W tym tygodniu donosimy wam o ciekawym przypadku wykorzystania Oracle VirtulaBox w cyberataku. Przestępcy wykorzystali ją do ukrycia obecności ransomware RagnarLocker przed programami antywirusowymi. Do tego – bardzo skutecznie. W dzisiejszym zestawieniu także… Urządzenia z Bluetooth podatne na ataki BIAS oraz Spectra. Kod GhostDNS wpadł w ręce firmy antywirusowej… zupełnie przypadkiem. Nowa strona logowania do Azure cieszy się szczególnym zainteresowaniem przestępców. Na koniec wyciek danych z EasyJet.
1. RagnarLocker z nową taktyką, dzięki której jest niezauważalny dla programów antywirusowych
RagnarLocker nie jest typowym ransomware. Jego operatorzy starannie wybierają cele – unikają użytkowników domowych na rzecz korporacji oraz organizacji rządowych. Zwykle uzyskują dostęp poprzez punkty końcowe podatne na atak RDP lub przejęte (zhackowane) narzędzi MSP.
Do tej pory grupa RagnarLocker wdrażała wersję swojego oprogramowania ransomware dostosowaną pod każdą z ofiar, ale ostatnio atakujący stosują zupełnie nową taktykę. To dzięki tej zmianie ich działania umykają uwadze programów antywirusowych.
Zamiast uruchamiać oprogramowanie ransomware bezpośrednio na podatnym komputerze, atakujący pobierają na niego i instalują Oracle VirtualBox. Następnie konfigurują maszynę w wirtualną w taki sposób, aby zapewnić jej pełny dostęp do wszystkich dysków lokalnych i współdzielonych zasobów. Jest to sprytne ponieważ dzięki temu umożliwiają maszynie interakcję z plikami przechowywanymi poza jej własną pamięcią. W kolejnym kroku atakujący bootują maszynę, ładują RagnarLocker i go uruchamiają. Ponieważ ransomware RagnarLocker działa wewnątrz maszyny wirtualnej, oprogramowanie antywirusowe nie jest w stanie wykryć działania szkodliwych procesów.
Finał tego jest taki, że pliki lokalne i te na współdzielonych zasobach zostają nagle zastąpione ich zaszyfrowanymi wersjami. A administrator nie wie co się właściwie dzieje, bo przecież wszystkie modyfikacje plików wydają się być wynikiem legalnych procesów.
2. Nowo wykryta luka w Bluetooth naraża tysiące urządzeń na ataki BIAS
Grupa badaczy z Federalnej Szkoły Politechnicznej w Lozannie przestowała różne typy urządzeń, w tym laptopy, tablety i smartfony popularnych marek, wyposażone w różne wersje protokołu Bluetooth. Na ten moment znaleźli 28 unikalnych układów Bluetooth podatnych na ataki BIAS (ang. fałsz od Bluetooth Impersonation AttackS)
Czym jest dokładnie atak BIAS? Ten rodzaj ataku pozwala ominąć procedury uwierzytelniania Bluetooth, które mają miejsce podczas nawiązywania bezpiecznego połączenia. Atakujący korzystają z kilku wad: braku ochrony integralności, braku szyfrowania i wzajemnego uwierzytelniania.
Podczas parowania dwóch urządzeń zostaje wygenerowany klucz długoterminowy, który łączy urządzenia ze sobą. Przy kolejnej komunikacji pomiędzy urządzeniami nie ma już konieczności przeprowadzania ponownego ich parowania. Jednak dzięki podatności BIAS atakujący może podszyć się pod jedno ze sparowanych urządzeń i uwierzytelnić się nawet, jeśli nie dysponuje wspomnianym już kluczem długoterminowym. Następnie jest już w stanie przejąć kontrolę nad drugim urządzeniem i wykraść poufne dane.
Jak sprawdzić, czy Twoje urządzenie jest podatne na atak? Specjaliści ogłosili swoje odkrycie w grudniu 2019 r. – wtedy też informacja trafiła do vendorów. Niektórzy z nich mogli załatać podatność, ale nie ma na to konkretnych informacji. Więc jeśli twoje urządzenie nie otrzymało aktualizacji po grudniu 2019 r., prawdopodobnie nadal jest podatne na atak.
3. Spectra – nowy atak przerywa separację między Wi-Fi a Bluetooth
Skoro już o Bluetooth mowa…
Badacze z Niemiec i Włoch twierdzą, że opracowali nowy praktyczny atak, który przerywa separację technologii Wi-Fi i Bluetooth działających na tym samym urządzeniu, m.in. laptopie, smartfonie i tablecie.
Atak ten, zwany Spectra, działa na „combo chipy” – wyspecjalizowane chipy, które obsługują wiele rodzajów komunikacji bezprzewodowej opartej na falach radiowych, takie jak Wi-Fi, Bluetooth, LTE i inne.
Atak Spectra wykorzystuje mechanizmy koegzystencji, które producenci chipsetów dołączają do swoich urządzeń. Służą one do szybkiego przełączania między technologiami bezprzewodowymi. Badacze twierdzą, że choć te mechanizmy zwiększają wydajność to dają również możliwość przeprowadzania ataków side-channel i pozwalają atakującemu wyciągać szczegóły innych technologii bezprzewodowych obsługiwanych przez “combo chipy”.
