Най-интересното

Последен ъпдейт на 18 декември 2020 в 08:08 ч.

През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

Млад, но амбициозен ransomware

За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

Разпространява се чрез спам / фишинг кампании

Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

Персонализиран подход

За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

Изтичане на информация / Изнудване

Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

„Картел за изнудване“

През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

Кратък технически преглед на Maze

Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

Криптографската схема на Maze се състои от няколко нива:

1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

 

Как да се предпазим от заразяване с Maze (или други криптовируси)?

Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

• Дръжте всички приложения и ОС актуални с инсталиране на последните налични пачове
• Имплементирайте методи като: многопластова защита (defence in depth), ограничаване на правата на потребителите (Least privilege), Zero trust мрежови модел
• Намалете т.нар. “attack surface” като затворите/ограничите достъпа до услугите от вътрешната мрежа
• Услуги като RDP, SMB, FTP и т.н. нямат място в Интернет! Техния достъп трябва да бъде възможен само и единствено през VPN
• Използвайте единствено сигурна/криптирана връзка за комуникация към ресурси от вътрешната мрежа

Последен ъпдейт на 15 декември 2020 в 08:20 ч.

Защо използвате електронен портфейл? Защото не искате да носите в себе си пари в брой или кредитни карти. Или защото жена ви звъни със спешна поръчка почти всеки път, когато излезете да разходите кучето само с телефон в ръка? А напоследък и защото в COVID-19 пандемията се страхувате за здравето си и се стремите да плащате отдалечено.

За всички, които сте инсталирали на телефона си приложението на  А1 Wallet, Pay by Vivacom, Revolut, Apple Wallet, Garmin Pay или друго и зареждате пари в него – ето за какво трябва да внимавате:

Рискове при плащане с електронен портфейл

Един от най-големите рискове всъщност е да загубите телефона си. Докато разберете, че той липсва, за да блокирате картите си и ако не сте го защитили с ПИН или биометрия, всички данни в него са достъпни. А това вероятно са сметките ви – лични и фирмени, кодовете за двуфакторна автентикация, които получавате чрез SMS и т.н. Може да се окаже, че са източили банковите ви сметки и кредитните ви карти. Може дори да навредят на кредитния ви рейтинг в банката и това да ви попречи ако решите да изтеглите кредит в бъдеще.

Друга  възможност е да се заразите – смартфоните, както и останалите компютърни устройства са уязвими. Вирус, заразил телефона ви, може да открадне не само данните ви за плащане, но и паролите ви за достъп до други акаунти и да се разпорежда с тях както му харесва.

Киберпрестъпниците използват и други „по-традиционни“ средства, за да бръкнат в портфейла на мобилния ви телефон:

• Измамник може да вземе списъка ви с контакти (напр. чрез експлоатиране на уязвимост на телефона или на приложението за плащане) и да се представи за познат, на когото вече сте изпратили пари. Така през приложението за мобилно плащане може да ви примами да му платите „повторно“.
• Внимавайте за фишинг, при който мошеници се представят за компанията, управляваща приложението за мобилни плащания. Целта на хакерите е да ви подмамят да разкриете данните за вход в сметките си, за да могат да откраднат парите ви или продадат информацията ви на подземните пазари.
• Друга опасност са спам заявките за пари, които се появяват директно в акаунта ви. Ако случайно потвърдите някоя такава заявка, зададената сума незабавно ще се прехвърли в сметката на измамника.

Защитете телефона си и плащайте безопасно

Използването на електронен портфейл крие рискове, които вие обаче можете да управлявате. Защитете го, като използвате  функциите за сигурност и на телефона и на дигиталния ви портфейл:

