Xopero Blog

W tym tygodniu donosimy wam o ciekawym przypadku wykorzystania Oracle VirtulaBox w cyberataku. Przestępcy wykorzystali ją do ukrycia obecności ransomware RagnarLocker przed programami antywirusowymi. Do tego – bardzo skutecznie. W dzisiejszym zestawieniu także… Urządzenia z Bluetooth podatne na ataki BIAS oraz Spectra. Kod GhostDNS wpadł w ręce firmy antywirusowej… zupełnie przypadkiem. Nowa strona logowania do Azure cieszy się szczególnym zainteresowaniem przestępców. Na koniec wyciek danych z EasyJet.  

Jak zhackować urządzenie wyposażone w porty Thunderbolt – nawet jeśli jest ono zablokowane, a dysk zaszyfrowany? Wygląda na to, że atakujący potrzebuje tylko dostęp do urządzenia (na bardzo krótko), śrubokręt i dodatkowo przenośny hardware. Jednak nie dajcie się zwieść, atak ThunderSpy – którego opracowanie zajęło lata – jest naprawdę elegancki. W tym tygodniu także… Ramsey, nowe zagrożenie dla sieci izolowanych. Trafił na Ciebie ransomware? – zapłacisz dwa razy. Do tego: infostealer Astaroth, norweski Norfund traci 100 mln koron i ransomware atakuje kancelarię prawną amerykańskich celebrytów.

Na rynku cyberzagrożeń pojawił się nowy gracz. LockBit jest oferowany w modelu RaaS (Ransomware as a Service) i jest wyjątkowo szybki. Aby zaszyfrować całą firmową sieć potrzebuje zaledwie kilku godzin. W tym tygodniu również piszemy nt. botnetu Kaiji oraz nowego spyware, który ukryty w aplikacji 2FA atakuje użytkowników macOS. Znaleźliśmy także gorącą ciekawostkę [a w zasadzie przestrogę] dla fanów Tesli (i ich posiadaczy) oraz newsa, który zainteresuje fanów Anime (ach, młodość się przypomina). Zaczynamy.

Microsoft załatał nietypowy błąd w Microsoft Teams. Umożliwiał on przejęcie konta za pomocą m.in. obrazka .GIF. W tym tygodniu opisujemy również Sophos 0-day wykryty w urządzeniach z serii XG Firewall, „narodziny” nowego trojana bankowego oraz błąd, który zmienia antywirusa w samodestrukcyjne narzędzie. Mamy również dobrą wiadomość dla ofiar ransomware Shade. Jego twórcy spakowali walizki i… przepraszają za złe uczynki. Na koniec jako ciekawostkę opisujemy historię przerwanej aukcji – licytowano najdroższą kolekcję whisky na świecie.

Witajcie w ostatnim kwietniowym przeglądzie newsów IT. W sieci zadebiutowały kody CS:GO i Team Fortress 2. Valve uspokaja graczy, jednak największe serwisy zawiesiły działanie swoich serwerów i czekają na szczegółowe wyjaśnienia. Więcej na ten temat przeczytacie poniżej. W tym tygodniu także Banker.BR, czyli Twój nowy trojan bankowy, kolejna kampania Trickbot i historia hackera, który… oddał 25 mln USD. A także ESET eliminuje botnet składający się z 35 tys. komputerów oraz hacker otrzymał 1,3 mln USD od trzech firm inwestorskich.

Zaczęło się od niewinnego maila… Wiele czarnych scenariuszy inicjuje właśnie kliknięcie w załącznik przesłany mailem… który wydawał się być w porządku. W tym zestawieniu ostrzegamy was przed kampanią, w której przestępcy podszywają się pod pracowników działu HR. Dodatkowo: Google pozbył się 49 rozszerzeń dla Chrome, Microsoft Patch Tuesday z 113 łatkami, międzynarodowy koncern energetyczny padł ofiarą ransomware. Publikujemy także najnowsze ustalenia nt. xHelper. Wygląda na to, że jego ofiary będą mogły odetchnąć z ulgą. Na koniec AgentTesla otrzymał nowy moduł, który umożliwia kradzież haseł WiFi.  

Wszystko wskazuje na to, że Qbot oraz Mirai doczekały się godnego następcy. Swoją drogą, naprawdę imponującego – Dark-Nexus to najbardziej złożony botnet w historii. Przestępcy poszukują coraz bardziej innowacyjnych metod ataku. Dobrym tego przykładem jest również malware Kinsing, który stanowi zagrożenia dla klastrów Docker. W tym tygodniu piszemy także na temat aplikacji SuperVPN, której podatność umożliwia atak Man in the Middle. Dodatkowo: ponad 350 tys. serwerów Microsoft Exchange posiada krytyczną lukę, nowa taktyka twórców Raccoon, a także najnowsze kampanie COVID-19.

Wiele firm rozpoczyna dziś kolejny tydzień pracy zdalnej – w tym także Xopero. Jednak wzmożone wykorzystywanie narzędzi do komunikacji nie uszło uwadze przestępców. W ostatnim dniach m.in. wyszło na jaw, że popularna aplikacja Zoom posiada kilka poważnych problemów w zakresie bezpieczeństwa i prywatności. W tym tygodniu także: przestępcy wykorzystują bazy MS SQL do kopania kryptowalut oraz hacker z zemsty na firmie z obszaru cybersecurity czyści serwery ElasticSearch. W czasach zwiększonej liczby kampanii phishingowych przestępca żeby się dorobić, musi być naprawdę pomysłowy. Jedno z najpopularniejszych forów hackerskich na świecie zostało…zhakowane. Już po raz drugi – i oczywiście przez innych hackerów. Na koniec: również w tym tygodniu wybraliśmy najciekawsze cyber-fakty powiązane z kampaniami „na koronawirusa”.