кибератаки

През 2024 г. процентът на кликванията на корпоративни потребители върху фишинг линкове почти се е утроил, според ново проучване на Netskope.

Освен това повече от 8 от всеки 1000 служители са кликвали върху фишинг връзка всеки месец през 2024 – 190% повече в сравнение с 2023 г.

Този ръст, от една страна, се дължи на когнитивна умора, тъй като потребителите са бомбардирани от все повече фишинг имейли. От друга – нападателите стават все по-креативни и организират все по-трудни за откриване атаки.

Най-много фишинг кампании през миналата година, ако се съди от броя на кликванията, са били насочени към облачните приложения (27%). Целта им обикновено е била да се компрометират акаунти и след това да се продаде достъпът на незаконни пазари. Най-голям процент от тях – 42% – са таргетирали облачните услуги на Microsoft.

На второ място се нареждат банковите приложения (17%), а на трето – телекомуникационните доставчици (13%).

От гледна точка на местата, които примамват най-често потребителите да последват фишинг връзка, се откроява една нова тенденция. Имейлите са изпреварени от интернет търсачките (19% от кликовете). В тях нападателите пускат злонамерени реклами или използват т.нар. SEO poisoning техники. Те извеждат зловредните страници на първите места в резултатите от търсенето.

Сред другите основни източници на фишинг връзки са сайтовете за онлайн пазаруване (10%), технологии (8,8%), бизнес (7,4%) и развлечения (5,7%).

За да се предпазите от тази нарастваща заплаха, произтичаща от онлайн поведението на вашите служители, трябва да:

• провеждате редовни сесии за обучение за най-новите тактики за фишинг и разпознаване на подозрителни имейли, връзки и прикачени файлове;
• организирате симулирани фишинг атаки, за да тествате информираността и реакцията на хората си;
• използвате интерактивни модули и платформи за онлайн обучение, за да направите процеса по-увлекателен, достъпен и запомнящ се;
• насърчавате участието в него, като награждавате служителите, които успешно идентифицират опити за фишинг;
• създадете лесни и ясни процедури за докладване на предполагаеми опити за фишинг.

Плъгин за WordPress, наречена PhishWP, се използва от киберпрестъпници за създаване на фалшиви страници за плащания. Те имитират легитимни услуги като Stripe, което позволява кражба на чувствителни финансови и лични данни.

Зловредният плъгин е забелязан от SlashNext в руски форум за киберпрестъпност. Той позволява на нападателите да генерират убедителни интерфейси за плащане. По този начин те могат да крадат данни за кредитни карти, адреси за фактуриране и дори еднократни пароли от жертвите. След като информацията бъде въведена, PhishWP предава откраднатите данни директно на нападателите чрез Telegram, често в реално време.

Киберпрестъпниците внедряват PhishWP или чрез компрометиране на съществуващи WordPress сайтове, или чрез създаване на фалшиви такива. Дизайнът на плъгина възпроизвежда точно легитимни страници за плащане, което затруднява потребителите да открият измамата.

В случаите, когато има активиран 3DS код, плъгинът включва и изскачащ прозорец за попълването му. По този начин той също се изпраща към нападателят, заедно с данни като IP адрес, информация за браузъра и т.н.

Не на последно място, плъгинът включва и функционалност, която изпраща на жертвата имейл за потвърждение с данните за нейната поръчка. Тази функционалност превръща PhishWP в изключително успешен инструмент за кражба на информация.

За да се предпазите от заплахи като PhishWP, използвайте усъвършенствани софтуери за защита от фишинг, базирани на браузъра. Те откриват заплахи в реално време, като блокират злонамерени URL адреси във всички основни платформи. Освен това идентифицират опитите за фишинг преди да бъдат компрометирани чувствителни данни.

Миналата година киберизмамниците са откраднали криптовалута на стойност 494 млн. USD при wallet drainer атаки. Te са били насочени към над 300 000 криптопортфейла.

Това представлява увеличение с 67% спрямо данните за 2023 г., въпреки че броят на жертвите е нараснал само с 3,7%. Тази статисткика показва, че потърпевшите са загубили по-значителни суми средно.