Analizie zostały poddane układy Broadcom i Cypress, które znajdują się w setkach milionów urządzeń, takich jak iPhone’y, MacBooki i seria Samsunga Galaxy S.
Spectra rozpoczyna się od zaatakowania combo chipów z wykorzystaniem zniekształconego ruchu bezprzewodowego, a następnie ataku na interfejs układu między dwiema technologiami. Badacze zidentyfikowali również wspólny region pamięci RAM, który umożliwia wykonanie kodu przez Bluetooth w Wi-Fi, co znacznie zwiększa skalę ataku.
4. Kolejny “wyciek danych”, tyle że tym razem ofiarą jest operator GhostDNS
GhostDNS to zestaw exploitów routera, który wykorzystuje podatność CSRF (Cross-site request forgery) do zmiany ustawień DNS i przekierowania użytkownika na stronę phishingową w celu kradzieży danych logowania.
Jak to się stało, że złośliwy pakiet wpadł w „niepowołane” ręce? Rok temu w maju 2019 r. Avast Web Shield zablokował adres URL z platformy sendspace.com. Okazało się, że jeden z użytkowników Avast należy do ciemnej strony mocy…. Przesłał na serwery Sendspace archiwum RAR ze złośliwą zawartością. Zapomniał jednak wcześniej wyłączyć Avast Web Shield, a ponieważ archiwum nie było chronione hasłem, zostało ono automatycznie przeanalizowane przez aplikację. Grupa ds. bezpieczeństwa w AVAST pobrała archiwum a po jego rozpakowaniu ich oczom ukazał się pełny kod źródłowy GhostDNS.
Analizując archiwum, badacze odkryli dwie metody przeprowadzania ataków: Router EK i BRUT. Router EK atakuje z sieci lokalnej i wymaga od użytkownika kliknięcia w złośliwy link. Kiedy już to zrobi, rozpoczyna się wyszukiwanie wewnętrznego adresu IP routera. BRUT to masowy skaner, który wyszukuje publicznie udostępnione routery i atakuje z wykorzystaniem brute-force. Następnie po uzyskaniu dostępu zagrożenie zmienia ustawienia DNS, tak aby kierowały na serwery atakującego.
5. Nowa strona logowania do Azure okazała się szczególnie atrakcyjna dla…hakerów
Pracujesz z Azure Active Directory? Uważaj na ataki phishingowe. Przestępcy wykorzystują nowy ekran logowania do konta.
Microsoft 26 lutego ogłosił nieszkodliwą zmianę ekranu logowania do usługi Azure AD wprowadzając ją w pierwszym tygodniu kwietnia. Pełnoekranowa fotografia w tle ustąpiła miejsca zwykłemu koloremu tłu, które zmniejszyło rozmiar o 99%. Cel był słuszny – miało to oszczędzić przepustowość łącza i skrócić czas ładowania strony. Wyszło jednak inaczej. Nie zajęło dużo czasu oszustom, aby zacząć podszywać się pod Microsoft i podrabiać oryginalne strony logowania. Już miesiąc później firma oświadczyła w tweecie, że odnotowuje wiele witryn phishingowych korzystających z nowego tła.
Azure AD to oparta na chmurze wersja lokalnego systemu usługi Active Directory, która przechowuje dane uwierzytelniania i uprawnienia dostępu użytkowników. Wersja w chmurze jest więc bramą jednokrotnego logowania do szeregu aplikacji online, w tym usług chmurowych Microsoft i aplikacji innych firm. Nic dziwnego, że dla oszustów phishingowych stanowi święty Graal, który w wyniku skutecznego ataku dałby im dostęp do wielu kont firmowych w chmurze.
6. Wyciek z EasyJet – skradziono dane osobowe i płatnicze 9 mln klientów
Linie lotnicze przeżywają ciężkie chwile. EasyJet walczy nie tylko z uziemieniem samolotów, ale i skutkami cyberataku, który wyszedł na jaw w minionym tygodniu. W jego wyniku hakerzy zdobyli adresy email i dane o podróżach 9 milionów klientów. W przypadku 2208 z nich atakujący mają również dostęp do danych kart płatniczych.
W ciągu kolejnych dni, do 26 maja, linia zamierza skontaktować się z klientami, których dane zostały przechwycone przez przestępców. Ci, którzy nie otrzymają wiadomości, według zapewnień EasyJet, mogą czuć się bezpiecznie. Firma zareagowała dość szybko – zaraz po incydencie zgłosiła go do brytyjskiego National Cyber Security Centre i ICO.
Co mogą zrobić klienci? Jeżeli obawiasz się, że Twoje dane mogły wyciec (lub zostałeś już o tym poinformowany), uważaj na wszelkie wiadomości email, które wykorzystują informacje o Twojej podróży – w odpowiedzi nie podawaj swoich poufnych danych. Skontaktuj się bezpośrednio z firmą za pomocą oficjalnej strony internetowej easyjet.com.
Osoby, których dane karty kredytowej zostały ujawnione, powinny monitorować swoje wyciągi pod kątem wszelkich nieuczciwych działań i natychmiast zgłaszać takie przypadki. Najlepiej jednak skontaktować się z bankiem, wyjaśnić sytuację i poprosić o nową kartę kredytową.