кибератаки

Хакерите все по-често използват облачни платформи като Amazon Web Services (AWS) и Microsoft Azure, за да организират мащабни кибератаки.

Тези платформи, които приемат критична инфраструктура за бизнеси от цял свят, се компрометират чрез различни сложни методи.

Те включват:

• Infrastructure laundering: При него атакуващите използват откраднати или измамни акаунти, за да наемат IP адреси от AWS и Azure. Това дава възможност за провеждане на фишинг кампании, инвестиционни измами и операции по пране на пари.
• Кражба на API ключове: След като хакерите успеят да откраднат легитимни API ключове, те се изпозлват за заобикаляне на контрола за сигурност на организациите и генериране на вредно съдържание чрез официални услуги.
• Неправилни конфигурации на облака: Неправилно конфигурираните ресурси в облака продължават да бъдат значителна уязвимост. Нападателите използват публично достъпни бази данни или слаби политики за сигурност, за да получат достъп до чувствителна информация.
• Advanced Exploitation Techniques: Използвайки командата RunShellScript на Azure или публичните AMI (Amazon Machine Images) на AWS, нападателите получават отдалечен достъп до виртуални машини и извличат чувствителни метаданни или пълномощни.

За да се противопоставят на тези заплахи, организациите трябва да приемат надеждни мерки за сигурност в облака. Това включва:

• внедряване на усъвършенствани инструменти за наблюдение като GuardDuty за AWS или Microsoft Defender за Azure за откриване на подозрителни дейности в реално време;
• засилване на сигурността на API чрез редовна ротация на ключовете и ограничаване на използването им въз основа на IP или времеви периоди;
• редовни одити на конфигурацията на облачните ресурси за откриване на грешки и уязвимости;
• прилагане на Zero trust архитектура с MFA и политики за достъп с най-малки привилегии за допълнителна защита на средата.

Новооткрита уязвимост в браузъра Brave позволява на злонамерени уебсайтове да заблуждават потребителите, че си взаимодействат с надеждни източници. Тя засяга версиите за настолни компютри от 1.70.x до 1.73.x.

Проблемът се крие във функция, предназначена да повиши безопасността на потребителите. Тя осигурява визуален сигнал, потвърждаващ легитимността на сайта, при сваляне на файлове. При определени сценарии обаче тази важна информация не се извежда правилно.

Последиците от тази уязвимост могат да бъдат драстични. Потребителите могат да бъдат подмамени несъзнателно да изтеглят зловреден софтуер, да споделят чувствителна информация с киберизмамници или да станат жертва на сложни фишинг атаки.

За да се предпазите, актуализирайте Brave Desktop Browser до версия 1.74.48 или по-нова.

Последен ъпдейт на 23 февруари 2025 в 16:26 ч.

Amazon е най-големият онлайн търговец на дребно в света с повече от 310 милиона активни потребител. Много българи също използват неговите услуги.

Очаквано, киберпрестъпниците не пропускат да се възползват от съкровищницата от лични и финансови данни, която представляват акаунтите в платформата. Ако бъдат компрометирани, те могат да бъдат използвани за кражба на идентичности и измами. Това превръща Amazon в любима цел за тях. А за потребителите един пробив може да доведе до сериозни финансови загуби и правни проблеми.

Затова трябва да сте наясно с признаците, които могат да ви подскажат, че профилът ви е бил хакнат.

Ето четири от тях:

Признак 1: Не можете да влезете

Най-очевидният признак е да откриете, че не можете да влезете в акаунта си, дори когато сте сигурни, че използвате правилните имейл адрес и парола.

Възможно е компанията да го е спряла заради необичайна дейност от ваша страна. Но в повечето случаи това е сигнал, че той е бил хакнат и са променени данните ви за вход.

Признак 2: Данните ви са променени

Може да забележите, че данните на профила ви са променени – адрес, имейл или информация за контакт. Хакерите понякога предпочитат вместо директно да откраднат профила, да го превземат и да останат скрити. Съществува и възможност да сте влезли точно в момента, в който те са работили по компрометирането му, и да сте прекъснали процеса.