1. Активирайте мерките за сигурност на вашия телефон: Задайте комбинация от биометрично заключване (сканиране на лице, ретина, пръстови отпечатъци) и код. Приложенията за плащане изискват да потвърдите самоличността си, за да ги използвате. Но имайте едно на ум, че в зависимост от държавата, плащания до определен лимит се извършват без каквато и да е проверка / удостоверяване.
2. Активирайте двуфакторно удостоверяване (2FA) за достъп до приложенията за плащане, които използвате
3. Активирайте опцията да получавате известията при транзакция или плащане – в случай на подозрителна дейност, ще бъдете предупредени в (почти) реално време
4. Сваляйте приложения за плащане само от официалните магазини, защото контролът на сигурността им е завишен
5. Проверявайте правата за достъп, които приложението ви иска и разрешете само тези, които са необходими за извършване на разплащания
6. Използвайте антивирусен софтуер на вашия смартфон – съществуват различни софтуерни решения, които ще ви осигурят антивирусна защита и ще ви предпазват срещу зловредни приложения. Те също ще ви защитят при плащане, от спам и бързо ще локализират телефона ви ако бъде откраднат или го изгубите.

В заключение, електронният портфейл прави пазаруването по-лесно, по-бързо и по-удобно от всякога. Вземете нужните мерки за безопасност и спокойно се насладете на предимствата, които съвременните технологии ви предлагат.

Докато вие броите дните, измамниците дебнат покрай една от най-чаканите премиери през декември 2020 – Cyberpunk 2077. ВНИМАНИЕ, ГЕЙМЪРИ!

Изследователите от Kaspersky са засекли няколко уебсайта (на различни езици), които привидно предлагат Cyberpunk 2077 безплатно.

Свалянето и инсталацията започват уж нормално, но в един момент ви е нужен лицензен ключ. Нямате такъв – не е проблем: Ще го получите ако попълните анкета и предоставите телефонен номер и имейл за връзка. Накрая приложението ви казва, че липсва DLL, необходим за стартиране на играта, но… измамниците вече имат данните, които току-що сте попълнили.

В този конкретен случай крадат телефона и имейла ви. Но свалянето на приложения от съмнителни сайтове може да ви докара по-големи главоболия. Например, вместо анкета, киберпрестъпниците може да поискат пари в замяна на ключа. Или фиктивния инсталатор директно да ви зарази с вирус. Може да криптират устройството ви, да откраднат ваша лична информация, да ви наблюдават през камерата на устройството ви, да източат банковата ви сметка, да си присвоят профила ви в социалните мрежи и т.н.

Как да се предпазите от подобни измами

• Не вярвайте на твърде добрите оферти и подлагайте на съмнение непознати сайтове. Уебсайт, предлагащ безплатна версия на една от най-очакваните игри за годината преди официално обявената дата, е фалшив.
• Помислете внимателно преди да споделите лична информация или данни за плащане в уебсайт: Ако ви обещават достъп до желан файл или ключ, в повечето случаи се оказва, че сте си загубили времето или още по-лошо – личните данни и финанси.
• Използвайте надеждно антивирусно решение, което да ви предупреди за съмнителни сайтове и да ви предпази от злонамерен софтуер

Уязвимост във Fortinet устройства (CVE 2018-13379) дава възможност за неупълномощен достъп през SSL VPN до системните файлове на FortiOS – предупреждението е на Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA).

Fortinet публикува насоки за смекчаването на тази уязвимост.

Препоръки:

Призоваваме потребителите и администраторите да се запознаят с насоките и да приложат необходимите актуализации незабавно.

CISA препоръчва още потребителите на Fortinet да прегледат внимателно log-овете във всички свързани мрежи, за наличие на злонамерена дейност.

Киберсигурността е интересна, актуална и обширна област, която изисква задълбочени познания и разнообразни умения.  Започваме с това обобщение, за да ви подготвим, че ще ви е нужен детайлен план за действие, а не за да ви откажем.

Киберсигурността, по дефиниция, обхваща всички приети предпазни мерки за защита на ИТ системите и техните данни от неразрешен достъп, атаки и вреди, за да се гарантира тяхната достъпност, поверителност и цялост. Такъв мащабен обхват изисква сериозен професионален капацитет.

Ако сте ИТ специалист, който иска да повиши собствената си експертиза, да намери по-интересна и перспективна работа и атрактивно заплащане – продължете да четете. Да станете професионалист по киберсигурност е реално постижимо, стига да отделите нужното време и внимание и да не се страхувате да се натоварите. Междувременно, за да защитите организацията си, препоръчваме да се обърнете към експертите в областта, които ще ви помогнат да получите професионална защита, а и ще улеснят вашето израстване като специалист.

