Przygotowując obecne wydanie Centrum Bezpieczeństwa, nikt z nas nie sądził że nowa kampania, której celem są urządzenia QNAP NAS, eskaluje na taką skalę. W ciągu zaledwie pięciu dni napastnicy wykorzystując ransomware Qlocker i program do archiwizacji 7zip zdalnie zaszyfrowali tysiące serwerów QNAP NAS z całego świata. Jak tego dokonali? Atakujący skanowali sieć w poszukiwaniu urządzeń, które posiadały jeszcze niezałatane nowe luki w zabezpieczeniach. Podatności o których mowa ujawniono dopiero przed kilkoma dniami. Więcej informacji na ich temat znajdziecie w artykule poniżej.
Miejcie na uwadze, że kampania ransomware Qlocker wciąż trwa. Wszyscy użytkownicy urządzeń QNAP powinni jak najszybciej zaktualizować aplikacje Multimedia Console, Media Streaming Add-on i Hybrid Backup Sync do najnowszych wersji.
Natywna aplikacja QNAP służąca do backupu i DR z kontem backdoor – uważaj na ransomware Qlocker
Firma QNAP usunęła krytyczną lukę w zabezpieczeniach, umożliwiającą atakującym logowanie się do urządzeń QNAP NAS przy użyciu zakodowanych na stałe poświadczeń. Luka w zabezpieczeniach, oznaczona jako CVE-2021-28799, została wykryta w HBS 3 Hybrid Backup Sync – natywnym rozwiązaniu firmy do odzyskiwania danych po awarii.
Jak uniknąć potencjalnego ataku Qlocker? QNAP radzi swoim klientom, aby zaktualizowali oprogramowanie do najnowszych wydanej wersji:
QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 i późniejsze,
QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 i późniejsze,
QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 i późniejsze,
QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 i późniejsze.
Aby zabezpieczyć swoje urządzenie, należy zalogować się do QTS lub QuTS hero z uprawnieniami administratora. Następnie wejść do App Center, wyszukać aplikację „HBS 3 Hybrid Backup Sync” i z poziomu jej karty przejść do aktualizacji rozwiązania.
QNAP ostatnią aktualizacją zabezpieczył NASy jeszcze przed innymi potencjalnymi atakami. Użytkownicy otrzymali łatki uniemożliwiające przeprowadzenie ataku na HBS z wykorzystaniem techniki command injection. Naprawiono również kolejny błąd umożliwiający wstrzykiwania poleceń w QTS i QuTS hero (CVE-2020-2509) oraz lukę w zabezpieczeniach SQL Injection w narzędziu Multimedia Console and the Media Streaming Add-On (CVE-2020-36195).
Nie zwlekaj z aktualizacją – ransomware Qlocker zaatakował już tysiące urządzeń QNAP!
Serwery NAS to atrakcyjne cele ataku. Krytyczne błędy, takie jak te opisane powyżej, pozwalają atakującym przejąć urządzenia i – w niektórych przypadkach – wdrożyć oprogramowanie ransomware w… dobrze znanym celu.
Na użytkowników NASów firmy QNAP zęby ostrzą sobie w tym momencie operatorzy dwóch zagrożeń – Qlocker i eCh0raix. Przestępcy szyfrują dane i żądają okupu w celu przywrócenia do nich dostępu. Zagrożenia zwykle ukrywają swoją złośliwą aktywność w ramach zwykłego ruchu, stąd trudność we wczesnym ich wykryciu.
Co powinien zrobić użytkownik?
Producent doradza swoim klientom zweryfikowanie następujących rzeczy:
Nadanie nowych haseł dla wszystkich kont na urządzeniu
Wykasowanie niezidentyfikowanych kont użytkowników
Zweryfikowanie stanu oprogramowania na urządzeniu – w razie konieczności zaktualizowanie ich do najnowszej wersji
Usunięcie nieznanych lub nieużywanych aplikacji z urządzenia
Instalacja z App Center aplikacji QNAP MalwareRemover
Ustaw listy kontroli dostępu do urządzenia (Control panel -> Security -> Security level)
Setki sieci zhakowanych w wyniku ataku na łańcuch dostaw Codecov. Wśród klientów są IBM, Atlassian, P&G i 29K więcej…
Hack SolarWinds zbiera swoje żniwo… powiązano z nim ostatni atak na łańcuch dostaw Codecov, który pozostawał niewykryty przez ponad 2 miesiące. Badacze zdiagnozowali, że w wyniku incydentu włamano się do setek sieci klientów, co rozszerza zakres poza systemy Codecov.
Codecov to internetowa platforma do testowania oprogramowania, którą można zintegrować z projektami GitHub w celu generowania raportów i statystyk. Używana przez ponad 29 tysięcy klientów. Wliczając tak prominentne firmy jak GoDaddy, Atlassian, IBM, The Washington Post, Procter & Gamble (P&G) czy Hewlett Packard Enterprise (HPE).
Przestępcy uzyskali dane uwierzytelniające Codecov z ich wadliwego obrazu Dockera. Następnie wykorzystali je do podmiany skryptu Bash Uploader firmy Codecov, używanego przez klientów. Zamieniając adres IP Codecov na własny w skrypcie Bash Uploader, atakujący utorowali sobie drogę do cichego zbierania danych uwierzytelniających klientów. Takich jak klucze API, tokeny i wszelkie zmienne środowiskowe wykorzystywane w praktyce ciągłej integracji (CI).
