BlackMatter i Haron ransomware / Pilny update Apple / UBEL celuje w Polskę

W minionym tygodniu zagraniczne media zdominowały informacje o spektakularnych debiutach lub wielkich powrotach w cyberprzestępczym światku. Pamiętacie nasz news sprzed dwóch tygodni o końcu REvil? Cóż, radziliśmy, aby wstrzymać się z otwarciem szampana… Świętowanie przeszkodził nam news o pojawieniu się na rynku dwóch grup ransomware – BlackMatter oraz Haron, które być może okażą się spadkobiercami sukcesów REvil i Avaddon. Powrócił również Oscorp – malware na Androida, który wykrada dane aplikacji bankowych – w tym w Polsce! A w dodatku wrócił jeszcze silniejszy, w formie botnetu o nazwie UBEL.

Co jeszcze? Jeżeli Apple nawołuje do pilnej aktualizacji większości urządzeń zaledwie tydzień po wydanej serii poprawek, wiedz, że coś się dzieje. Ponadto – krytyczna luka w Hyper-V, która zyskała niechlubną ocenę 9.9 w dziesięciostoponiowej skali zagrożeń! 

BlackMatter i Haron: nowe gangi ransomware, czy spadkobiercy REvil i Avaddon?

Pamiętacie nasz news sprzed dwóch tygodni o końcu REvil? Zakończyliśmy go słowami, że z otwarciem szampana i świętowaniem raczej byśmy się wstrzymali… 

Długo nie przyszło nam czekać. Na radarze pojawiły się dwie nowe grupy – BlackMatter i Haron, działające w modelu ransomware jako usługa (RaaS, Ransomware-as-a-Service).

Obie twierdzą, że koncentrują się na celach korporacyjnych z “głębokimi kieszeniami”, które mogą zapłacić okupy siegające milionów dolarów. Sygnalizują także wartości w stylu DarkSide obiecując omijanie szpitali, organizacji non-profit, czy firm związanych z krytyczną infrastrukturą. 

BlackMatter twierdzi otwarcie, że jest następcą REvil i DarkSide, łączącym najlepsze cechy DarkSide, REvil i LockBit.

Według Flashpoint, autor BlackMatter zarejestrował konto na rosyjskojęzycznych forach XSS i Exploit 19 lipca. Następnie szybko opublikował post o tym, że ​​zamierza kupić dostęp do zainfekowanych sieci korporacyjnych. Oczywiście obejmujących od 500 do 15 000 hostów w USA, Kanadzie, Australii i Wielkiej Brytanii, z przychodami przekraczającymi 100 milionów dolarów rocznie. 27 lipca grupa rozpoczęła aktywną rekrutację partnerów, korzystając z serwera Jabber na forum Exploit do rozpowszechniania wiadomości rekrutacyjnych. Wszystko więc wskazuje na operację ransomware na wielką skalę. 

Pojawienie się BlackMatter zbiega się z upadkiem DarkSide i REvil w następstwie ataków na Colonial Pipeline, JBS i Kaseya. Wzbudzając tym samym spekulacje, że grupy mogły po prostu zmienić “markę” i pojawić się pod nową nazwą. 

Pierwsza próbka szkodliwego oprogramowania grupy Haron przesłano do VirusTotal jeszcze wcześniej – 19 lipca. Trzy dni później południowokoreańska firma S2W Lab poinformowała o grupie w poście, w którym przedstawiła podobieństwa między Haron i Avaddon. Jakie? Ich notatki dotyczące okupu wyglądają jak stworzone metodą kopiuj-wklej, strony negocjacyjne mają niemal identyczny wygląd i słownictwo. Fragmenty kodu open-source JavaScript czatu są identyczne, a dwie strony wycieku mają tę samą strukturę.

Pytanie więc czy obie te grupy to nowonarodzone formacje, czy płynne odrodzenie się upadłych cyberprzestępców? Czas pokaże. Jedno jest pewne – duże firmy i korporacje – to najlepszy moment, żeby zwiększyć poziom swoich zabezpieczeń i zachować ostrożność. 

Źródła 1 | 2

Pilnie zaktualizuj swojego iPhone’a, iPada i Maca. Najlepiej teraz!

Apple w poniedziałek załatało lukę typu zero-day w systemach iOS, iPadOS i macOS. Stało się to zaledwie tydzień po ostatniej aktualizacji, która łatała ponad 30 różnych błędów. Firma wzywa użytkowników do natychmiastowego zainstalowania aktualizacji. Skąd ten pośpiech? Krytyczna luka związana z uszkodzeniem pamięci może umożliwić atakującym wykonanie dowolnego kodu z uprawnieniami jądra i przejęcie systemu. 

Błąd powodujący uszkodzenie pamięci, śledzony jako CVE-2021-30807, znajduje się w rozszerzeniu IOMobileFrameBuffer. Apple naprawił go dla każdej z platform z osobna. Mamy więc trzy nowe aktualizacje – iOS 14.7., iPadOS 14.7.1 i macOS Big Sur 11.5.1.

Apple używa stwierdzenia, że luka ta “mogła być aktywnie wykorzystywana”. Czytając między wierszami, prawdopodobnie więc cyber-przestępcy już mają ją na celowniku. 

Apple nie zdradza jednak, kto może być zamieszany w wykorzystywanie tego błędu. Firma nie odpowiedziała również na pytanie, czy błąd był wykorzystany przez oprogramowanie szpiegowskie Pegasus firmy NSO Group.

