Kategoria: Centrum Bezpieczeństwa

Trzy największe cyberzagrożenia ostatniego tygodnia pokazują, że atakujący opanowali do perfekcji sprawne adaptowanie się do nowych warunków. Interface webowy Gmaila służy przestępcom do komunikacji command and control. Microsoft przestrzega użytkowników przed tzw, human-operated ransomware attacks. Ale dzisiejsze zestawienie otwiera nowo odkryta wada w systemie Android, która pozwala na przeprowadzenie rozszerzonego ataku StrandHogg 2.0 – znacznie groźniejszego, ponieważ na dużo większą skalę.  

W tym tygodniu donosimy wam o ciekawym przypadku wykorzystania Oracle VirtulaBox w cyberataku. Przestępcy wykorzystali ją do ukrycia obecności ransomware RagnarLocker przed programami antywirusowymi. Do tego – bardzo skutecznie. W dzisiejszym zestawieniu także… Urządzenia z Bluetooth podatne na ataki BIAS oraz Spectra. Kod GhostDNS wpadł w ręce firmy antywirusowej… zupełnie przypadkiem. Nowa strona logowania do Azure cieszy się szczególnym zainteresowaniem przestępców. Na koniec wyciek danych z EasyJet.  

Jak zhackować urządzenie wyposażone w porty Thunderbolt – nawet jeśli jest ono zablokowane, a dysk zaszyfrowany? Wygląda na to, że atakujący potrzebuje tylko dostęp do urządzenia (na bardzo krótko), śrubokręt i dodatkowo przenośny hardware. Jednak nie dajcie się zwieść, atak ThunderSpy – którego opracowanie zajęło lata – jest naprawdę elegancki. W tym tygodniu także… Ramsey, nowe zagrożenie dla sieci izolowanych. Trafił na Ciebie ransomware? – zapłacisz dwa razy. Do tego: infostealer Astaroth, norweski Norfund traci 100 mln koron i ransomware atakuje kancelarię prawną amerykańskich celebrytów.

Na rynku cyberzagrożeń pojawił się nowy gracz. LockBit jest oferowany w modelu RaaS (Ransomware as a Service) i jest wyjątkowo szybki. Aby zaszyfrować całą firmową sieć potrzebuje zaledwie kilku godzin. W tym tygodniu również piszemy nt. botnetu Kaiji oraz nowego spyware, który ukryty w aplikacji 2FA atakuje użytkowników macOS. Znaleźliśmy także gorącą ciekawostkę [a w zasadzie przestrogę] dla fanów Tesli (i ich posiadaczy) oraz newsa, który zainteresuje fanów Anime (ach, młodość się przypomina). Zaczynamy.

Microsoft załatał nietypowy błąd w Microsoft Teams. Umożliwiał on przejęcie konta za pomocą m.in. obrazka .GIF. W tym tygodniu opisujemy również Sophos 0-day wykryty w urządzeniach z serii XG Firewall, „narodziny” nowego trojana bankowego oraz błąd, który zmienia antywirusa w samodestrukcyjne narzędzie. Mamy również dobrą wiadomość dla ofiar ransomware Shade. Jego twórcy spakowali walizki i… przepraszają za złe uczynki. Na koniec jako ciekawostkę opisujemy historię przerwanej aukcji – licytowano najdroższą kolekcję whisky na świecie.

Witajcie w ostatnim kwietniowym przeglądzie newsów IT. W sieci zadebiutowały kody CS:GO i Team Fortress 2. Valve uspokaja graczy, jednak największe serwisy zawiesiły działanie swoich serwerów i czekają na szczegółowe wyjaśnienia. Więcej na ten temat przeczytacie poniżej. W tym tygodniu także Banker.BR, czyli Twój nowy trojan bankowy, kolejna kampania Trickbot i historia hackera, który… oddał 25 mln USD. A także ESET eliminuje botnet składający się z 35 tys. komputerów oraz hacker otrzymał 1,3 mln USD od trzech firm inwestorskich.

Zaczęło się od niewinnego maila… Wiele czarnych scenariuszy inicjuje właśnie kliknięcie w załącznik przesłany mailem… który wydawał się być w porządku. W tym zestawieniu ostrzegamy was przed kampanią, w której przestępcy podszywają się pod pracowników działu HR. Dodatkowo: Google pozbył się 49 rozszerzeń dla Chrome, Microsoft Patch Tuesday z 113 łatkami, międzynarodowy koncern energetyczny padł ofiarą ransomware. Publikujemy także najnowsze ustalenia nt. xHelper. Wygląda na to, że jego ofiary będą mogły odetchnąć z ulgą. Na koniec AgentTesla otrzymał nowy moduł, który umożliwia kradzież haseł WiFi.  

Wszystko wskazuje na to, że Qbot oraz Mirai doczekały się godnego następcy. Swoją drogą, naprawdę imponującego – Dark-Nexus to najbardziej złożony botnet w historii. Przestępcy poszukują coraz bardziej innowacyjnych metod ataku. Dobrym tego przykładem jest również malware Kinsing, który stanowi zagrożenia dla klastrów Docker. W tym tygodniu piszemy także na temat aplikacji SuperVPN, której podatność umożliwia atak Man in the Middle. Dodatkowo: ponad 350 tys. serwerów Microsoft Exchange posiada krytyczną lukę, nowa taktyka twórców Raccoon, a także najnowsze kampanie COVID-19.

Wiele firm rozpoczyna dziś kolejny tydzień pracy zdalnej – w tym także Xopero. Jednak wzmożone wykorzystywanie narzędzi do komunikacji nie uszło uwadze przestępców. W ostatnim dniach m.in. wyszło na jaw, że popularna aplikacja Zoom posiada kilka poważnych problemów w zakresie bezpieczeństwa i prywatności. W tym tygodniu także: przestępcy wykorzystują bazy MS SQL do kopania kryptowalut oraz hacker z zemsty na firmie z obszaru cybersecurity czyści serwery ElasticSearch. W czasach zwiększonej liczby kampanii phishingowych przestępca żeby się dorobić, musi być naprawdę pomysłowy. Jedno z najpopularniejszych forów hackerskich na świecie zostało…zhakowane. Już po raz drugi – i oczywiście przez innych hackerów. Na koniec: również w tym tygodniu wybraliśmy najciekawsze cyber-fakty powiązane z kampaniami „na koronawirusa”.

Ten tydzień rozpoczynamy naprawdę sporą ilością nowych wiadomości. Sami zobaczcie… Czy z powodu problemów AMD, premiera Xbox Series X zostanie przesunięta w czasie? Windows z aż dwoma poważnymi zero-day. Grupa TrickBot atakuje nowym trojanem, który jest w stanie ominąć zabezpieczenia 2FA. Czy przestępcy zafundowali PwndLocker rebranding? Zebraliśmy dla was również najciekawsze newsy związane z aktualnie prowadzonymi korona-atakami. Zestawienie kończymy pozytywną informacją – Advanced Protection Program od Google okazał się sukcesem. A więc, do dzieła!