кибератаки

Университетът в Hertfordshire, Великобритания е съобщил за кибератака, която е спряла всичките му ИТ системи, включително Office 365, Teams и Zoom, локални мрежи, Wi-Fi, имейли, съхранение на данни и VPN. Всички онлайн часове са отменени за два дни, а системите все още се възстановяват.

В безпрецедентната ситуация, в която се намират учебните заведения в Европа, включително в България, е много важно те да използват легитимно антивирусно решение, които да обезпечи безопасността на мрежите им. Такъв продукт следва да е инсталиран и на домашните устройства, които някои преподаватели използват за изпълнение на служебните си задължения.

Последен ъпдейт на 14 април 2021 в 15:43 ч.

Кибератаките към критично важна инфраструктура стават все по-популярни през последните години. Организаторите им търсят слабости във функционирането на системите, за да проникнат и парализират ключови за обществото и бизнеса индустриални съоръжения.

Такава слабост, при това в световен мащаб, се очертават системите за индустриален контрол (ICS): изглежда че скорошното нападение от страна на Израел срещу съоръжение на Иран за обогатяване на уран е станало именно през тях.

Уязвимостта на ICS и други т. нар. „операционни технологии“, използвани в индустриални процеси и големи инфраструктурни инсталации (електрически мрежи, стоманени и химически производства, пречиствателни станции), беше демонстрирана преди повече от десетилетие с разкритието на атаката на злонамерения софтуер Stuxnet.

За разлика от „по-конвенционалните“ хакове с цел за кражба на данни, кибератаките срещу оперативни технологии причиняват и сериозни физически щети: прекъсване на електрозахранването, замърсяване на водата, пренапрежение и повреда на системи, дори експлозия.

Изследователите на PRODAFT (швейцарска компания за киберсигурност) твърдят, че са успели да проникнат в компютърната инфраструктура на хакерите, стоящи зад най-голямата кибератака до момента.

SilverFish (така е наречена групата) са управлявали сървъри в Русия и Украйна, някои от тях – споделени с известната руска престъпна хакерска група Evil Corp. Засечени са писмени коментари на руски жаргон и на английски език.

Изследователите са разкрили уеб панел, в който хакерите тестват дали злонамерената им дейност се маркира от антивирусните решения на жертвите.

Според PRODAFT, SilverFish са използвали и други методи за атака, освен уязвимостта в софтуера на SolarWinds. Кампанията на хакерите продължава и през 2021 г.

Като целеви регион на действие на групата се посочва САЩ и някои европейски страни (Италия, Холандия, Дания, Австрия, Франция и Великобритания).

На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

За целта е нужно:

• Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
• Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

Какви вреди може да причини една DDoS атака

DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

DDoS се прилага на различни нива:

• Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
• Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
• Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

Препоръки към администраторите

Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

• Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
• Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
• За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.

Компанията Verkada, която предоставя охранителни камери, базирани в облака, съобщи, че е претърпяла инцидент с киберсигурността. Резултатът: Хакери са проникнали във видео потока на множество бизнес клиенти, сред които Tesla и Cloudflare.

Атаката е реализирана, използвайки идентификационни данни на администратор, публично налични в интернет.

Твърди се, че са компрометирани емисиите от около 150 хил. охранителни камери на клиенти на Verkada. Компанията казва, че става дума за устройства, разположени в официално затворени офиси.

Мащабът и обхватът на проблема се разследват. Verkada е деактивирала всички вътрешни администраторски акаунти, за да блокира нарушението. На клиентите е предоставена гореща телефонна линия за помощ.

Въпреки взетите мерки за сигурност, електронният гигант Foxconn е пострадал от рансъмуер атака през уикенда след Деня на благодарността. Нападателите са откраднали файлове от мексиканското поделение на компанията, след което са криптирали устройствата. Поискали са откуп в биткойн, равняващ се на над 34 млн. USD.

