кибератаки

DDoS (Distributed Denial of Service) атаките са се увеличили в световен мащаб със 102% през първата половина на тази година в сравнение със същия период на 2023 г.  

Според доклада DDoS Attacks Report на StormWall най-силно засегнат е правителственият сектор – ръст от 116% на годишна база, или 29% от общия брой на регистрираните инциденти от този вид. Това отчасти се дължи на големия брой държави, в които се проведоха избори. Ако се погледне само статистиката за Q2/2024, когато се проведоха въпросните изборни кампании, броят на DDoS атаките срещу сектора е скочил с внушителните 183% на годишна база. 

Следващите най-често атакувани индустрии са развлекателната и финансовата – съответно 16% и 14% от DDoS атаките за първите шест месеца на годината. StormWall отбелязва значително увеличение на подобни кампании по време на Евро 2024, като на 16 юни една от услугите за стрийминг на спортни предавания е била подложена на атака от 650 Gbp/s. 

От компанията за киберсигурност предупреждават също така, че ботнет мрежите стават все по-мощни – средният им размер се е увеличил от 5000 устройства през първата половина на 2023 г. до 20 000 през същия период на тази. 

 

Подкрепяните от Русия и Северна Корея хакери отдавна са сериозен проблем за киберсигурността на бизнеса и правителствените системи навсякъде по света. Това важи с още по-голяма сила за САЩ и Европа, а по всичко личи, че тази тенденция се задълбочава.  

Хакери на руското военно разузнаване атакуват ключови сектори на държави от НАТО

APT групи (Advanced Persistent Threats) към специализирано звено на Главното разузнавателно управление на руския Генерален щаб, използващи иновативни технологии като изкуствения интелект, се насочват към критични сектори на държави членки на НАТО и техни съюзници. Според федералните власти на САЩ и девет други западни служби в списъка с потенциални цели влизат организации от сферата на транспорта, енергетиката, здравеопазването, правителствените и финансовите услуги и т.н.  

В рамките на разследването са документирани повече от 14 000 случая на сканиране на домейни в поне 26 държави членки на НАТО и още няколко от ЕС. Нападателите са компрометирали уебсайтовете на жертвите, сканирали са инфраструктурата им и са ексфилтрирали данни. 

Свързаните с Москва групи са използвали известни уязвимости, като сред наблюдаваните активни експлойти са такива срещу продуктите на Atlassian Confluence Server и Data Center, IP камери на Dahua и Sophos Firewall.  

Пхенян подготвя вълна от кибератаки срещу организации за криптовалути 

В същото време севернокорейски групи подготвят вълна от кибератаки срещу „организации с достъп до големи количества активи или продукти, свързани с криптовалута“. От ФБР предупреждават, че се очаква кампанията да бъде базирана на особено опасни тактики за социално инженерство, включително силно персонализиране, което ще я направи изключително убедителна. 

През последните няколко месеца федералното бюро е засякло различни спонсорирани от Пхенян групи, проучващи цели, свързани с борсово търгувани криптофондове (ETF).  

Предстоящите атаки могат да включват както кражба на криптовалути, така и внедряване на зловреден софтуер. От ООН изчисляват, че досега при подобни кампании севернокорейските хакери са откраднали около 3 млрд. долара в криптовалути, но сегашната вълна от кибератаки може да се окаже още по-трудна за откриване от предишните. 

В нейните рамки се очаква хакерите да се представят за специалисти по набиране на персонал и да се насочат към служители от различни сектори. Те дори може да кандидатстват за работа в различни западни организации и ако бъдат наети, да извършват злонамерена дейност отвътре. 

Обикновено подобни атаки започват с фалшиви предложения за работа или с файлове, съдържащи „троянски кон“, маскирани като PDF, Virtual Network Computing (VNC) клиенти или софтуер за отдалечени конференции. Тези злонамерени файлове често се изпращат под прикритието на предложения за наемане на работа, оферти за специалисти на свободна практика или дори идеи за инвестиции.  

„Компаниите, особено в криптосектора, трябва да бъдат предпазливи по отношение на служителите, които се занимават с лични дейности като търсене на работа на устройства с достъп до фирмена информация, тъй като нападателите се насочват предимно към идентификационните данни за вход и криптопортфейлите. Освен това организациите трябва внимателно да проверяват потенциалните инвестиционни партньори, за да се уверят в тяхната автентичност“, съветва Анди Гарт, директор по правителствените въпроси в ESET. 

Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

• проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
• задайте правило .htaccess, за да се забрани директният достъп до log файла. 

ЗЛовредно приложение за Android комбинира класически тактики с неизползван до момента метод за атака: експлоатация на NFC четеца на телефона за клониране и кражба на физически дебитни и кредитни карти. Откритието е на анализаторите от ESET. 

Кампанията протича така: 

• фишинг имейл, в който се твърди, че устройството е компрометирано, подлъгва жертвата да изтегли зловредното приложение NGate;  
• след като то бъде инсталирано, показва фалшив уебсайт, изискващ въвеждане на информация като дата на раждане, ПИН код и др. (класическият фишинг елемент от атаката);  
• жертвите се подканват да включат NFC на своите устройства и да поставят физическа дебитна или кредитна карта на гърба на смартфона, за да бъде регистрирана в профила на потребителя; 
• чрез NFC четеца на телефона, NGate клонира картата; 
• откраднатите данни се използват създаване на други реплики на открадната карта, след което тя може да бъде източена чрез теглене на банкомат или плащане на POS терминали.  