Признак 3: Странна активност при покупки

Ако получите пакет, който не сте поръчвали, това може да е знак, че информацията ви е използвана за създаване на фалшив акаунт.

Възможно е също така да забележите покупки, които не сте направили, в историята на поръчките си. Ясен сигнал е и наличието на непознати продукти в историята на сърфирането ви.

Признак 4: Появяват се отзиви от ваше име

Една от най-честите причини хакерите да компрометират акаунт в Amazon е да правят фалшиви рецензии. Съмнителните продавачи в платформата често го правят, за да подават петзвездни ревюта за собствените си продукти или лоши за своите конкуренти.

Стъпки за ограничаване на щетите

Ако смятате, че акаунтът ви в Amazon е бил хакнат, има няколко стъпки за ограничаване на щетите и възстановяване.

Стъпка 1: Променете паролата си

Не е лоша идея да сменяте редовно паролата си, независимо дали смятате, че акаунтът ви е бил хакнат, или не. Ако пробивът е факт обаче, това със сигурност трябва да е първата ви стъпка.

Уверете се, че сте избрали трудна за отгатване комбинация. Тя трябва да включва главни и малки букви, цифри и символи. Освен това трябва да сте сигурни, че дори не наподобява парола, която използвате другаде. Също така е задължително да активирате 2FA. За целта отидете в Your Account и секцията Login & security.

Стъпка 2: Проверете данните за профила

Проверете имейл адреса и телефонния номер, свързани с вашия акаунт, и се уверете, че са верни и актуални.

Изтрийте всички изтекли, закрити или ненужни финансови сметки от раздела за плащания.

Стъпка 3: Проверете за подозрителни трансакции

Прегледайте историята на поръчките си и незабавно докладвайте на Amazon за всички подозрителни трансакции, които откриете. Можете да направите това чрез основния уебсайт за обслужване на клиенти или чрез опцията Report a Scam.

Стъпка 4: Излезте от профила си в Amazon на всички устройства

Можете да излезете от акаунта си в Amazon, като изберете Sign Out в падащото меню Account & Lists. Промяната на паролата трябва автоматично да ви подкани да излезете едновременно на всички устройства, които сте използвали. Направете го.

Стъпка 5: Стартирайте антивирусно сканиране

Възможно е хакерите да са получили достъп до вашето устройство, като са инсталирали зловреден софтуер. Уверете се, че имате актуален антивирусен пакет и го стартирайте, за да откриете и изтриете всичко съмнително.

Възстановяване на профила и защита

Ако не можете да влезете в профила си, защото хакер го е блокирал или е променил паролата ви, посетете центъра за помощ на Amazon. Въведете имейл адреса или номера на мобилния телефон, свързан с вашия акаунт.

След това ще получите еднократна парола, която да въведете. Това ще ви позволи да създадете нова и да възстановите достъпа до профила си.

Ако по някаква причина това не сработи, можете да се свържете директно с Amazon. Посетете секцията за обслужване на клиенти. Възможно е да бъдете помолени да потвърдите самоличността си чрез сканиран или сниман официален документ за самоличност.

Независимо дали акаунтът ви в Amazon е бил компрометиран или не, той трябва да е максимално защитен. Това включва:

• силна, уникална парола и 2FA;
• добавяне на вторичен канал за комуникация като номер на мобилен телефон;
• мониторинг на опитите за влизане чрез опцията Secure Your Account в настройките за сигурност.

Междувременно, за да сте сигурни, че измамниците няма да компрометират профила ви:

• никога не отговаряйте на подозрителни имейли, обаждания и съобщения от непознати податели;
• не въвеждайте лична и финансова информация в изскачащи прозорци;
• информирайте се постоянно за променящите се заплахи в интернет;
• следвайте добрите практики за цифрова хигиена и киберсигурност.

