Kwantowa rewolucja / Win 10 update / RobbinHood / Loda

W środowisku IT dużo mówi się o tym, że blockchain ma szansę przyczynić się do powstania bezpieczniejszego internetu. Jednak postępy w quantum computingu (dla wielu jest to wręcz „kwantowa rewolucja”) mogą zaowocować stworzeniem internetu kwantowego – idealnego wręcz do przesyłania krytycznych danych. Splątanie, dekoherencja, kwantowa teleportacja – terminy, którym bliżej do sci-fy niż rzeczywistości? A jednak nie. Więcej na ten temat przeczytacie poniżej. O czym jeszcze w tym tygodniu? (Nie)udana aktualizacja Windows 10, RobbinHood ransomware wykorzystuje wycofane sterowniki do wyłączenia rozwiązań chroniących Twój komputer. A także: ransowmare Loda, problem z wtyczką WordPress oraz FBI ma ręce pełne roboty. Biuro otrzymuje dziennie 1300 zgłoszeń o popełnieniu cyberprzestępstwa. Zaczynamy.

1. Uważaj, żeby najnowsza aktualizacja Windows 10 nie odbiła ci się czkawką

Użytkownicy donoszą, że po zakończeniu nowego update’u Windows 10 (KB4532693) ładuje się niewłaściwe konto użytkownika a Pulpit oraz Menu Start wracają do domyślnych ustawień. Irytowały Cię wszystkie zbędne aplikacje, gry i rozszerzenia w Menu Start? Przywitaj się z nimi ponownie…

11 lutego Microsoft wydał nową aktualizację dla systemów Windows 10 – w ramach February Patch Tuesday. Tego samego dnia w sieci pojawiły się informacje, że niektórzy użytkownicy doświadczają pewnych problemów. Opisy internautów wskazują na to, że z powodu bug’a  jest ładowane konto tymczasowego. Na szczęście, aktualizacja nie usuwa danych z urządzenia, a raczej nadaje nową nazwę oryginalnemu profilowi użytkownika. Jak odzyskać „utracone” konto? Należy zweryfikować, czy w lokalizacji C:\Users nie znajduje się przypadkiem stary profil z rozszerzeniem .000 lub .bak. Niektórzy użytkownicy rozwiązali problem, odinstalowując z systemu ostatnią aktualizację.

Źródło

2. Kwantowa rewolucja: jak 48 km światłowodu przybliżyło nas do nowego bezpieczniejszego internetu

Chociaż Einstein wyśmiewał splątanie kwantowe, może być ono kluczem do stworzenia znacznie bezpieczniejszego internetu. Ale zacznijmy od początku, dokładnie od komputerów kwantowych napędzanych technologią, niejako, rodem z najlepszych książek Sci-Fy.

Szybki kurs quantum computingu, czyli kwantowa rewolucja w pigułce

Komputery kwantowe, wykorzystują mechanikę kwantową do zapewnienia ogromnego skoku mocy obliczeniowej. Sekret tkwi w zdolności do generowania i manipulowania bitami kwantowymi lub inaczej kubitami. Czym jest kubit? To kwantowy odpowiednik dobrze nam znanych bitów.

Kubity dzięki swoim „dziwacznym” właściwościom są w stanie wygenerować znacznie większą moc obliczeniową niż odpowiadająca im ilość bitów binarnych. Dzieje się tak dlatego, że reprezentują wiele możliwych kombinacji 1 i 0 jednocześnie. Zdolność ta jest określana mianem superpozycji. Fenomen ten pozwala komputerom kwantowym procesować ogromną liczbę potencjalnych wyników w tym samym momencie. Ostateczny wynik kalkulacji pojawia się po zmierzeniu kubitów, w efekcie czego ich  stan kwantowy „zapada się” do postaci 1 lub 0.

Kwantowa rewolucja. Dowiedz się więcej nt. niezwykłej technologi stojącej za komputerami kwantowymi. Pobierz raport za darmo.
Kwantowa rewolucja – droga do bezpieczniejszego internetu

Naukowcy mogą również wprowadzić kubity w stan określany jako splątanie. Para kubitów istnieje w jednym stanie kwantowym. Zmiana stanu pierwszego, powoduje natychmiastową modyfikację stanu drugiego z nich – w bardzo przewidywalny sposób. Jest to możliwe nawet wtedy, gdy dzieli je od siebie znaczna odległość.

Jak wielka może być owa „znaczna odległość”? Może ona liczyć nawet 30 mil. I w ten sposób wracamy do tematu nowego bezpieczniejszego internetu. W Chinach udało się wywołać i utrzymać splątanie kwantowe na ponad 48 km światłowodu. Co ważne, przy dużo niższym współczynniku błędów niż we wszystkich poprzednich próbach. Co to dokładnie oznacza? Technologia jest już prawie gotowa do tego, aby przetestować ją pomiędzy dużymi ośrodkami miejskimi.