Изграждането на експертиза изисква любопитство и последователност

На първо място се информирайте какви теми включва киберсигурността. Подберете тези, които са ви най-интересни или най-необходими за работата ви и се задълбочете в тях. След като натрупате достатъчно знания, продължете с някоя от останалите теми.

На второ място – въоръжете се с търпение: овладяването на всяко умение изисква постоянство и дългосрочен времеви хоризонт. Киберсигурността, както всяка друга професия, изисква хиляди часове специално обучение, за да се превърне в умение.

Изберете ефективна учебна стратегия

Изборът на подход зависи от самите вас. Специалистите препоръчват като успешни следните три метода на усвояване на нови умения:

• Top-down (отгоре надолу): Спирате се на конкретно умение и започвате да го изучавате. Ще спестите много време ако имате възможност да работите с ментор, дори и само под формата на стаж. Работата с добре подготвен специалист в областта на киберсигурността може да ви даде готови отговори и да ви спести някои провали. А и всеки ментор би предложил постоянна работа на стажант, който показва интерес, старание и прогрес.
• Bottom-up (отдолу нагоре): Четенето на много книги и статии за киберсигурност, както и посещаването на подходящите курсове, е задължително. Добрата теоретична основа ще ви отвори врати към по-атрактивни позиции и възможности за развитие. И със сигурност ще увеличи шансовете ви да бъдете избран от добър ментор за съвместна работа – никой професионалист не иска времето му да бъде загубено напразно. А и много интервюта за работа започват с въпроса: „Кои са последните пет специализирани книги, които сте прочели?“
• Проектно-базиран подход: Работата по конкретни проекти е най-прекият път към придобиване на практически умения. Това няма да ви спести четенето и нуждата от теоретична подготовка – само ще ви помогне точно вие да бъдете поканен в екипа. Работата по проект ще очертае конкретните технически цели и основните ресурси, които са ви необходими за да ги постигнете.

В заключение, обучението по киберсигурност е комплексно – изисква много четене, правилните курсове, практика, самоинициатива. Но с точната нагласа и избор на стратегия за действие, неусетно ще изминете пътя. И не забравяйте да вземете със себе си страстта, отдадеността и любопитството, когато тръгнете на пътешествието, наречено киберсигурност. И не забравяйте, че това е само началото!

Полезни препратки

В следното видео ще откриете допълнителна информация относно различните стратегии как да станете добри в областта на киберсигурността:

Още интересни и полезни  статии по темата как най-ефективно да придобием нови знания и умения може да откриете и в блога на Azeria.

Deepfake бот, действащ в приложението за текстови съобщения Telegram, фабрикува голи изображения на хиляди хора, някои от които изглеждат на възраст под 18 години.

Снимки на над 104 хил. жени са „съблечени“ от бота, който ежедневно изпраща галерия от нови голи изображения до асоцииран канал в Telegram, с почти 25 хил. абонати. Някои снимки са прегледани повече от 3 хил. пъти, а друг канал в Telegram, който промотира бота, има повече от 50 хил. абоната.

Смята се, че ботът на Telegram се захранва от версия на софтуера DeepNude. Изображенията се създават автоматично, след като хората качат облечени снимки на жени (явно технологията е настроена да модифицира само женски изображения) в бота на Telegram от телефона или компютъра си.

Предполага се, че голяма част от жертвите дори не подозират за случващото се, но компанията, разкрила инцидента (Sensity) e уведомила правоохранителните органи. Експертите се опасяват, че този тип изображения ще бъдат използвани за унижаване и изнудване на жените. Към момента не е известно Telegram да е коментирал случая.

Deepfake технологията представлява манипулирана чрез machine learning форма на медия – видео, аудио или снимка (терминът всъщност идва от „deep learning“– методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи). Повече за ботовете, тяхното разпространение и начините да ги разпознаете, може да прочетете тук.