Wśród urządzeń, które należy natychmiast zaktualizować są: iPhone 6s i nowsze, iPad Pro (wszystkie modele), iPad Air 2 lub nowsze, iPad 5. generacji i nowsze, iPad mini 4 i nowsze oraz iPod touch (7. generacji).

Aby zaktualizować urządzenie przejdź do Ustawienia> Ogólne> Uaktualnienia, a następnie pobierz i zainstaluj dostępne aktualizacje systemowe.

Źródła 1 | 2

UBEL to nowy Oscorp – Android malware, który wykrada dane logowania do 150 aplikacji bankowych – w tym w Polsce

Złośliwe oprogramowanie na Androida, które wykrada dane logowania do europejskich aplikacji bankowych (w tym w Polsce!) przekształciło się w zupełnie nowy botnet w ramach reaktywowanej kampanii rozpoczętej jeszcze w maju tego roku. 

Oscorp, bo o nim mowa, został wykryty pod koniec stycznia przez włoski CERT-AGID. Celem tego mobilnego złośliwego oprogramowania jest masowe atakowanie aplikacji bankowych i kradzieży funduszy. Może ono przechwytywać wiadomości SMS, wykonywać połączenia telefoniczne i przeprowadzać ataki typu overlay na ponad 150 aplikacji mobilnych. 

Oscorp został ujawniony przez włoski CERT-AGID pod koniec stycznia. Mobilne szkodliwe oprogramowanie atakuje wiele celów finansowych i wykrada dane logowania i środki finansowe. Może przechwytywać wiadomości SMS, wykonywać połączenia telefoniczne i przeprowadzać ataki typu “overlay” na ponad 150 aplikacji mobilnych. Polega to na uruchomieniu nakładki z fałszywymi ekranami logowania podczas korzystania z aplikacji bankowej przez użytkownika. 

Oprogramowanie jest rozpowszechniane za pomocą złośliwych wiadomości SMS, a ataki często przeprowadzane są w czasie rzeczywistym. Przestępcy podszywając się pod operatorów bankowych, potajemnie uzyskują dostęp do zainfekowanego urządzenia za pośrednictwem protokołu WebRTC. Następnie wykonują nieautoryzowane przelewy bankowe.

Oscorp na chwilę zniknął z radaru, ale wygląda na to, że zorganizował swój powrót w postaci botnetu o nazwie UBEL. 

Według włoskiej firmy Cleafy zajmującej się cyberbezpieczeństwem, Oscorp i UBEL mają tę samą bazę kodu. Ta zbierżność sugeruje rozwidlenie oryginalnego projektu lub po prostu rebranding.

Sprzedawany za 980 dolarów na przestępczych forach UBEL, podobnie jak jego poprzednik, potrafi czytać i wysyłać wiadomości SMS, nagrywać rozmowy, instalować i usuwać aplikacje, aktywować się automatycznie po uruchomieniu systemu oraz nadużywać usługi dostępu w systemie Android w celu zbierania wrażliwych informacji. Takich jak dane logowania i kody 2FA, które są wysyłane na zdalny serwer atakujących. 

Po pobraniu na urządzenie, złośliwe oprogramowanie próbuje zainstalować się jako usługa i ukryć swoją obecność osiągając trwałość na długi czas.

Co ciekawe, użycie WebRTC do interakcji z zaatakowanym smartfonem w czasie rzeczywistym omija potrzebę dodawania nowego urządzenia i przejęcia konta w celu wykonywania nieuczciwych działań.

Według raportu Oscorp atakuje banki i aplikacje m.in. w Hiszpanii, Polsce, Niemczech, Turcji, USA, Włoszech, Japonii, Australii, Francji i Indiach.

Źródło

Krytyczna luka 9.9/10 w Microsoft Hyper-V może pozwolić na RCE i DoS

Badacze Peleg Hadar z SafeBreach i Ophir Harpaz z Guardicore ujawnili szczegóły dotyczące krytycznej luki w Microsoft Hyper-V. Śledzona jako CVE-2021-28476, może stworzyć warunki do ataku DoS (odmowy dostępu) lub pozwolić na wykonanie dowolnego kodu przez atakujących.

Luka tkwi w sterowniku przełącznika wirtualnego Microsoft Hyper-V (vmswitch.sys). Dotyczy systemów Windows 10 i Windows Server 2012 do 2019 roku. Luka jest krytyczna i otrzymała wynik 9.9 w dziesięciostopniowej skali CVSS. W maju Microsoft wydał poprawki dla powyższych systemów. 

W poradniku opublikowanym przez firmę ten problem umożliwia gościnnej maszynie wirtualnej oczyt jądra hosta Hyper-V z dowolnego, potencjalnie nieprawidłowego adresu. Zawartość odczytanego adresu nie jest zwracana do maszyny wirtualnej gościa. W większości przypadków spowodowałoby to odmowę usługi hosta Hyper-V i sprawdzenie błędów z powodu oczytania niezmapowanego adresu. Można więc odczytać rejestr urządzeń zmapowanych w pamięci, które są podpięte do hosta Hyper-V, a tym samym wywołać dodatkowe skutki dla bezpieczeństwa. 

Przełącznik vmswitch nie może więc zweryfikować wartości żądania identyfikatora obiektu OID przeznaczonego dla karty sieciowej. Aby więc wykorzystać tę lukę atakujący może wysłać specjalnie spreparowany pakiet z gościnnej maszyny wirtualnej do hosta Hyper-V.

Aby dowiedzieć się więcej o tej luce i pobrać aktualizację zabezpieczeń, zobacz poradnik wydany przez Microsoft.

Źródło