Błąd występujący w wybranych nośnikach SSD skraca ich żywot do 32 768 godzin, czyli dokładnie 3 lat 270 dni i 8 godzin. Korzystasz z dysków SSD od Hewlett Packard? Szybka aktualizacja firmware może uratować Twoje dane. W ostatnim tygodniu było również głośno o DeathRansom, który po poprawkach zaczął realnie szyfrować dane, Dexphot oraz niebezpiecznych smartwatcha’ach SMA-WATCH-M2.
1. Był bug i nie ma bug’a, czy DeathRansom jest już groźny
DeathRansom dał się poznać jako ransomware, który tylko udawał, że szyfruje dane użytkowników. Ale wszystko uległo zmianie. Dokładnie gdzieś w okolicy 20 listopada.
Analiza wczesnych ataków wykazała, że dane można było odzyskać usuwają z plików rozszerzenie .wctc. Czy to był bug? Trudno powiedzieć, jednak developerzy w ostatnich tygodniach ciężko pracowali nad swoim programem (czyt. rozwiązali kilka ważnych problemów). W efekcie, DeathRansomware jest już groźny.
Zmiana. Zagrożenie szyfruje pliki na komputerze ofiary z wyjątkiem tych, których nazwy ścieżek zawierają:
programdata, $recycle.bin, program files, windows, all users, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db
Co istotne, DeathRansom nie dodaje już rozszerzenia do zaszyfrowanych plików. Jedynym sposobem stwierdzenia, że dane zostały zaszyfrowane, jest znacznik pliku o wartości „ABEFCDAB” dołączony do zaszyfrowanych zasobów.
Po zainfekowaniu urządzenia, ransowmare próbuje usunąć shadow volume copies, zanim przystąpi do szyfrowania danych. Na koniec umieszcza w folderach plik tekstowy z indywidualnym ID infekcji oraz adresem e-mail do kontaktu. Dopiero w dalszych krokach użytkownik otrzymuje instrukcję, w jaki sposób ma zapłacić okup i w jakiej wysokości.
2. USA chce zakazu szyfrowania end-to-end. UE mówi NIE
Szyfrowanie end-to-end, czyli szyfrowanie po stronie klienta, to jedna z najlepszych metod zapewnienia poufności. Korzystasz z komunikatora, który to umożliwia? Jego twórcy nie są w stanie odczytać twoich wiadomości. Hackerzy również. Niestety rząd USA także. To chyba dobrze? Jak się okazuje, nie dla wszystkich.
O co chodzi? Amerykańskie organy ścigania nie chcą dopuścić do tego, aby namierzeni przez nie przestępcy i terroryści mogli korzystać z szyfrowania do ochrony prowadzonej komunikacji. Główny cel całej tej kampanii? Całkowity zakaz stosowania szyfrowania lub wprowadzenie do systemów backdoora, przez który „upoważnione” podmioty będą mogły zaglądać do podejrzanych konwersacji. Przeciwnicy wskazują jednak, że takie rozwiązanie to broń obosieczna. Brak szyfrowania end-to-end znacznie ułatwi zagranicznym agencjom, rządom oraz grupom hackerskim dostęp i kradzież informacji.
Unia Europejska zabiera głos
20 listopada poznaliśmy oficjalne stanowisko przedstawicieli Komisji Unii Europejskiej. UE nie zgadza się na wprowadzenie zakazu. Powołują się przy tym na zapisy RODO, które wyraźnie wskazuje na szyfrowanie jako środek zabezpieczający dane.
3. Microsoft ostrzega przed Dexphot, który zainfekował już ponad 80 tys. urządzeń
Świat usłyszał o Dexphot w październiku 2018 r. Malware atakował w bardzo złożony sposób. Program stosował również interesujące metody zaciemniania swojej obecności. Między innymi skrypt, który weryfikował, czy na urządzeniu zainstalowano antywirusa oraz w późniejszym czasie odpowiadał za regularne aktualizacje malware’a.
W początkowym stadium ataku, Dexohot zapisuje na dysku pięć plików KEY. Z wyjątkiem jednego z nich – instalatora z dwoma adresami URL – wszystkie odpowiadają za procesy, które realnie zachodzą w systemie: msiexec.exe, rundll32.exe, unzip.exe, schtasks.exe, powershell.exe. Przez to wykrycie zagrożenia jest utrudnione.