Интернет е широк и измамници дебнат навсякъде. Ежедневно се сблъскваме с все по-креативни и непознати до този момент методи за измама. Еднo от най-популярните средства за кибератака е фишингът. Ако се питате защо – потребителите често го подценяват и това дава огромни възможности на киберпрестъпниците.

Основната им цел – чрез тази атака искат да заблудят потребителя и да откраднат идентификационни данни, данни за банкови сметки и карти или друга лична информация.

Възможностите са много – от репликиране на името на компания  (както примера по-долу) до подмяна на банковата сметка, към която изпращате определена сума, следвайки напълно познат и достоверен за вас процес.

Ето и два примера как може да бъдете подменени:

Оферта, твърде добра, за да е истина

По данни на Капитал, близо 2.9 млн. потребители в България търсят и продават в онлайн платформата за обяви OLX.

Първата измама касае по-скоро търговците. Те са таргетирани с имейл предложение за промотиране на обявите им с цел показването им на по-предно място в сайта. Оферта, която се предлага напълно легитимно и от самия сайт.

Измамното съобщени предлага промотиране и заглавна позиция на цена от 1.40 лв. – доста под обявените в сайта от 4.80 лв. до 20.99 лв.

Киберпрестъниците залагат на факта, че привлечени от цената потребителите ще се подлъжат ще кликнат върху линка в писмото. След това обаче ще бъдат пренасочени към сайт, в който да въведат данните за кредитната или дебитната си карта, за да заплатят за услугата.

Дотук всичко изглежда нормално. Интересното започва след потвърждението на танзакцията. Ако имате двуфакторна автентикация на картата си, ще видите, че заявката за плащане вместо за 1.40 лв. е за доста по-високата сума от 279 EUR.

Атакуващите разчитат на рутинните ни действия, а миг невнимание от наша страна може да ни струва доста скъпо в случая. Потвърдите ли транзакцията с кода, който сте получили, парите ви отиват в чужда сметка, а не към OLX.bg. Съответно – обявата ви няма да бъде промотирана и вие ще сте поредната жертва на онлайн измама (каквато ще бъдете и в случай, че нямате двуфакторна автентикация за плащане с картата си – тогава сумата ще бъде удържана директно).

И между другото – методът е изключително добре таргетиран, срещу потребители на OLX, които имат повече от една добавена обява в сайта

Прекалено съобразителен клиент

Вторият сценарий, на който се натъкнахме през последните седмици, е насочен отново към търговци в платформата, които са оставили имената и телефона си за контакт в случай на интерес към обявата ви.

Някои от тях получават съобщение чрез Viber във връзка с интерес за покупка. Някой желае да закупи предлаганата от вас стока, но иска тя да му бъде изпратена по пощата. Този метод на изпращане не дава възможност за наложен платеж, затова получавате друго предложение от страна на запитващия – той ще организира плащането и куриер ще дойде лично до вас, за да вземе пратката. Изпраща ви линк, в който твърди че е започнал да извършва паричния превод, но за да го завърши са необходими и данните за вашата карта.

Тук е момента, в който атакуващите се възползват отново от рутината и невниманието ни.
За да се осъществи паричен превод към дадена сметка е необходим индивидуален IBAN номер на тази сметка. Въвеждането на уникалните номера на дебитна или кредитна карта се извършва когато потребител извършва плащане с нея, а не когато получава превод.

Ако не обърнете внимание на това, че адресът, който ви е изпратен не е на официалния сайт на куриерската фирма и в бързината въведете данните си, то те стават собственост и на атакуващите. След минути получавате съобщение за потвърждение на транзакция, направена от вашата лична сметка.

Тази транзакция не е направена от вас, а от киберпрестъпниците, които са откраднали вашите данни и целта им е да изтеглят пари от сметка ви, като ги изпратят на себе си. Вие сте измамен!

Какво знаем за този метод?

• Собственикът на сметката, към която се изпращат парите не е куриерска фирма
• Домейнът на атакуващите е регистриран преди 3 дни в Русия
• Методът е таргетиран към потребители на OLX, който имат активни обяви, добавени в сайта

Как да се предпазите?