Więcej na temat komputerów kwantowych, kubitów, splątania oraz teleportacji kwantowej przeczytacie w raporcie Cyberbezpieczeństwo: Trendy 2020. Ale nie przeskakujcie od razu do rozdziału 10. Raport to największe kompedium wiedzy o nowoczesnym cyberbezpieczeństwie w Polsce. Na 103 stronach przeczytacie o zabezpieczaniu danych, backupie, chmurze i trendzie multicloud, blockchain, uczeniu maszynowym, rozwiązaniach DLP, Interencie Rzeczy oraz ransomware. 

Źródło

3. Po wgraniu sterowników Gigabyte, RobbinHood uśmierca rozwiązania antywirusowe…

Nowe zagrożenie instaluje na zainfekowanym urządzeniu sterowniki Gigabyte, w celu uniknięcia wykrycia przez programy antywirusowe oraz inne rozwiązania zabezpieczające.

Atakujący skorzystali z podatności CVE-2018-19320 w sterownikach Gigabyte. Producent wycofał podatne pliki instalacyjne, jednak w internecie nic nie ginie. Ponadto, pliki nadal posiadają podpisy cyfrowe od Verisign, które nie cofnęło certyfikatów.

RobbinHood - nowy ransomware, który wykorzystuje wycofane sterowniki Gigabyte.
Źródło: SophosNews

Przestępcy wykorzystali sterownik Gigabyte jako „klin”, z pomocą którego załadowali inny niepodpisany program. W ten sposób na urządzenie trafia ransowmare RobbinHood oraz powiązane z nim zagrożenia. W kolejnym kroku, atakujący umieszczają w folderze Temp liczne pliki, które skuteczne rozprawienie się dostępnymi na komputerze rozwiązaniami zabezpieczającymi.

Problem, nowe wyzwanie…? Rozwiązania antymalware oraz antywirus dają dziś fałszywe poczucie bezpieczeństwa. W momencie, gdy twórcy ransomware wykorzystują coraz bardzie złożone mechanizmy unikania wykrycia, stały się zawodne. Dobrym rozwiązaniem staje się więc wdrożenie ochrony wielopoziomowej. Od czego zacząć? Od wprowadzenia uwierzytelniania wieloskładnikowego, wprowadzenia złożonych haseł, ograniczania dostępu użytkowników do krytycznych systemów i zasobów oraz tworzenia kopii zapasowych.

Źródło

4. FBI przyjmuje 1300 zgłoszeń o cyberprzestępstwie dziennie!

Cyberprzestępcy podwajają liczbę udanych oszustw internetowych. Tylko w minionym roku na biurka agentów FBI spłynęło 467 361 zgłoszeń o popełnieniu cyberprzestępstwa – to ponad 1300 zdarzeń dziennie! 

Według tego samego raportu FBI, biznes i użytkownicy indywidualni zapłacili cyberprzestępcom kwotę 3,5 mld dolarów. Wszystko wskutek starych, ale sprawdzonych metod takich jak phishing, Business Email Compromise (BEC), romance scam, wyłudzenia i inne oszustwa internetowe. Przestępcy zamiast wymyślać nowe metody, udoskonalają te sprawdzone, przez co ofiarom coraz trudniej odróżnić prawdziwe komunikaty od tych fałszywych. Nie ma tygodnia, abyśmy nie usłyszeli o jakiejś udanej kampanii – często przybliżamy wam je w ramach Centrum Bezpieczeństwa Xopero. 

Przykładowo, w zeszłym tygodniu pojawiło się nowe oszustwo phishingowe, które dostarcza złośliwe oprogramowanie o nazwie Anubis na urządzenia mobilne z Androidem. Celem jest kradzież danych uwierzytelniających, instalacja keyloggera, a nawet szantażowanie użytkowników ujawnieniem skradzionych informacji. 

W 2019 roku same ataki BEC przyniosły przestępcom 1,7 mld dolarów, a FBI odnotowało 23 775 zgłoszeń. BEC to scam, w którym przestępcy podszywają się pod osoby zarządzające firmami, aby skłonić pracownika, kontrahenta lub partnera do wykonania przelewu na wskazane konto lub ujawnienia poufnych informacji. Wiadomość ta nie zawiera załączników, przez co nie budzi podejrzeń i omija typowe zabezpieczenia.

W międzyczasie przestępcy oczywiście nie poprzestają w atakach ransomware na firmy i organizacje rządowe. Pomimo, że liczba kampanii się zmniejsza, nadal zarabiają na nim krocie. Tylko w ubiegłym roku ransomware wygenerował łączne straty dla biznesu szacowane na 11,5 mld dolarów (!) 