Данните идват от платформата за борба с измамите в Web 3 Scam Sniffer. Тя съобщава за вълни от wallet drainer атаки, които са засягали до 100 000 души едновременно. Този вид кампании използват фишинг инструменти, специално създадени за кражба на криптовалута или други цифрови активи от портфейлите на потребителите. Те често се разполагат на фалшиви или компрометирани уебсайтове.

През 2024 г. Scam Sniffer отчита 30 мащабни (над 1 млн. долара) кражби, извършени с помощта на подобни инструменти. При най-големия единичен обир е осребрена криптовалута на стойност 55,4 млн. долара.

Що се отнася до тенденциите, наблюдавани през 2024 г., платформата подчертава използването на фалшиви CAPTCHA и Cloudflare страници за избягване на откриването.

Повечето кражби разчитат на подписа „Permit“ (56,7%) или „setOwner“ (31,9%) за източване на средствата. Първият дава одобрение за изразходване на токени съгласно стандарта EIP-2612, докато вторият актуализира собствеността или административните права на интелигентния договор.

Друга забележителна тенденция е увеличеното използване на реклами в Google и Twitter като източник на трафик към фишинг уебсайтовете. Нападателите използват компрометирани акаунти, ботове и фалшиви токени за постигане на целта си.

За да се предпазите от подобни атаки:

• взаимодействате само с надеждни и проверени уебсайтове;
• проверявайте URL адресите, от които получавате имейли;
• четете съобщенията за одобрение на трансакциите и исканията за разрешение, преди да ги подпишете.

Много портфейли предлагат и вградени предупреждения за фишинг или злонамерени трансакции, така че не забравяйте да ги активирате.

Човек трябва да се учи от грешките си, а не да ги повтаря. Това важи с пълна сила и за бизнесите. Затова и големите инциденти на полето на киберсигурността не трябва да се забравят.

В първите дни на 2025 ще обърнем поглед назад, за да си припомним някои от знаковите кибератаки и сривове от предходните 12 месеца.

Пробивът на Internet Archive

На 9 октомври Internet Archive беше засегнат от две различни атаки едновременно. При първата бяха откраднати данните на 33 милиона потребители на сайта. В същото време DDoS атака извади от строя платформата за дни.

Въпреки че и двете бяха извършени в един и същ период, те бяха дело на различни групи.

Лоши актуализации на CrowdStrike сринаха 8,5 милиона устройства с Wndows

На 19 юли 2024 г. рано сутринта на компютрите с Windows беше разпространена дефектна актуализация на CrowdStrike Falcon. Това доведе до срив на драйвера на ядрото на софтуера за киберсигурност в операционната система.

Тази грешка предизвика значителни глобални смущения, засягайки приблизително 8,5 милиона устройства.

Дефектната актуализация предизвика поредица от сривове на системите, включително безкрайни цикли на рестартиране. Те засегнаха както устройствата с Windows, така и тези с Windows 365 Cloud. Смущенията спряха работата на финансови компании, авиопревозвачи, болници и др. по целия свят.

Нещата се влошиха още повече, когато в играта се включиха киберпрестъпниците. Те започнаха да разпространяваха фалшиви инструменти за ремонт на CrowdStrike и ръководства, които прокарваха зловреден софтуер, включително новия infostealer Daolpu.

Кражбата на данни от SnowFlake

През май хакери започнаха да продават критична информация, за която твърдяха, че е открадната от клиенти на Snowflake. Разследването установи, че нападателите не са пробили защитите на облачната платформа, а са използвали компрометирани идентификационни данни, за да влязат в акаунтите на клиентите ѝ.

През юли AT&T разкри, че по време на инцидента са били изложени на риск регистрите на обажданията на 109 млн. нейни клиенти.

TicketMaster също беше засегната, след като бяха откраднати данните на 560 милиона души.

Твърди се, че в рамките на тези атаки хакерите са измъкнали 2,5 млн. долара от засегнатите компании.