Киберпрестъпниците все по-често използват уязвимостите на правителствени уебсайтове, за да провеждат фишинг кампании. Злоупотребата с домейни от първо ниво .gov в множество държави е нарасналa сериозно между ноември 2022 до ноември 2024.

Според ново изследване на Cofense Intelligence правителствени домейни са участвали във фишинг кампании в над 20 държави. Седемте водещи в класацията страни са отговорни за 75% от злоупотребите. Бразилия е начело в списъка, следвана от Колумбия и САЩ.

За да се предпазят от подобни заплахи:

• правителствените агенции трябва да въведат по-строги мерки за киберсигурност;
• организациите трябва редовно да актуализират и поправят софтуерните уязвимости в своите системи;
• бизнесите и потребителите трябва да повишат осведомеността си и да наблегнат на обучението си, за да помогнат за намаляване на рисковете, свързани с фишинг атаки.

Не на последно място, всеки трябва да е изключително внимателен при получаване на неочаквани имейли по чувствителни теми. Дори те да идват от на пръв поглед официални податели от държавната администрация.

Повече от половината (58%) от организациите, засегнати от ransomware през 2024 г., са били принудени да прекратят дейността си, за да се възстановят.

Това показва новото издание на Global Cost of Ransomware Study на Ponemon Institute. През 2021 г., откогато датира предходното изследване на организацията, този процент е бил 45.

Делът на респондентите, които съобщават за значителна загуба на приходи в резултат на атака с ransomware, почти се е удвоил за три години – от 22% на 40%. Ръст има и при репутацинните щети – 35% от организациите са претърпели такива през 2024 при 21% през 2021.

Докладът установява също така, че 51% от жертвите са платили искания откуп. Плащането обаче обикновено не е предотвратявало негативните последици. Едва 13% от анкетираните твърдят, че всички засегнати данни са били възстановени

Фишингът е най-разпространеният начин за разпространение на ransomware – 45% от случаите. Останалите подходи включват компрометиране на протокол за отдалечен работен плот (32%) и използване на софтуерни уязвимости (19%).

За да намалите риска вашият бизнес да стане жертва на подобен тип атака:

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• проверявайте регулярно резервните копия, за да сте сигурни, че работят правилно;
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използвайте инструменти за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждайте постоянно обучения по киберсигурност на служителите си.

Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

• Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
• Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
• Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
• Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

Защо трябва да ви е грижа

Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

Различните сценарии включват:

• Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
• Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
• Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
• Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

Защита срещу Cryptojacking

Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

• Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
• Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
• Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

Нова фишинг кампания таргетира българските потребители във Facebook. Тя използва новини за смъртта на известни личности – български и световни, придружени със снимка, на която е изписано R.I.P. Към снимката е приложен и линк – https://shortul.at.

Ако потребителят последва линка, за да прочете „новината“, нападателите превземат акаунта му. Новата фишинг кампания засяга всевъзможни тематични групи, като обикновено постовете се публикуват от профили с азиатски имена.

Това е поредната подобна измама, насочена към кражба на Facebook акаунти и със сигурност няма да е последната. Съветваме ви, когато срещнете подобна ексклузивна новина, да не следвате линкове в социалните мрежи. Потърсете информация по темата в реномирани медии.

 

 

Нашумeлият в последните дни китайски AI разработчик DeepSeek спря регистрациите в чат платформата си DeepSeek-V3. Причината – продължаваща „мащабна“ кибератака, насочена към нейните услуги.

DeepSeek е сравнително нова платформа за изкуствен интелект. Тя обаче бързо привлече вниманието заради разработването и пускането на усъвършенстван модел със значително по-ниски разходи. Тази новина разтърси из основи фондовия пазар в САЩ.

Точно когато приложението DeepSeek AI Assistant изпревари ChatGPT като най-изтегляното в Apple App Store, компанията е принудена да изключи новите регистрации. Твърди се, че това се дължи на DDoS атака срещу нейния API и самия AI чатбот.