Więcej ciekawych statystyk temat ransomware i innych zagrożeń znajdziesz w raporcie Cyberbezpieczeństwo Trendy 2020

Źródło: 12

5. Ransomware Loda – ewolucja i niebezpieczne aspiracje

Prosty ransomware Loda najwidoczniej ma aspiracje do zyskania miana poważnego zagrożenia. Po raz pierwszy pojawił się w 2016 roku. Ten RAT (Remote Access Trojan) oparty na AutoIT jest w stanie uzyskać dostęp i eksfiltrować informacje o systemie i użytkownikach, działać jako keylogger, robić zrzuty ekranu, uruchamiać i zamykać procesy oraz pobierać ładunki złośliwego oprogramowania poprzez połączenie z serwerem C&C. 

Kilka miesięcy temu jego arsenał znacznie się powiększył. W wersji Loda 1.1.1 zmieniono techniki zaciemniania kodu, aby poprawić jego możliwości ukrywania się. Wprowadzono także mechanizmy utrzymujące trwałość systemów po wyłączeniu. Większość łańcuchów i zmiennych Lody jest teraz zakodowanych, a oprogramowanie może wykonywać zapytania WMI w celu wykrycia zainstalowanego antywirusa. Inną nową funkcją jest możliwość odczytu zawartości „\ filezilla \ lastservers.xml” – dokumentu zawierającego adresy IP, nazwy użytkowników i hasła używane przez serwery Filezilla.

Przebieg ataku

Atak rozpoczyna się wiadomością e-mail ze szkodliwym załącznikiem. Zbadana próbka zatytułowana „comprobante de confirmación de pago.docx”, zawiera OOXML, który wskazuje na drugi dokument, plik Rich Text Format (RTF) hostowany na lcodigo [.] Com. Plik ten zawiera znacznik autora „obidah qudah”, który od 2017 r. jest podłączony do blisko 1300 złośliwych plików RTF przesłanych do VirusTotal.

W celu ukrycia swojej złośliwej natury, plik RTF zawiera exploit OLE oraz stosuje techniki uniemożliwiające parserom jego pełne odczytanie. Po pobraniu, drugi dokument próbuje wykorzystać CVE-2017-11882 – lukę w zabezpieczeniach polegającą na uszkodzeniu pamięci w Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 i Microsoft Office 2016. Wykorzystanie tej krytycznej wady bezpieczeństwa pozwala na wykonanie dowolnego kodu. Jeśli próba infekcji zakończy się powodzeniem, trojan wgrywa złośliwy plik MSI. 

Ten prosty, ale skuteczny RAT został niedawno wykryty w kilku kampaniach w USA, Ameryce Południowej i Środkowej. Póki co, aspiracje Lody wydają się więc być jak najbardziej uzasadnione. 

Źródło

6. Krytyczny błąd wtyczki WordPress – 700 tys. stron w niebezpieczeństwie

Popularna wtyczka GDPR Cookie Consent do WordPress pomagająca zachować stronom zgodność z przepisami GDPR (w Polsce RODO) załatała swoją krytyczną lukę w wersjach 1.8.2 i niższych. Zalecamy jak najszybszą aktualizację. Jej wykorzystanie może bowiem zakończyć się modyfikacją treści witryny, jej usunięciem lub wstrzyknięciem złośliwego kodu JavaScript. 

Wtyczka GDPR Cookie Consent pomaga firmom wyświetlać banery cookie. Liczba 700 tys. aktywnych instalacji czyni ją świetnym celem dla atakujących. Nic dziwnego, że szybko dostrzegli możliwości wykorzystania krytycznej luki w narzędziu. 

Błąd wynika z niewłaściwej kontroli dostępu przez urządzenie korzystające z AJAX API. W efekcie AJAX, który ma być dostępny tylko dla administratorów, w rzeczywistości pozwala również użytkownikom na poziomie subskrybenta na wykonywanie szeregu działań grożących bezpieczeństwu. Może modyfikować, a nawet usuwać dowolną stronę, post lub całą witrynę. Ma również możliwość przełączenia jej w tryb offline. Wykorzystując inną metodą, może wstrzykiwać złośliwy kod JavaScript na stronę, który będzie ładowany i wykonywany za każdym razem, gdy ktoś odwiedza stronę http://przyklad.com/cli-policy-preview/.

Na szczęście producent wtyczki, tuż po otrzymaniu informacji o potencjalnym zagrożeniu, usunął ją z katalogu WordPress. Nowa, poprawiona wersja (1.8.3.) pojawiła się tam z powrotem 10 lutego. Zalecamy pilną aktualizację. 

Źródło