Атаката с ransomware срещу UnitedHealth

През февруари дъщерното дружество на UnitedHealth – Change Healthcare – претърпя масирана ransomware атака. Тя предизвика огромни смущения в здравната индустрия на САЩ.

Атаката беше свързана с BlackCat. Групата е използвала откраднати пълномощия, за да пробие услугата за отдалечен достъп Citrix на компанията. Причината – тя не е имала активирана MFA.

Хакерите откраднаха 6 TB данни и криптираха компютрите в мрежата. Това принуди компанията да изключи IT системите си, за да предотврати разпространението на атаката.

UnitedHealth Group призна, че е платила искания откуп в размер на 22 млн. долара. През октомври компанията потвърди, че личните и здравните данни на повече от 100 милиона души са били откраднати. Това е най-големият пробив в здравната индустрия през последните години.

Атаките срещу телеком мрежата в САЩ

Китайската APT група Salt Typhoon атакува множество телекомуникационни компании в световен мащаб. Кампанията ѝ компрометира най-малко девет големи доставчици на телекомуникационни услуги в САЩ, включително AT&T, Verizon и T-Mobile.

Целта на атаките беше кражбата на текстови съобщения, информация за телефонни обаждания и гласова поща от конкретни високопоставени лица. Хакерите успяха да компрометират платформите за подслушване, използвани от правителството на САЩ, което породи сериозни опасения за националната сигурност на страната.

В отговор на атаката, Вашингтон планира да забрани операциите на China Telecom в САЩ.

Пробивът на корпоративната електронна поща на Microsoft от хакери, свързани с Кремъл

През януари Microsoft разкри, че спонсорирани от руската държава хакери са проникнали в корпоративните ѝ имейл сървъри. При пробива бяха откраднат имейли от ръководството, екипите по киберсигурност и правния отдел. Някои от тях са съдържали информация за самата хакерска група, което е позволило на нападателите да научат какво знае Microsoft за тях.

През март 2024 г. Midnight Blizzard отново успяха да проникнат в системите на технологичния гигант. През април CISA потвърди, че при атаката са били откраднати имейли между федерални агенции на САЩ и Microsoft. Те са съдържали информация, която е позволила на хакерите да получат достъп до критични системи на някои нейни клиенти.

Последен ъпдейт на 18 януари 2025 в 09:20 ч.

2024 г. ни демонстрира от всичко по много по отношение на киберрисковете. Различни типове атаки, експлойти и, разбира се, множество уязвимости поставиха на изпитание всички индустрии. За поредна година хакерите показаха, че не са се отказали от целта си да стават все по-изобретателни.

Експертите са категорични, че тази притеснителна тенденция ще се запази и през 2025. Ето кои са 10-те киберзаплахи, които ще продължат да се развиват и през тази година.

Zero day eксплойти

Пробивите от типа Zero day и увеличаването на техния обем са особено тревожна тенденция. За тях по условие няма пачове. Освен че организациите не могат да се защитят, нападателите могат да компрометират системите незабелязано.

Пример за това е Log4Shell – критична RCE уязвимост в Java Naming and Directory Interface (JNDI) на Log4j. През нея нападателите можеха лесно да поемат контрол над уязвимите системи – значителна заплаха, тъй като Log4j се използва в почти всяко Java приложение.

Добрата новина е, че все по-широкото използване на изкуствен интелект от страна на защитниците се очаква да промени пейзажа. То ще автоматизира процеса на откриване на скрити софтуерни недостатъци.

Все пак не трябва да забравяме, че нападателите също взимат на въоръжение технологията.

Supply Chain атаки

Supply Chain атака остава активна заплаха, която се задълбочава, тъй като организациите зависят все повече от услугите на външни изпълнители. Най-големият проблем при тях е, че въздействието им се разпространява каскадно върху множество заинтересовани страни: клиенти, доставчици и т.н.

Най-известният пример на това поле е пробивът в SolarWinds. Той засегна системата за управление на мрежи SolarWinds Orion, използвана от над 30 000 организации – включително щатски и федерални агенции. В резултат на това backdoor malware  компрометира хиляди данни, мрежи и системи.