Подобни атаки не са нещо уникално – и не са ограничени само до OLX. Киберпрестъпниците не се свенят да използват имена на легтимни компании, за да прилъжат жертвите си.

Препоръката ни към вас е да не се осланяте на шанса, а да вземете следните превантивни мерки:

• Бъдете внимателни и наблюдателни от чие име получавате имейл, дали съдържащият се линк води към официалния сайт и дали това е истинското име на домейна.
• Не се доверявайте на никого в интернет и проверявайте легитимността на каналите, по които изпращате или получавате парични преводи.
• Активирайте двуфакторна автентикация и SMS уведомления за всяка транзакция, направена от и към вашата сметка; бъдете внимателни каква е сумата на трансфера, който потвърждавате и дали вие сте го извършили.
• Сигнализирайте на банката си, за да може тя да реагира навреме и евентуално да откаже прехвърляне на потенциално откраднатите пари.
• Не бързайте и винаги преглеждайте внимателно всички детайли, щом осъществявате или получавате паричен превод чрез интернет.
• Преди да се съгласите да актуализирате обява в сайт, помислете дали в последните месеци сте добавяли такава.

 

За да изглеждат още по-достоверни, съвременните фишинг сайтове използват Captcha – инструменти за засичане и спиране на ботове. Поне с такива са оборудвани зловредни копия на сайтове в една от поредните кампании, насочени към потребители на Microsoft Office.

Сигурни сме, че сте ги виждали – Captcha и подобните инструменти могат да бъдат под формата на чекбокс, да искат от вас да откриете всички светофари или автомобили в поредица размазани изображения или да сметнете проста математическа задача. Целта им: да предотвратят автоматизираното попълване на форми – както за коментари, така и за изпращане на съобщения и др. посредством различни скриптове.

Как работи измамата

Хакерите са заложили именно на тази реална проверка за сигурност, за да изглежда достъпа до създадените от тях фалшиви страници по-реалистичен. Освен това, добавянето на Captcha прави сайтовете им по-трудно откриваеми за автоматизирани решения за сигурност, които проверяват за фишинг.

В откритата напоследък кампания, за която съобщава Menlo Security, се използва не една, а цели три вида Captcha инструменти. Първоначално жертвите получават фалшив имейл, който изисква да ресетнат паролата си за Microsoft Office. След като кликнат върху връзката, трябва да преминат три отделни Captcha проверки, преди да бъдат помолени да въведат информацията за акаунта си в Microsoft Office. И след като го направят – данните им са откраднати.

Как да се предпазите

• Бъдете подозрителни към всеки получен имейл за възстановяване на парола, който не сте поискали. Задръжте курсора на мишката върху съдържащия се линк (без да кликате) и проверете дали води към официален уебсайт – ако това не е така, игнорирайте съобщението и го изтрийте.
• Не споделяйте данните си за достъп до акаунти, социални медии и други чувствителни приложения извън официални страници за вход.
• Използвайте двуфакторна автентикация. Дори хакерите по някакъв начин да откраднат вашата парола, те ще се нуждаят от физически достъп до смартфона ви, за да ви хакнат.

Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

• Да защитим работещите сървъри
• Да се въведат правилни access list-и
• Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
• Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени

Анализаторите на ESET са разкрили зловреден код, който се разпространява чрез фалшиви версии на популярни чат приложения като Telegram. Заплахата се разпространява от шпионската хакерска група APT-C-23, която някои свързват с палестинската организация Хамас.

Най-често жертвите се заразяват чрез посещение на фалшив магазин за приложения „DigitalApps“, при изтегляне на приложения, имитиращи Telegram, Threema (друга чат платформа) и помощна програма, наречена AndroidUpdate. Използвайки за параван приложение за криптирани съобщения (като Telegram), хакерите могат да получат достъп до частни комуникации, които в противен случай биха били трудни за прихващане.

Веднъж инсталиран, зловредният софтуер изисква множество разрешения, включително правене на снимки и видеоклипове, записване на аудио, четене и модифициране на контакти и четене и изпращане на SMS.