Рансъмуер групата DoppelPaymer е потвърдила, че стои зад атаката и е публикувала бизнес документи и отчети Foxconn на сайта си.

Foxconn е най-голямата компания за електроника в световен мащаб. Произвежда фотокамери за Canon, конзоли за Sony (PlayStation 3 и PlayStation 4), Nintendo (Wii), Microsoft (Xbox 360), електронни книги за Amazon.com, цифрови телефони за Motorola, Xiaomi, OnePlus, продукти за Apple (iPhone, iPad, MacBook, iPod), Dell, HP, Cisco, дънни платки за Intel.

Към момента на публикуване на този материал уебсайтът на засегнатото поделение на Foxconn все още е недостъпен и показва грешка на посетителите.

Услугата на Drobox е използвана като хранилище за източване на чувствителна информация от жертвите на новооткрито зловредно приложение Crutch.

Делото на скандалната група Turla APT е разкрито от ESET в една от жертвите: Министерство на външните работи на страна-членка на ЕС.

Crutch заобикаля някои слоеве на сигурността, като злоупотребява с легитимна инфраструктура – в случая Dropbox – за да се слее с нормалния мрежов трафик, докато ексфилтрира откраднати документи и получава команди от своите оператори.

Предполага се, че зловредният софтуер се използва само срещу конкретни специфични цели, за кибершпионаж. Изследователите са открили прилики между моделът на действие на Crutch от 2016 г. и Gazer.

Засечени са опити за проникване в системите на AstraZeneca, един от тримата водещи разработчици на ваксина срещу COVID-19.

Злонамерените лица, за които се подозира, че са от Северна Корея, са се представили като специалисти по подбор на персонала. Те са установили контакт със служители от AstraZeneca през LinkedIn и WhatsApp. След това са им изпратили „длъжностни характеристики“, съдържащи злонамерен код, предназначен да получи достъп до компютърите им.

Атаката е насочена към широк кръг от служители на фармацевтичния производител, включително към персонал, работещ по ваксината срещу COVID-19, но няма данни да е постигнала успех. AstraZeneca е отказала да коментира.

Препоръки:

• Потребители, избягвайте да кликате върху линкове и да отваряте прикачени документи (.pdf, .doc, .txt), получени от непознати, които са се свързали с вас в социалните мрежи или по и-мейл, за да не позволите нежелан достъп до компютъра си
• Работодатели, провеждайте адекватни и регулярни обучения за персонала си, за да могат служителите ви да разпознават и да не се хващат на тези фишинг атаки, които по някакъв начин успеят да преминат през филтрите ви

За втора поредна година кибератаките и кражбата на данни са посочени като част от петте заплахи за човечеството, за които се очаква да се случват най-често. Това показват резултатите от годишния доклад Global Risks Report 2019 на Световния икономически форум в Давос.

По отношение на своя ефект върху обществото кибератаките се считат за по-опустошителни от инфекциозните заболявания и екологичните бедствия, предизвикани от човешка дейност. Веднага след кибератаките се нарежа и загубата на критична информационна инфраструктура, част от която също става цел на компютърни престъпници.

Заплахи, които струват милиарди

„Успешна кибератака срещу електроразпределителна мрежа – нещо, което попада във фокуса на СИФ – може да доведе до унищожителни ефекти. Енергийните компании са платили 1.7 млрд. долара само през 2017 г., за да предпазят системите си от кибератаки“, се казва в доклада.

През 2015 г. кибератака остави без електричество стотици хиляди жители на Украйна.

Топ 10 на най-големите заплахи се определя чрез анкета. Участниците в нея трябва да определят колко вероятно е дадено събитие да се случи през 2019 г., както и в каква степен то ще доведе до негативни последствия за обществото.

Кражбата на данни е на 4-то място в класацията на събитията, които ще се случват най-често през 2019 г. На пето място се нареждат кибератаките. Тези две събития бяха поставени съответно на 4-то и 3-то място в миналогодишната класация.