Той даде възможност на нападателите да изпълняват API команди, без на практика да имат подобни права.

Използване на инфраструктурата за дистанционна работа

След 2020 г. и пандемията COVID-19 организациите се ориентираха към миодели за дистанционна и хибридна работа. Това обаче се превърна в сериозен проблем за киберсигурността.

Нападателите се фокусираха върху уязвимости във VPN софтуерите, протоколите за отдалечени работни станции (RDP) и фишинг атаките през платформи като Zoom и Microsoft Teams.

Инцидентите, при които бяха използвани VPN и RDP за получаване на нерегламентиран достъп до корпоративни системи и мрежи, са стотици. Отдалечените служители често работят от по-слабо защитени среди, което ги превърна в особено уязвим вектор за атаки срещу бизнесите.

Според експертите инфраструктурата за отдалечена работа ще продължи да бъде основна цел за киберпрестъпниците през 2025 г.

Системи за изкуствен интелект и машинно обучение

С възхода на AI и все по-широкото му използване идват и все повече рискове той да бъде експлоатиран от хакерските групи. Атаките от типа data poisoning и model inversion излизат на преден план сред развиващите се рискове по отношение на машинното обучение (ML) и изкуствения интелект (AI).

Тези технологии стават неразделна част от системите за проверка на самоличността. Така че подобни атаки, които имат потенциала да неутрализират техните защити, носят сериозни рискове за организациите.

Неправилни облачни конфигурации

Тъй като бизнесите продължават да прехвърлят операциите си към облака, той ще продължи да се затвърждава като водещ вектор за атака за хакерите. Причината – облачните инстанции често не са правилно конфигурирани.

Сложността на тези среди ще продължава да се увеличава, което ще доведе до още повече грешки. А неправилните конфигурации могат да имат сериозни последици – нарушаване на сигурността на данните, неоторизиран достъп до критични системи, финансови загуби, увреждане на репутацията.

За да предотвратят пробиви в облака през 2025 г., компаниите трябва да се съсредоточат върху три ключови области: видимост, контрол на достъпа и непрекъснато наблюдение.

Очаквайте продължение!

Ботнет мрежи използват активно 5 по-стари модела рутери на D-Link, предупредиха от компанията.

Устройствата, достигнали края на жизнения си цикъл, са изложени на повишен риск да станат мишена на щамове на зловреден софтуер, известни като „Ficora“ и „Capsaicin“.

Засегнатите устройства включват следните модели:

• SIEM as a Service;
• DIR-645;
• DIR-806;
• GO-RT-AC750;
• DIR-845L;

Ботнет мрежите се насочват към остарелия им фърмуер и се възползват от пропуските в сигурността, тъй като те вече не получават актуализации и пачове. След като бъдат компрометирани, тези рутери се използват за DDoS атаки и кражба на данни.

Ако разчитате на някой от тези модели:

• заменете ги с актуални продукти, които получават актуализации на фърмуера;
• ако незабавната подмяна не е възможна, уверете се, че устройството работи с възможно най-новия фърмуер;
• променете паролите за достъп до уеб конфигурацията и активирайте Wi-Fi криптирането със силни, уникални пароли.

В края на миналата година FreedomOnline съобщи за масивна фишинг кампания, компрометирала най-малко 5 разширения за Google Chrome. Вече е ясно, че броят им е значително по-голям – 35 – като те се използват от приблизително 2,6 милиона потребители. Във всички тях хакерите са инжектирали зловреден код за кражба на чувствителна информация.

Атакуващите са използвали фишинг имейли, маскирани като официални известия от Google Chrome Web Store Developer Support. Чрез тях те са подмамили разработчиците да им предоставят OAuth разрешения за техните проекти. По този начин участниците в заплахата са заобиколили мерките за MFA и са получили възможност да качват нови, компрометирани версии.

Засегнатите разширения варират от популярни инструменти за виртуални частни мрежи (VPN) до приставки за производителност. Злонамереният код отвлича потребителски сесии, бисквитки и идентификационни данни за акаунти в социалните медии. Една от основните цели на кампанията са корпоративни профили с достъп до платени рекламни функции.