Incydent zwrócił uwagę amerykańskich śledczych federalnych. Według nich, atakujący wdrożyli automatyzację, która pozwoliła im wykorzystać zebrane dane uwierzytelniające klientów Codecov, aby włamać się do sieci setek klientów.
Firma dowiedziała się o tej złośliwej aktywności po tym, jak klient zauważył rozbieżność między hashem (shashum) skryptu Bash Uploader hostowanego w domenie Codecov a prawidłowym hashem wymienionym na firmowym GitHubie.
Zdaniem badaczy, nadużywając danych uwierzytelniających klientów zebranych za pomocą skryptu Bash Uploader, hakerzy mogą potencjalnie uzyskać dane uwierzytelniające dla tysięcy innych zastrzeżonych systemów.
Klienci Codecov, którzy w dowolnym momencie korzystali z uploader’ów firmy (Codecov-actions uploader dla Github, Codecov CircleCl Orb lub Codecov Bitrise Step), powinni zresetować dane uwierzytelniające i klucze, które mogły zostać ujawnione w wyniku ataku. Powinni również przeprowadzić audyt swoich systemów pod kątem wszelkich oznak złośliwej aktywności.
Botnet Prometei wykorzystuje nowe podatności w Microsoft Exchange Server
Te same poważne błędy mogą posłużyć do realizacji bardzo różnych celów. Na przykład, operatorzy botnetu Prometei wykorzystują obecnie luki w zabezpieczeniach Microsoft Exchange Server (CVE-2021-27065 i CVE-2021-26858, przecztacie o nich tutaj) w celu penetracji sieci i instalowania złośliwego oprogramowania.
Botnet Prometei, odkryty w lipcu 2020 r., stanowił dotąd największe zagrożenie dla sektorów finansowego, produkcyjnego i turystycznego. Operatorzy byli głównie zainteresowani zarabianiem pieniędzy (kopaniem kryptowalut) – w przeciwieństwie do przeprowadzania ataku DDoS lub wdrażania oprogramowania ransomware. Tym razem nie jest inaczej.
Ataki nie są ukierunkowane, co czyni je jeszcze bardziej niebezpiecznymi. Cyberprzestępcy atakują organizacje wieloetapowo. Celem jest kradzież mocy obliczeniowej w celu wydobywania bitcoinów. Przestępcy są również w stanie wydobywać poufne informacje – ale nie jest to ich podstawowy cel.
Głównym zadaniem Prometei jest zainstalowanie komponentu górnika Monero na jak największej liczbie urządzeń końcowych. Aby to zrobić, Prometei musi rozprzestrzeniać się w sieci. Do tego wykorzystuje on kilka technik, takich jak znane exploity EternalBlue i BlueKeep, zbieranie danych uwierzytelniających, wykorzystywanie exploitów SMB i RDP oraz innych komponentów, takich jak klient SSH, czy SQL spreader. Do tego licznego już arsenału doszły teraz również Atakujący niedawno odkryte luki w serwerze Microsoft Exchange. Dzięki temu atakujący mogą również wykonywać kod zdalnie.
Jeśli chcecie dowiedzieć się więcej na temat samej kampanii, szczegółowa analiza znajdziecie na stronie Cybereason.
Hakerzy podszywając się pod pracowników zdalnych wykorzystali VPN do dystrybucji SUPERNOVA malware
Członkowie grupy APT (ang. Advanced Persistent Threats), udając pracowników zdalnych i posiadając legalne dane uwierzytelniające, uzyskali dostęp do sieci organizacji w USA umieszczając backdoor o nazwie Supernova na serwerze SolarWinds Orion w celu przeprowadzania rekonesansu, mapowania domen i kradzieży danych.
Atakujący mieli dostęp do sieci przez prawie rok, od marca 2020 r. do lutego 2021 r. poinformowała CISA – amerykańska agencja ds. cyberbezpieczeństwa w raporcie podsumowującym wyniki dochodzenia.
Jak dotąd atak Supernova nie został przypisany do żadnej konkretnej grupy ani kraju.
Według CISA, atakujący połaczyli się z siecią atakowanej firmy za pośrednictwem urządzenia Pulse Secure Virtual Private Network (VPN). Aby uzyskać dostęp wykorzystali trzy adresy IP. Uwierzytelnili się przy użyciu ważnych kont użytkowników, z których żadne nie było chronione przez uwierzytelnianie wieloskładnikowe. CISA stwierdziła, że nie była w stanie określić, w jaki sposób osoby atakujące uzyskały poświadczenia. Dostęp do sieci VPN umożliwiał im podszywanie się pod prawowitych zdalnych pracowników organizacji.
Gdy napastnicy uzyskali wstępny dostęp do sieci ofiary, przenieśli się z niej na serwer SolarWinds Orion i zainstalowali na nim Supernova, powłokę .Net Web.
Kampania Supernova była silnie ukierunkowana i wydaje się, że wpłynęła tylko na bardzo niewielką liczbę organizacji. Jednak jest to przykład tego, że cyberprzestępcy nieustannie szukają luk w zabezpieczeniach, które mogą wykorzystać w celu uzyskania dostępu do sieci.