Autor: xopero_blogger

Krytyczne luki VMware to nie jedyny problem, z jakim przyszło mierzyć się temu producentowi oprogramowania do wirtualizacji w minionym tygodniu. Pamiętacie grupę BlackMatter, która ogłosiła się następcą REvil i przed którą ostrzegaliśmy w poprzednim wydaniu Centrum Bezpieczeństwa Xopero? Jest już w posiadaniu programu szyfrującego wycelowanego w VMware ESXi. Ponadto dzisiaj przybliżamy dość awangardowy model biznesowy nowego LockBit 2.0. oraz akcję szpiegowską wycelowaną w największe telekomy. Dla “równowagi” opisujemy jeszcze nowy projekt od Microsoft . „Super Duper Secure Mode” ma zmienić krajobraz exploitów i znacząco podnieść koszt ataków.

W minionym tygodniu zagraniczne media zdominowały informacje o spektakularnych debiutach lub wielkich powrotach w cyberprzestępczym światku. Pamiętacie nasz news sprzed dwóch tygodni o końcu REvil? Cóż, radziliśmy, aby wstrzymać się z otwarciem szampana… Świętowanie przeszkodził nam news o pojawieniu się na rynku dwóch grup ransomware – BlackMatter oraz Haron, które być może okażą się spadkobiercami sukcesów REvil i Avaddon. Powrócił również Oscorp – malware na Androida, który wykrada dane aplikacji bankowych – w tym w Polsce! A w dodatku wrócił jeszcze silniejszy, w formie botnetu o nazwie UBEL.

Co jeszcze? Jeżeli Apple nawołuje do pilnej aktualizacji większości urządzeń zaledwie tydzień po wydanej serii poprawek, wiedz, że coś się dzieje. Ponadto – krytyczna luka w Hyper-V, która zyskała niechlubną ocenę 9.9 w dziesięciostoponiowej skali zagrożeń! 

Dzisiejsze wydanie Centrum Bezpieczeństwa sprawi, że temperatura wrośnie nie tylko za oknem… Po lekturze najnowszych newsów zapewne gorąco zrobi się właścicielom setek milionów drukarek. 16-letni błąd w sterowniku wykorzystywanym przez Samsung, HP i Xerox umożliwia atakującym uzyskanie praw administratora i otrzymał wynik CVSS: 8,8. Ale to nie koniec błędów związanych z eskalacją uprawnień – kolejny news powinien zainteresować użytkowników Linux i Windows, w tym wszystkich czekających na premierę Windows 11 – ten system też został uznany za podatny na błąd o nazwie Sequoia. Co jeszcze? Malware Mosaic Loader i ataki oparte na metodzie SEO poisoning oraz kilka ciekawostek na temat kradzieży danych uwierzytelniających z ChromePass.

W tym wydaniu mamy dla was kilka niepokojących „powtórek”. Zaczynamy od malware Joker, który powrócił do Google Play. Do tej pory z tego marketplace usunięto już 1800 niebezpiecznych aplikacji. Nowa wersja dużo skuteczniej unika różnego typu zabezpieczeń – zarówno tych wbudowanych w urządzenia, jak i skanerów Play Protect. Tak więc instalując nowe aplikacje, miejcie się na baczności. Kolejny interesujący news… Media na całym świecie zastanawiają się czy to jest już koniec REvil. W ostatnich dniach, największy na świecie gang ransomware w tajemniczy sposób po prostu zniknął z sieci. Czy na dobre? Kolejne tygodnie pokażą. Jak się okazuje problem z Windows Print Spooler również powraca – tym razem z jeszcze gorszymi reperkusjami. Nowa luka – przed którą ostrzega Microsoft – może zostać wykorzystana do wykonywania nieautoryzowanych działań w systemie. Szczegóły znajdziecie oczywiście poniżej.