Ето го и целият списък със засегнати разширения:

Extension Name	Status	Version / Identifier
Where is Cookie?	Not yet addressed	emedckhdnioeieppmeojgegjfkhdlaeo
Web Mirror	Not yet addressed	eaijffijbobmnonfhilihbejadplhddo
ChatGPT App	Not yet addressed	lbneaaedflankmgmfbmaplggbmjjmbae
Hi AI	Not yet addressed	hmiaoahjllhfgebflooeeefeiafpkfde
Web3Password Manager	Not yet addressed	pdkmmfdfggfpibdjbbghggcllhhainjo
YesCaptcha assistant	Not yet addressed	[email protected]
Bookmark Favicon Changer	Addressed	5.1 / [email protected]
Proxy SwitchyOmega (V3)	Not yet addressed	[email protected]
GraphQL Network Inspector	Addressed	2.22.7 / [email protected]
AI Assistant	Removed from store	bibjgkidgpfbblifamdlkdlhgihmfohh
Bard AI chat	Removed from store	pkgciiiancapdlpcbppfkmeaieppikkk
ChatGPT for Google Meet	Removed from store	epdjhgbipjpbbhoccdeipghoihibnfja
Search Copilot AI Assistant for Chrome	Removed from store	bbdnohkpnbkdkmnkddobeafboooinpla
TinaMind	Addressed	2.14.0 / befflofjcniongenjmbkgkoljhgliihe
Wayin AI	Addressed	0.0.11 / cedgndijpacnfbdggppddacngjfdkaca
VPNCity	Not yet addressed	nnpnnpemnckcfdebeekibpiijlicmpom
Internxt VPN	Addressed	1.2.0 / dpggmcodlahmljkhlmpgpdcffdaoccni
Vidnoz Flex	Removed from store	cplhlgabfijoiabgkigdafklbhhdkahj
VidHelper	Not yet addressed	egmennebgadmncfjafcemlecimkepcle
Castorus	Addressed	4.41 / mnhffkhmpnefgklngfmlndmkimimbphc
Uvoice	Not yet addressed	oaikpkmjciadfpddlpjjdapglcihgdle
Reader Mode	Not yet addressed	fbmlcbhdmilaggedifpihjgkkmdgeljh
ParrotTalks	Not yet addressed	kkodiihpgodmdankclfibbiphjkfdenh
Primus	Addressed	3.20.0 / oeiomhmbaapihbilkfkhmlajkeegnjhe
Keyboard History Recorder	Not yet addressed	igbodamhgjohafcenbcljfegbipdfjpk
ChatGPT Assistant	Not yet addressed	bgejafhieobnfpjlpcjjggoboebonfcg
Reader Mode	Removed from store	llimhhconnjiflfimocjggfjdlmlhblm
Visual Effects for Google Meet	Addressed	3.2.4 / hodiladlefdpcbemnbbcpclbmknkiaem
AI Shop Buddy	Not yet addressed	epikoohpebngmakjinphfiagogjcnddm
Cyberhaven V3 Security Extension	Addressed	pajkjnmeojmbapicmbpliphjmcekeaac
Earny	Not yet addressed	oghbgbkiojdollpjbhbamafmedkeockb
Rewards Search Automator	Not yet addressed	eanofdhdfbcalhflpbdipkjjkoimeeod
Tackker	Addressed	ekpkdmohpdnebfedjjfklhpefgpgaaji
Sort By	Not yet addressed	miglaibdlgminlepgeifekifakochlka
Email Hunter	Not yet addressed	mbindhfolmpijhodmgkloeeppmkhpmhc

Ако използвате някое от тях:

• незабавно деинсталирайте или актуализирайте до поправена версия;
• нулирайте паролите и отменете активните сесии;
• прегледайте личните и служебните си акаунти за необичайна активност.

Разработчиците трябва да бъдат бдителни по отношение на опитите за фишинг и да активират надеждни проверки за сигурност на своите приложения.

