометиране на мрежи или за разпространение на зловреден софтуер.  

Зад нея стои китайската Integrity Technology Group. Според ФБР тя функционира от средата на 2021 г. и показва „дейност, съответстваща на тактиките, техниките и инфраструктурата“ на групата за киберзаплахи Flax Typhoon, известна още като RedJuliett и Ethereal Panda. 

Устройства, превърнати в част от мрежата, са открити в Европа, Северна и Южна Америка, Африка, Югоизточна Азия и Австралия. На Стария континент се падат 24,9% от нея. 

За да ограничите риска вашето устройство да стане част от подобна мрежа:  

• Инсталирайте редовно новопубликуваните софтуерни пачове; 
• използвайте силни пароли и двуфакторна автентикация; 
• деактивирайте неизползвани услуги и портове. 

Усъвършенствана фишинг кампания изпозлва Booking.com, за да открадне пари и лични данни от потребителите. Тя се развива в две основни стъпки:  

• компрометиране на акаунти на мениджъри на места за настаняване;
• измами на клиентите в рамките на официалното приложение на Booking.com. 

Първоначалната стъпка е регистрацията на домейн „extraknet-booking.com“, който наподобява валидния поддомейн „extranet-booking.com“, използван от мениджърите на хотели в Booking.com за административни цели. За да подсили илюзията, фишинг сайтът хоства фалшив портал, който изглежда като легитимния интерфейс на сайта. Той събира чувствителна информация от нищо неподозиращите администратори, включително данни за вход, лична и финансова информация.  

Нападателите използват различни техники – от най-традиционните фишинг имейли до усъвършенствани техники за SEO Poisoning, които класират злонамерените връзки високо в резултатите от търсенето. Често нападателите използват и платени реклами, за да увеличат видимостта на своите портали.  

След като устройствата на управителите на хотели бъдат компрометирани, хакерите използват официалните чатове на Booking.com за разпространяване на зловредни връзки към клиентите – най-критичната и доходоносна част от веригата.  

Затова, когато използвате функцията за чат на платформата, винаги имайте едно наум за изпращаните ви връзки, дори да изглежда, че те идват от легитимен подател. 

Изследователи от университета „Бен-Гурион“ в Негев, Израел, са открили нов метод за компрометиране на сигурността на офлайн системи, които нямат връзка с вътрешна мрежа или интернет и по принцип не могат да предават чувствителни данни.   

Зловредният софтуер, наречен RAMBO (Radiation of Air-gapped Memory Bus for Offense), може да манипулира компонентите на оперативната памет. Той използва електромагнитните излъчвания от шините на паметта на компютъра, за да предава чувствителна информация. 

Преносът на данни в оперативната памет генерира електромагнитни полета, излъчващи енергия с определена честота. Тя се влияе от тактовата честота, големината на данните и архитектурата, а предавателят може да модулира моделите на достъп до паметта, за да създаде електромагнитен таен канал. 

Атаката включва:  

• разгръщане на зловреден софтуер в изолираната система чрез заразено USB устройство, вътрешен човек или чрез компрометиране на веригата за доставки; 
• зловредният софтуер манипулира операциите в паметта, за да генерира радиосигнали, които кодират чувствителни данни;  
• предавани по въздуха, те се прихващат от нападателя с помощта на просто софтуерно дефинирано радиоустройство (SDR) и антена; 
• RAMBO ексфилтрира кодираните файлове със скорост 1000 бита в секунда от разстояние до 7 метра. 

През 2024 г. финансовата индустрия се е сблъскала с почти два пъти повече DDoS атаки, отколкото всяка друга. 

Според нов доклад на компанията за облачна сигурност Akamai между 1 януари и 30 юни в сектора на финансовите услуги са регистрирани близо 3000 подобни атаки на Layer 3 и 4 (волуметрични атаки на ниво IP адреси и услуга). За сравнение, следващите отрасли, към които са били насочени най-много атаки – онлайн залаганията, високите технологии и производството – са претърпели по около 1000-1500 събития. 

Една от основните причини за този сериозен ръст на DDoS атаките към финансовите компании е увеличаването на хакерската активност във връзка с геополитически конфликти с голям обществен интерес, като тези в Украйна и Ивицата Газа. Затова и не е изненада, че тази тенденция засяга в голяма степен европейските банки. 

Нападателите са допълнително улеснени, когато става дума за европейски финансови организации, тъй като директивата PSD2 изисква те да предлагат отворени API за услуги на трети страни. 

Иновативна хакерска кампания използва необичаен метод за кражба на входни данни за профили в Google – блокира потребителите в Kiosk mode на браузъра. 

Зловреден софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, блокирайки клавишите ESC и F11 на клавиатурата. Според OALABS целта е жертвата да бъде изнервена дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да го „отключи“. След като пълномощията са запазени, зловредният софтуер StealC ги краде от хранилището за пълномощия и ги изпраща към нападателя. 

Потребителите, които попаднат в подобна ситуация, трябва да:  

• избягват въвеждането на чувствителна информация; 
• опитат други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“, които могат да помогнат за извеждане на работния плот на преден план и за стартиране на мениджъра на задачите за затваряне на браузъра (End Task).