Temat PrintNightmare zdecydowanie zdominował media w ostatnim tygodniu. Wśród specjalistów toczyła się zażarta dyskusja, czy wypuszczony przez Microsoft patch rozwiązuje w ogóle problem. Skąd tak odmienne opinie? Okazało się, że poprawka działa na wszystkie znane exploity, ale nie jest pozbawiona wad. Tak więc jeśli zastanawiacie się, czy warto przeprowadzić aktualizację – tak, jak najbardziej i jak najprędzej. Śledźcie również informacje o kolejnych aktualizacjach od Microsoft. My z całą pewnością go nie porzucimy. Jeśli pojawi się kolejny update, przeczytacie o nim w Centrum Bezpieczeństwa. W tym wydaniu przybliżamy wam również post-kryzys związany z atakiem ransomware REvil na firmę Kaseya oraz przypadek kolejnego już w tym miesiącu 0-day, który zagraża urządzeniom NAS od Western Digital. A jeśli edytujecie zdjęcia na telefonie, zainteresuje was zapewne news nt. aplikacji Android, które bardzo sprawnie wykradały dane logowania Facebook. Co ma to właściwie wspólnego z edycją zdjęć? Zerknijcie do tekstu poniżej i wszystko stanie się jasne.

Witajcie w Centrum Bezpieczeństwa Xopero. Pamiętacie historie Dell’a i WD My Book NAS z ostatniego tygodnia? Czy dzisiejsze tematy mogą je przebić? Oceńcie sami. W cyberprzestępczym świecie od jakiegoś już czasu widzimy nowy i niepokojący trend. Coraz więcej grup migruje w kierunku maszyn wirtualnych ESXi. Teraz również operatorzy REvil przygotowali enkryptor Linux, który jest w stanie szyfrować wirtualne zasoby. W sieci zadebiutował (przypadkowo) również nowy exploit PoC. PrintNightmare, czyli nowy krytyczny Windows RCE, działa na najwyższym poziomie uprawnień. Oznacza to, że jest on w stanie dynamicznie ładować pliki binarne innych firm. Problem jest więc poważny. W ostatnich dniach wiele dyskutowano również na temat krytycznych luk w zabezpieczeniach routerów NETGEAR, które można wykorzystać jako punkt wejścia do sieci i uzyskania nieograniczonego dostępu. Mamy również złą wiadomość dla posiadaczy kont LinkedIn – na czarny rynek trafiła właśnie nowa baza, licząca 700 milionów rekordów. Szczegóły znajdziecie poniżej.

Witajcie w Centrum Bezpieczeństwa Xopero! Przywykliśmy już do newsów o ataku ransomware i zaszyfrowaniu firmowych urządzeń. Jednak dane można utracić na więcej sposobów. Choćby z powodu przywrócenia ustawień fabrycznych. Ofiarą takiej masowej „aktualizacji” padli właśnie posiadacze WD My Book NAS. Szczegóły tej tajemniczej akcji (lub cyberataku) znajdziecie poniżej. Opisujemy dla was również przypadek firmy Dell, która ma poważny problem. Dostępny na ich komputerach preinstalowany firmware updater może narazić na atak prawie 30 milionów użytkowników lub jak kto woli – 128 modeli sprzętu tego producenta. W tym tygodniu również: Microsoft poluje na BazaCall – grupę, która wykorzystuje fałszywe call center oraz błędy w Linux Marketplace. Zaczynamy.

Witajcie w Centrum Bezpieczeństwa Xopero! Żyjemy doprawdy w przedziwnym świecie… W sieci zadebiutował właśnie nowy malware, który blokuje ofiarom dostęp do stron z torrentami i innych witryn z piracką zawartością. Co ciekawe, nic nie wskazuje na to, że mamy do czynienia z jakąś operacją antypiracką – generalnie specjaliści nie mają pojęcia, o co właściwie chodzi. Ofiary powinny więc być przygotowane na jakieś przyszłe ataki lub oszustwa. Ta informacja otwiera dzisiejszy przegląd, ale co jeszcze dla was przygotował nasz zespół? Grupa REvil znów staje się bardziej aktywna – tym razem ransomware uderzył w amerykańskiego dostawcę broni jądrowej. Pojawiła się również nowa kampania SolarMarker, która wykorzystuje SEO poisoning do infekowania celów za pomocą RAT. Ostatni news dotyczy złośliwych modpacków Minecrafta, które trafiły do sklepu Google Play. Gotowi na więcej? W takim razie zapraszamy do lektury tekstu poniżej.