Подкрепяна от Китай APT група е хакнала системите на Министерството на финансите на САЩ. Пробивът е станал възможен през платформа за дистанционна поддръжка, използвана от федералната агенция.

Според New York Times става въпрос за BeyondTrust. Компанията предлага SaaS софтуер, който може да се използва за отдалечен достъп до компютри.

Инцидентът се счита за особено сериозен.

По-рано този месец BleepingComputer съобщи, че BeyondTrust е била пробита. Тогава стана ясно, че нападателите са получили достъп до някои от инстанциите на SaaS услугата Remote Support на компанията. Те са използвали откраднат API ключ, за да нулират паролите на акаунтите на локалните приложения и да получат допълнителен привилегирован достъп до системите.

След като разследва атаката, BeyondTrust откри две Zero day уязвимости, които са позволили да се случи този пробив.

Министерството на финансите на САЩ е сред клиентите на една от тези компрометирани инстанции. Това е позволило на хакерите да откраднат документи от разстояние.

След като BeyondTrust откри нарушението, компанията изключи всички компрометирани инстанции и отмени откраднатия API ключ. Според ФБР и CISA няма доказателства хакерите все още да имат достъп до компютрите на агенцията.

Този пробив идва, след като наскоро APT групата Salt Typhoon проби системите на девет американски телекомуникационни компании. Сред тях бяха и някои от най-големите, включително Verizon, AT&T, Lument и T-Mobile.

Официалният уеб магазин на Европейската космическа агенция беше компрометиран да зарежда JavaScript код, който генерира фалшива страница за плащане на Stripe при поръчка.

След атаката лицензираният за продажба на стоки на ЕКА сайт беше недостъпен, като показваше съобщение, че „временно е извън орбита“.

Злонамереният скрипт се появи на сайта на агенцията на 24 декември и е успял да събере информация за много клиенти. Тя включва данни за платежните карти, предоставени на последния етап от покупката на стоки. Освен това онлайн магазинът е интегриран със системите на ЕКА, което може да представлява риск за служителите на агенцията.

Компанията за киберсигурност Sansec установи, че домейнът за ексфилтриране на информация има същото име като легитимния магазин на ЕКА. Той обаче е с различен домейн от първо ниво. Докато адресът на официалния магазин е esaspaceshop.com, фалшивият е с разширение .pics.

Това за пореден път показва, че когато пазарувате онлайн, трябва да проверявате детайлно страниците, на които предоставят критични данни.

Най-малко пет разширения за Chrome са били компрометирани при координирана атака. В нейните рамки нападателите са инжектирали код, който краде чувствителна информация от потребителите.

Една от жертвите е компанията за киберсигурност Cyberhaven. Тя предупреди клиентите си, че е претърпяла успешна фишинг атака срещу администраторски акаунт за магазина на Google Chrome. Хакерът е превзел акаунта на служител и е публикувал злонамерена версия (24.10.4) на разширението Cyberhaven. Тя е включвала код, който може да извлича удостоверения за сесии и бисквитки към домейна на нападателя (cyberhavenext.pro).

Компанията е премахнала зловредния пакет в рамките на един час след откриването му. Чиста версия на разширението – v24.10.5 – е публикувана на 26 декември.

Според Nudge Security списъкът с компрометирани разширения при тази атака включва още:

• Internxt VPN – безплатна VPN услуга за сигурно сърфиране (10 000 потребители);
• VPNCity – фокусирана върху поверителността VPN услуга с 256-битово AES криптиране и глобално покритие (50 000 потребители);
• Uvoice – базирана на награди услуга за печелене на точки чрез проучвания и предоставяне на данни за използването на компютъра (40 000 потребители);
• ParrotTalks – инструмент за търсене на информация, специализиран в писане на текст и водене на бележки (40 000 потребители).

Потребителите на тези разширения трябва или да ги премахнат от браузъра, или да преминат към безопасна версия, публикувана след 26 декември. Ако не сте сигурни, че издателят е научил за проблема и го е отстранил, задължително деинсталирайте разширението. Освен това нулирайте паролите за важни акаунти, изчистите данните на браузъра и възстановете първоначалните му настройки по подразбиране.