Българските потребители също често са обект на подобни кампании. Така че бъдете много предпазливи при онлайн комуникация с финансови институции – проверявайте URL адресите на уебсайтовете, никога не давайте ПИН кодовете си и изключвайте функцията NFC, когато не ви е необходима.  

Pig Butchering – практика на използване на онлайн самоличности за изграждане на доверие у жертвите, преди да им бъдат поискани големи суми пари – е най-разпространеният тип измама, генериращ приходи за киберпрестъпниците, от началото на 2024. 

В същото време, през последните четири години циклите на онлайн измамите са станали значително по-кратки и по-ефективни.  

Това са основните констатации в доклада на Chainalysis за киберпрестъпността през първата половина на 2024.  

Списъкът със заключения включва още: 

• 43% от приходите от измами в блокчейн са свързани с портфейли, станали активни едва през последната година (предишният връх е 29%); 
• онлайн и базираната на блокчейн инфраструктура, използвана за измами, се актуализира по-бързо от всякога; 
• киберпрестъпниците все повече предпочитат по-малки, по-прости, по-бързи и по-целенасочени кампании, които могат да донесат по-високи приходи в дългосрочен план. 

Критична уязвимост в сигурността на Microsoft 365 Copilot е позволявала кражба на чувствителна потребителска информация чрез сложна верига от експлойти.  

Открита от изследователя в сферата на киберсигуростта Йохан Рехбергер, тя комбинира: 

• въвеждане на команда към Copilot чрез злонамерен имейл или споделен документ;
• автоматично активиране на инструмент за достъп до данните на таргетираната система; 
• ASCII Smuggler за скриване на ексфилтрираната информация; 
• предаване на хипервръзки към контролирани от атакуващия домейни. 

Най-иновативният аспект в случая е ASCII Smuggler. Той използва специални Unicode символи, които са невидими в потребителския интерфейс. По този начин атакуващият може да вгради откраднатите данни в привидно безобидни хипервръзки, а когато потребителят щракне върху тях, скритата информация се изпраща до сървъра на нападателя.  

Уязвимостта вече е отстранена от Microsoft, макар че от компанията не разкриват подробности по темата. 

По-голямата част от ransomware атаките се извършват между 1 и 5 ч. сутринта, когато е най-вероятно екипите за киберсигурност да бъдат изненадани, според доклада „ThreatDown 2024 State of Ransomware” на компанията за киберсигурност Malwarebytes. 

Други основни заключения в него показват, че: 

• хакерите все по-често използват техники, при които разчитат на вградени инструменти за системно администриране, за да затруднят откриването и предотвратяването на атаките от екипи без Security Operations Center (SOC);
• целият процес на ransomware атаката – от първоначалния достъп до криптирането на данните – се съкращава от седмици до часове. 

Най-засегнатите сектори са услугите и производството, като във втория броят на ransomware атаките се е увеличил със 71% на годишна база. ИТ услугите, строителството, технологиите, логистиката, търговията на дребно, здравеопазването, образованието и търговията на едро допълват топ 10 на най-често атакуваните индустрии. 

Друга лоша новина е, че атаките, извършени от групи извън най-известните 15, също се увеличават – от 25% на 31%. Това подчертава, че те стават достъпни за по-широк кръг киберпрестъпници. 

За да защитите критичните си данни, вашите системи трябва да бъдат наблюдавани 24/7/365. 

Над 445 хил. DDoS атаки или с 45% повече спярмо миналата година са засечени през първото полугодие на 2024 г. по данни на Gcore Radar Report.

Най-мощната атака през изследвания период е достигнала 1,7 Tbps, докато през 2023 г. тя е била 1,6 Tbps. За контекст, дори атака от 300 Gbps може да спре достъпа до незащитен сървър.

Повечето от тях са били кратки – под 10 минути, но най-дългата е продължила цели 16 часа.

Компаниите за онлайн залагания са най-честите цели на DDoS атаки с 49% от общия брой на инцидентите, но най-голям ръст е регистриран в технологичния сектор – удвояване до 15%. Това обаче далеч не означава, че останалите индустрии не са заплашени от DDoS атаки. Напротив – независимо от големината, региона и сферата, в която оперира една компания, тя може да стане жертва на атака за отказ на услуга.

Затова ви съветваме да:

• внедрите услуги за защита от DDoS;
• използвате Web Application Firewall (WAF);
• ограничите броя на едновременните заявки към сървърите си;
• разработите план за реакция при инциденти.

Австралийското правителство включи използването на рансъмуер в списъка на криминалните престъпления. Специално наказателно преследване грози хора,  които атакуват критична инфраструктура с криптовируси.

Това е част от националния план за действие при рансъмуер атака, който не одобрява плащането на откуп на киберпрестъпници, с цел да се прекъсне порочен бизнес модел.

Планът въвежда нов задължителен режим за докладване на инциденти с рансъмуер, който ще изисква организации с оборот над 10 млн. AU$ годишно да уведомяват официално правителството, ако претърпят кибератака.

Критичната инфраструктура, която не може да си позволи прекъсвания на работата, е все по-често срещана цел на киберпрестъпници. В края на ноември 2021 г. инцидент с откуп се случи в държавна компания за производство на електроенергия в Куинсланд.

McDonald’s е поредната мултинационална компания – жертва на кибератака. Пробивът е довел до излагане на лична информация на клиенти и служители в Южна Корея и Тайван. Компанията твърди, че сред изтеклите данни няма чувствителна информация или детайли за плащания.

McDonald’s разследва случая и възнамерява да използва резултатите, за да подобри мерките си за сигурност.

По-рано през м. юни 2021 г. компанията за бързо хранене пострада индиректно от друга кибератака – рансъмуер спря работата на основният й доставчик на месо в САЩ.