Po uruchomieniu instalatora na urządzenie zostaje pobrany i zainstalowany złośliwy payload. Atak kończy uruchomienie w systemie ofiary miner’a kryptowalut. Użytkownik szybko odczuwa skutki jego pracy. Jednak usunięcie zagrożenia jest utrudnione.
Metody zaciemniania
Dexphot wykorzystuje zaawansowane metody ukrywania swojej obecności m.in. warstwy zaciemniające, szyfrowanie oraz przypadkowe nazwy plików do ukrycia procesu instalacji. Paczka MSI zawiera „zaciemniający” skrypt, przeznaczony do wyszukiwania rozwiązań antywirusowych – Windows Defender, Avast i AVG. Po ich wykryciu, malware natychmiast wstrzymuje proces infekowania urządzenia. Jeśli jednak ich nie znajdzie… Wtedy ofiara kończy z miner’em, który nie tylko monitoruje usługi, ale także został odpowiednio zabezpieczony przed próbami odinstalowania zagrożenia.
Dwie usługi monitorujące równolegle sprawdzają wszystkie niebezpieczne procesy. Taki podwójny monitoring zapewnia „redundancję” na wypadek sytuacji, gdyby jeden z nich został jednak zatrzymany. Ten który nadal działa, natychmiast identyfikuje zdarzenie i podejmuje stosowne „działania naprawcze”. Przerywa on wszystkie aktywne procesy i ponownie infekuje urządzenie. Malware dodatkowo wykorzystuje hollowing. Jest to technikę stosowaną przez cyberprzestępców do ukrywania złośliwego oprogramowania w ramach legalnych procesów. Tyle, że oryginalny kod zostaje zastąpiony złośliwym odpowiednikiem. W ten sposób program ładuje pliki .exe do wnętrza systemu.
Dodatkowo (lub raczej co gorsza) mamy w tym przypadku do czynienia z działaniem typu fileless. Kod może zostać uruchomiony bez wcześniejszego zapisania go w systemie plików. W ten sposób nie tylko trudniej jest wykryć złośliwy kod podczas jego pracy, ale także wyszukać przydatne informacje pomocne do skutecznego usunięcia zagrożenia.
4. HP ostrzega – Twój dysk SSD umrze po 32768 godzinach
Hewlett Packard Enterprise ostrzega klientów o błędzie w wybranych nośnikach SSD, który powoduje, że przestają działać dokładnie po 32 768 godzinach (a więc 3 latach 270 dniach i 8 godzinach) od pierwszego uruchomienia. Jednocześnie zaleca pilną aktualizację firmware, bez której dane staną się niemożliwe do odzyskania.
Powód? Firma nie wyjaśniła źródła problemu. Specjaliści spekulują, że może to być wynik czeskiego błędu w definiowaniu typów danych. 32768 jest najmniejszą całkowitą wymagającą w zapisie dwójkowym 16 bitów. W reprezentacji signed (ze znakiem) zapisanie jedynki na najstarszym bicie czyni liczbę ujemną. Oficjalnego stanowiska HP jednak zabrakło.
Sprawdź, czy Twoje dane są zagrożone. Błąd dotyczy dysków półprzewodnikowych SCSI z Serial Attached. Używane są w wielu serwerach i urządzeniach pamięci masowej, również takich marek jak HPE ProLiant, Synergy, Apollo, JBOD, D3xxx, D6xxx, D8xxx, MSA, StoreVirtual 4335 czy StoreVirtual 3200.
Aktualizuj dysk albo…zginie! W sumie problem dotyczy 20 dysków. Poprawka jest już dostępna dla 8 z nich. Aktualizacje oprogramowania układowego dla pozostałych zostanie wydane w drugim tygodniu grudnia. Wykaz podatnych dysków oraz nowe wersje firmware znajdziesz na stronie wsparcia technicznego producenta. Zalecamy pilną aktualizację – odliczanie do utraty danych trwa…
Tik, tok…
5. Twoje dziecko ma smartwatcha SMA-WATCH-M2? Natychmiast go wyłącz!
Chiński dziecięcy smartwach SMA-WATCH-M2 posiada lukę, która pozwala na wyciek danych osobowych, odczyt danych GPS dzieci oraz podsłuchiwanie rozmów i manipulowanie informacjami. Zaleca się pilne wyłączenie lub nawet wyrzucenie podatnego sprzętu.
