Малък и среден бизнес

Потребителите на Kubernetes, използващи популярния контролер Ingress NGINX, веднага трябва да инсталират пачове на четири новооткрити уязвимости. Те позволяват изпълнение на отдалечен код (RCE) и са с оценка на сериозност 9,8 от 10.

Wiz Security ги обединява под името „IngressNightmare“. Те засягат контролера, който е предназначен за насочване на външен трафик към съответните услуги на платформата.

Уязвимостите засягат 43% от всички облачни среди, включително много компании от класацията Fortune 500.

За да предпазят системите си, администраторите на Kubernetes трябва:

• да обновят контролера Ingress NGINX до версии 1.12.1 и 1.11.5;
• да се уверят, че крайната точка на admission webhook не е изложена на външен достъп.

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Групата Black Basta ransomware е използвала близо 3000 уникални креденшъли, за да се опитат да компрометират различни корпоративни мрежи.

Според компанията за киберсигурност KELA те са насочени основно към Remote Desktop софтуери и виртуални частни мрежи (VPN).

От Remote Desktop Web Access на Microsoft до Global Protect на Palo Alto и VPN услугите на Cisco – всички те са любима цел на ransomware групите. Веднъж компрометирани, тези услуги могат да се използват като шлюзове към корпоративните мрежи. След това кражбата на данни и внедряването на ransomware стават лесна задача.

В доклад, публикуван на 11 март, киберзастрахователят Coalition установява, че 2/3 от предприятията имат поне един панел за вход, изложен на интернет. Тези организации са три пъти по-застрашени от инцидент с ransomware. Най-често проблемите идват от лошо конфигурирани и зле защитени уеб панели за вход.

Три стъпки за осигуряване на отдалечения достъп

С навлизането на цифровата трансформация и работата отвсякъде, служителите трябва да имат възможност за отдалечен достъп до бизнес ресурси.

Но за да е сигурна тази комуникация, организациите трябва да:

• актуализират своите мрежови устройства, VPN мрежи и firewall – особено фърмуера, който e често забравян компонент;
• добавят силна, устойчива на фишинг многофакторна автентикация (MFA);
• да възприемат цялостна Zero Trust стратегия.

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

87% специалисти по сигурността в ново проучване казват, че организацията им се е сблъскала с кибератака, задвижвана от AI, през 2024. Oткриването им все още е предизвикателство – едва 26% от тях изразяват висока увереност в способностите си.

91% от респондентите в SoSafe 2025 Cybercrime Trends очакват значителен ръст на този тип заплахи през следващите три години.

Global Cybersecurity Outlook 2025 пък посочва 223% увеличение на търговията с deepfake инструменти във Dark Web между Q1/2023 г. и Q1/2024.

Сред най-често споменаваните проблеми, които AI може да създаде в ръцете на нападателите, са техниките за замаскиране на атаките (51%). Друг такъв е, че технологията дава възможност за многоканални атаки. Те съчетават електронна поща, SMS, социални медии и платформи за сътрудничество.

AI, разбира се, може да се използва и за защита на бизнесите. Но технологиите са толкова силни, колкото хората, които ги използват. Информираността за киберсигурността е от решаващо значение. Без информирани служители, които могат да разпознават и да реагират на заплахите, дори и най-добрата технология не може да се справи.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.