Това не е изненада за професионалната общност. В понеделник доставчикът на киберсигурност KELA обяви, че е успял да пробие модела и да произведе злонамерени резултати. Пробивът включва широк спектър от сценарии – разработване на ransomware софтуер, изработване на чувствително съдържание и подробни инструкции за създаване на токсини и взривни устройства.

Втори ден Единната информационна деловодна система и сайтът на Върховния административен съд (ВАС) са недостъпни след кибератака.

Атакуваната платформа съдържа информация по делата, водени от административните съдилища в страната. В момента тя не може да бъде използвана нито от служителите, нито от заинтересованите страни.

Пред BTV експертът по киберсигурност Любомир Тулев предупреди, че ако става дума за ransomware атака, последиците могат да бъдат много сериозни. Това би означавало, че нападателите са имали достъп до системата и могат както да извличат информация, така и да трият.

По думите му има голяма вероятност атаката да е извършена чрез фишинг имейли, които служители са отворили на служебните си компютри.

Този случай е поредното предупреждение за организациите какво може да им коства липсата на ясна стратегия за киберсигурност.

За да се защитят бизнесите, трябва да:

• провеждат редовни обучения на служителите си за разпознаване на фишинг атаки;
• защитят всички свои компютри и устройства с актуализиран антивирусен софтуер, който включва антифишинг функции;
• активират 2FA (MFA) за всички важни акаунти и системи;
• включат филтрите за спам и фишинг в имейл системата си;
• разработят и внедрят политика за сигурност, която включва процедури за справяне с фишинг атаки и други киберзаплахи.

Служителите, от своя страна, трябва да:

• проверяват внимателно името и имейл адреса на подателя и ако не са сигурни, никога да не кликат върху линкове или прикачени файлове;
• преди да въвеждат лична информация да проверяват дали уебсайтът е защитен (търсете „https://“ и иконка на катинар в адресната лента);
• не споделят никога лични данни като пароли или информация за кредитни карти чрез имейл или съмнителни уебсайтове;
• бъдат внимателни при получаване на съобщения, които изискват спешни действия, тъй като фишинг атаките често разчитат на това.

Ако получите съобщение, което изисква незабавни действия, проверете го внимателно. Дори то да идва от на пръв поглед доверен източник.

Пробивите през SaaS платформи са се увеличили с 300% през 12-те месеца от септември 2023. Те са мотивирани основно от финансова печалба, шпионаж и прекъсване на дейността на таргетираната компания.

Според констатациите на Obsidian Security APT групите все по-често се фокусират върху SaaS приложенията, за да крадат чувствителни данни. Причината – бизнесите все повече разчитат на тях за критични операции.

Лошата новина е, че подобни атаки се оказват успешни дори срещу организации със стабилни мерки за сигурност. Все по-широкото използване на SaaS от предприятията означава, че съхранението на данни се премества от крайната точка към приложенията. Това прави акаунтите в SaaS платформите решаващи за защитата на тази информация.

Интегрираният характер на този вид софтуери означава, че една компрометирана идентичност позволява на нападателите лесно да проникнат в множество приложения.

Пробивите в SaaS обикновено започват именно чрез компрометирана идентичност (85%). Другите типове атаки включват:

• Adversary-in-the-middle – AiTM (39%);
• Self-service password reset – SSPR (24%);
• Brute-force атака (14%);
• Push fatigue (MFA fatigue) (13%).

В 84% от инцидентите, анализирани в доклада, MFA не е успяла да спре нападателите.

За да се защитите, трябва да:

• имате цялостен поглед върху всички използвани SaaS приложения и услуги, за да се идентифицират и управляват потенциални уязвимости;
• прилагате контрол на достъпа, базиран на най-малки привилегии. Това ще намали възможността на нападателите да се придвижват в други приложения, след като са получили първоначален достъп;
• създадете система за постоянно наблюдение на SaaS средите, за да се идентифицират бързо уязвимостите и заплахите и да се реагира на тях.