Kto zagrożony? Zegarków używa co najmniej 5 tys. dzieci na całym świecie. Firma AV-TEST, która odkryła problem przygotowała mapę aktywnych użytkowników. Widać z niej, że lwia część pochodzi…z Polski.
Miało być dobrze… W założeniu SMA-WATCH-M2 miał zapewniać rodzicom dzieci poczucie bezpieczeństwa. Wyposażenie go w GPS i kartę SIM umożliwiało sprawdzenie lokalizacji dziecka oraz wysyłanie wiadomości i wykonywanie połączeń głosowych. Niestety, te funkcjonalności są również łatwo dostępne dla przestępców.
Wyszło, jak zwykle… Serwer, na którym przechowywane są dane dzieci nie posiada praktycznie żadnych zabezpieczeń. Winne jest również niezabezpieczone API. Wystarczy, że atakujący pobierze aplikację i wprowadzi identyfikator dziecka, aby połączyć się z jego urządzeniem i wysyłać wiadomości oraz dzwonić podszywając się pod rodzica. Jeżeli nie chcecie narażać swoich pociech na powyższe zagrożenie – natychmiast wyłączcie lub wyrzućcie wadliwy sprzęt.
Tym bardziej, że w piątek Mikołajki – to dobra okazja, aby wymienić go na inny – sprawdzony i bezpieczny.
6. Prosegur, firma od pojazdów opancerzonych, pada ofiarą Ryuk
Hiszpańska międzynarodowa firma zajmująca się transportem gotówki ogłosiła, że zamknęła swoją sieć IT w wyniku ataku ransomware Ryuk. Prosegur to jeden z największych na świecie dostawców pojazdów opancerzonych do transportu gotówki między bankami, a bankomatami i restauracjami. Zatrudnia 170 tys. pracowników i działa w 24 krajach w Europie, USA, Ameryce Łacińskiej oraz regionie Azji i Pacyfiku.
Ryuk w parze z Emotet. W środę, 27 listopada firma ogłosiła na Twitterze, że padła ofiarą ataku, w wyniku którego zamknięta została m.in. jej strona internetowa. Kilka godzin później Derecho de la Red, hiszpańska witryna poświęcona cyberbezpieczeństwu potwierdziła, że za atakiem stał Ryuk – oprogramowanie ransomware powstałe kilka lat temu i specjalizujące się w celach korporacyjnych. W wyniku ataku sieć firmy została sparaliżowana, a pracownicy nie mogli wykonywać swojej pracy przez wiele godzin. Prawdopodobnie wektorem ataku był Emotet – jeden z najbardziej aktywnych trojanów. Prosegur w międzyczasie informował, że pracuje o pocie czoła, aby zapobiec utracie danych, co jest najgorszym scenariuszem podczas takich incydentów.
Być może nie byłoby w tej sytuacji nic dziwnego, bo przecież ransomware od lat jest jednym z największych zagrożeń dla biznesu, gdyby nie fakt kilku zaniedbań ze strony Prosegur.
Szewc bez butów?
Przy okazji ataku okazało się, że firma nie dopilnowała terminu przedłużenia certyfikatu SSL, o czym komunikował użytkowników alert bezpieczeństwa pojawiający się tuż nad hasłem firmowym “Security you can trust” (tłum. “Bezpieczeństwo, któremu możesz zaufać”). Przypomnijmy, że firma działa w branży bezpieczeństwa, na początku roku wykupiła również udziały w Cipher oferującej usługi IT security (m.in. MSS, CIS – Cybersecurity Integrations itp.). Zważając również na skalę i charakter działalności powinna mieć doskonały plan odtwarzania awaryjnego i natychmiast przywrócić do pracy krytyczne systemy.
Atak na Prosegur to drugi w tym miesiącu incydent, który sięga hiszpańskiej branży security. Na początku listopada ofiarą ataku padła Everis – spółka-córka NTT Data mająca swoją siedzibę w kraju tapas i corridy.