Растящи опасности

„Около две трети от респондентите очакват да се увеличат рисковете от фалшиви новини и кражба на идентичност. Около три пети от тях казват същото за загубата на неприкосновеност в лицето на компании и правителства. През 2018 г. се случиха редица пробиви на данни, бяха разкрити нови уязвимости, а изкуственият интелект има потенциала да създаде много по- опустошителни кибератаки“, се посочва в доклада.

За най-опасни за живота на планетата се посочват оръжията за масово поразяване. С най-голяма вероятност да се случват пък са екстремните климатични събития.

В САЩ и Канада киберпрестъпленията са считани за сериозна заплаха за вътрешната сигурност, показаха наскоро резултатите от проучването ESET Cybercrime Barometer. Около 90% от респондентите считат компютърните престъпления за заплаха за страната, в която живеят. В това отношение киберпрестъпността изпреварва редица други заплахи като тероризъм, трафик на оръжия, корупция и пране на пари.

Топ 10 на най-опустошителните заплахи за света през 2019

1.Оръжия за масово поразяване

2.Неспособност за овладяване на климатичните промени

3.Екстремни климатични събития

4.Недостиг на вода

5.Природни бедствия

6.Изчезващи видове и срив на екосистеми

7.Кибератаки

8.Загуба на критична информационна инфраструктура

9.Екокатастрофи, предизвикани от човешка дейност

10.Разпространение на инфекциозни заболявания

Източник: Global Risks Report 2019, Световен икономически форум

 

Последен ъпдейт на 20 декември 2018 в 16:32 ч.

Фишингът е водеща заплаха за бизнеса – около 77% от фирмите отчитат поне eдин опит за фишинг атака месечно по данни на компанията за информационна сигурност Sophos. Какво прави тази заплаха толкова ефективна?

Отговорът е: човешката природа. Фишингът съобщенията разчитат на манипулативни заглавия, които да привлекат вниманието на потребителя и да го накарат да последва зловредния линк. Но кои са заглавията, които „работят“ най-добре?

Статистиката на Sophos показва, че сензацията не работи, когато стане дума за фишинг. Най-ефективни са заглавията, свързани със скучни ежедневни задачи и засягащите ги услуги. Такъв пример е заглавието [JIRA] A task was assigned to you, което е изключително ефективно: над 38% от потребителите кликат върху заложения в съобщението линк.

Друг пример е Let’s meet next week, което е обичайно заглавие за предложение за бизнес среща.

Резултатите от проучването на Sophos показват, че макар компаниите да се въоръжават с нови инструменти за борба с киберзаплахите, тя все още не могат да се справят ефективно с фишинга. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от фирмата.

Ето и кои са десетте заглавия, които карат най-много потребители да станат жертва на фишинг.

 

Заглавие на фишинг съобщението	% от потребителите, които са кликнали
[JIRA] A task was assigned to you	38.50%
Let’s meet next week	29.10%
Harassment Awareness Training	26.01%
Car lights left on	24.61%
eFax message from (CustomerName) – 2 page(s)	23.55%
Traffic Citation for (EmailFirstName)(EmailLastName)	21.95%
In areas for driving on toll road	21.36%
Suspicious male spottedoutside (CustomerName) Building	20.44%
PLEASE READ – Annual Employee Survey	18.55%
New Email System at (CustomerName) – Please Read	18.48%
	Източник: Sophos

[box type=“success“ align=“alignleft“ class=““ width=“100%“]

Как да се предпазите от фишинг

• Обновявайте редовно антивирусния си софтуер;
• Научете служителите да разпознават фишинг атаки;
• Никога не предоставяйте лични данни(пароли, ЕГН, номер на лична карта и т.н.), които са ви поискани по имейл;
• Активирайте двустепенна автентикация там, където е възможно;

[/box]