Ако всичко това не успее, винаги можете да извършите твърдо изключване, като задържите бутона за захранване.  При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер.  

Последен ъпдейт на 25 септември 2024 в 12:39 ч.

Училищатa и университетите са изправени пред нарастващи разходи, свързани с ransomware атаки, от една страна, а от друга – срещат все повече трудности да се възстановят след тях. 

Организациите от образователния сектор плащат най-високата средна стойност след подобни кампании – 6,6 млн. USD, като сумата е сравнима само с откупите, платени от федералното правителство на САЩ.  

Докладът State of Ransomware in Education 2024 на компанията за киберсигурност Sophos установява, че 44% от училищата в 14 държави от различни глобални региони, в това число и Европа, са се сблъскали с искане за откуп в размер на 5 млн. USD или повече. На 32% от висшите учебни заведения са им били искани между 1 и 5 млн. USD, а на 35% – над 5 млн. USD. 

Кампаниите срещу образователни институции са намалели през 2024 г. в сравнение с 2023, но остават повече спрямо 2022. 

В същото време 95% от атакуваните образователни институции са съобщили, че киберпрестъпниците са се опитали да компрометират и резервните копия на данните им, като при 71% тези опити са успешни. 

Въпреки че България не е след изследваните държави, училищата у нас не са застраховани по никакъв начин. За да се предпазят от ransomware атаки, те трябва да: 

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн; 
• сте сигурни, че резервните копия работят правилно, което изисква постоянни проверки; 
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани; 
• използват софтуери за киберсигурност; 
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация; 
• провеждат постоянно обучения по киберсигурност на служителите си. 

Хакерите все по-често използват легитимен софтуер за злонамерени цели, тъй като той им дава възможност да заобиколят мерките за сигурност, сливайки се с нормалния мрежов трафик. 

Според компанията за киберсигурност ReliaQuest тактиката CAMO (Commercial Applications for Malicious Operations) е била използвана в 60% от всички критични инциденти, свързани с атаки от типа Hands-On-Keyboard (когато нападателят извършва ръчно дейностите, а не използва скриптирани команди), от януари до август 2024 г. – ръст с 16% в сравнение с 2023. При нея най-често се използват основни ИТ инструменти като PDQ Deploy, софтуер за автоматично инсталиране на пачове, и решения за дистанционно наблюдение и управление като AnyDesk или ScreenConnect. 

За да се предпазят, организациите трябва да: 

• сегментират мрежата си чрез VLAN и DMZ; 
• изготвят „бели списъци“ на приложения чрез Windows Defender Application Control (WDAC) или AppLocker;
• контролират строго използването на инструменти за автоматично инсталиране на пачове и дистанционно наблюдение и управление;  
• включат осведомеността за CAMO в своите планове за реакция при инциденти, penetration тестове и оценки на риска.  

Севернокорейската хакерска група Lazarus примамва разработчици на Python да инсталират зловреден софтуер чрез оферти за работа, които изискват изпълнението на тест за кодиране на продукти за управление на пароли.  

Според доклад на ReversingLabs хакерите хостват зловредните проекти за кодиране в GitHub, където жертвите намират README файлове с инструкции как да изпълнят теста. Те имат за цел да дадат усещане за легитимност, както и чувство за спешност. 

От Lazarus обикновено се представят за големи компании, използвайки за контакт професионалната социална мрежа LinkedIn. Те оферират кандидатите да открият грешка в приложение за управление на пароли, да изпратят своето решение и да споделят скрийншот като доказателство за работата си – всичко това в рамките на общо 30 минути. README файлът на проекта инструктира жертвата да стартира приложението PasswordManager.py на своята система и след това да започне да търси грешки и да ги отстранява. Изпълнени, тези инструкции водят до изтеглянето на зловреден софтуер. 

За да се предпазят, разработчиците трябва: 

• да проверят самоличността на човека отсреща и независимо да потвърдят, че въпросната компания наема персонал; 
• сканират подадения код и да го изпълняват само в безопасна среда. 

Новооткрит зловреден софтуер се възползва от уязвимости в GLPI, система за управление на ИТ активи, и уебсайтове на WordPress, за да събира чувствителна информация от заразените устройства. 

Според компанията за киберсигурност QiAnXin DarkCracks е изключително усъвършенстван и може да остане скрит дори от най-напредналите инструменти за киберсигурност изключително дълго време. Освен че заразява устройствата, той ги използва като стартова площадка за разполагане на допълнителни зловредни компоненти и разпространение към други жертви.  

DarkCracks е проектиран за дългосрочна експлоатация и се адаптира към промените, оставайки оперативен, когато части от него са открити и премахнати. Зловредният софтуер може да функционира, дори ако основните му сървъри бъдат изведени от строя. 

За да се защитите от тази напреднала заплаха: 

• Актуализирайте редовно целия си софтуерен стак и системи, за да сте сигурни, че известните уязвимости са отстранени;  
• наблюдавайте мрежовия трафик за необичайна активност, включително неочаквани връзки към външни сървъри; 
• използвайте усъвършенстваните инструменти за откриване, способни да разпознават многопластовите техники за замаскиране на DarkCracks.