Korzystacie z przeglądarki Firefox? Upewnijcie się, czy macie jej najnowszą wersję. W tym tygodniu piszemy również o groźnej podatności w oprogramowaniu SupportAssist Dell’a, DanaBot czy luce w aplikacji Outlook dla Androida, którą zainstalowano ponad 100 milionów razy!
1. Dell załatał lukę w SupportAssist
Gigant komputerowy wydał 28 maja 2019 roku aktualizację likwidującą groźną podatność w narzędziu SupportAssist. Komponent ten pomaga sprawdzić stan zarówno sprzętu jak i oprogramowania komputerów ze znaczkiem Della. Wymaga to wysokiego poziomu uprawnień. Nadużycie tego dostępu umożliwiłoby zdalne przejęcie maszyn z MS Windows oraz uzyskanie dostępu do pamięci fizycznej wraz z zapisanymi tam informacjami.
Dell odczekał 3 tygodnie z upublicznieniem informacji o luce. Tym samym dał firmie PC Doctor – twórcy oprogramowania – czas niezbędny do opracowania oraz wydania własnego poradnika.
Według rzecznika producenta około 90% użytkowników, z domyślnie ustawioną automatyczną aktualizacją, jest już odporna na tę podatność. Pozostali powinni przeprowadzić możliwie jak najszybciej aktualizację oprogramowania we własnym zakresie.
Aktualizacja narzędzia SupportAssist dla użytkowników domowych dostępna jest tutaj, a dla użytkowników biznesowych tutaj.
2. Riviera Beach na Florydzie płaci okup przestępcom
W maju informowaliśmy o ataku, w wyniku którego zaszyfrowane zostały dane na komputerach miasta Baltimore (więcej tutaj). Włodarze nie ugięli się przed żądaniami cyberprzestępców i nie uiścili 100 tys. dolarów okupu. Straty miasta spowodowane atakiem szacuje się na 18,2 mln dolarów.
Najnowsza ofiarą cyberprzestępców jest 35 tysięczne Riviera Beach na Florydzie.
Atak zainicjowany został 29 maja 2019 roku, gdy pracownik departamentu policji otworzył wiadomość email ze złośliwym załącznikiem. Ransomware szybko rozprzestrzenił się w sieci miejskiej. W wyniku infekcji zablokowana zostały witryna internetowa miasta, serwer pocztowy, system bilingowy oraz stacje pomp wodnych.
Urzędnicy miejscy po konsultacjach z niezależnymi ekspertami podjęli decyzję o wyłączeniu serwerów. Próbowano odbudować infrastrukturę kupując m.in.: nowe komputery i laptopy. Wydano na ten cel 941 tys. dolarów, ale nie przyniosło to spodziewanych rezultatów. Po blisko 3-tygodniowych, nieudanych próbach przywrócenia działania zainfekowanych systemów podjęto kontrowersyjną decyzję o zapłaceniu okupu hakerom.
Rada Miasta 17 czerwca 2019 roku jednogłośnie zdecydowała o przekazaniu hakerom 65 bitcoinów czyli równowartości blisko 600 tys. dolarów. Okup w imieniu miasta zapłacił ubezpieczyciel, u którego miasto wykupiło stosowną polisę. Krok ten odradzali niezależni konsultanci, którzy nie byli pewni tego, że przestępcy odszyfrują dane po otrzymaniu płatności. Przeciwni spełnieniu żądań finansowych przestępców byli również przedstawiciele FBI. Zwracali oni uwagę, że przypadek ten będzie stanowił zachętę dla innych do planowania i przeprowadzania tego typu ataków.
3. Cryptominer odradza się po wykryciu i usunięciu
Nowy program do kopania kryptowaluty dzięki poleceniom cron “odradza się” w sytuacji, gdy zostanie wykryty i usunięty z zainfekowanego systemu.
Cryptominer pobierany i uruchamiany jest za pośrednictwem skryptu Bash, przy pomocy bliżej nieznanej obecnie metody. Najprawdopodobniej dzięki niezałatanej luce bezpieczeństwa, za pośrednictwem ataku typu brute force bądź też w następstwie kradzieży danych uwierzytelniających administratora. Złośliwy skrypt cr2.sh usuwa wszystkie konkurencyjne procesy związane z wydobywaniem kryptowaluty wykryte na zainfekowanym komputerze. Następnie pobiera pliki cryptominera z serwera kontrolowanego przez hakerów. W następnej fazie infekcji, złośliwy proces załadowany do pamięci hosta usuwa ładunek oraz pliki konfiguracyjne, aby ukryć swoją obecność.
Uruchamiane co minutę zadanie cron sprawdza czy skrypt cr2.sh istnieje. Jeśli go jednak brakuje, pobiera go i ponownie uruchamia. W ten sposób jeśli administrator wykrył i usunął złośliwy plik – program ponownie infekuje hosta.
4. Ulepszony o moduł ransomware trojan DanaBot w natarciu
Nowa złośliwa kampania wymierzona m.in. w ofiary z Polski używa nowego wariantu konia trojańskiego DanaBot, który przez swoich deweloperów rozbudowany został o moduł ransomware.
Napisany w języku Delphi trojan zaprojektowany został pierwotnie do kradzieży danych uwierzytelniających oraz innych poufnych informacji poprzez zbieranie danych z formularzy, robienie zrzutów ekranów, a także rejestrowanie naciśnięć klawiszy na zainfekowanych komputerach. Wykradzione dane przesyłane są na serwer C&C cyberprzestępców. Początkowo złośliwe oprogramowanie wykorzystywane było jedynie do ataków na australijskie banki. Obecnie trojan wykorzystywany jest do atakowania celów z niemal wszystkich regionów świata, w tym z Polski. Każda kampania z jego udziałem ma swój identyfikator komunikacji z serwerami C&C. Sugerować to może, że złośliwe oprogramowanie jest wynajmowane różnym grupom w tzw. systemie partnerskim, zakładającym podział zysków z przestępczej działalności.
Sposobem infekcji w dalszym ciągu pozostaje phishing. Cyberprzestępcy wysyłają wiadomości (w kampaniach obserwowanych w Polsce podszywając się m.in: pod urząd skarbowy) zachęcając odbiorców do otworzenia złośliwego załącznika, który pobiera skrypt VBS działający jak dropper DanaBota.
Moduł ransomware szyfruje pliki na dyskach lokalnych za pomocą AES128, z wyjątkiem tych z katalogu Windows, oraz zmienia ich rozszerzenie na non. Wiadomość HowToBackFiles.txt umieszczona jest w każdym z katalogów zawierających zaszyfrowane pliki. Hasło jest ciągiem znaków numeru seryjnego woluminu systemowego. Każdy plik jest szyfrowany w osobnym wątku. Identyfikator ofiary pokazany w wiadomości jest generowany z hasła.
Eksperci izraelskiej firmy Check Point Software Technologies opracowali sposób na przywrócenie zaszyfrowanych plików poprzez wywołanie funkcji DecodeFile dla wszystkich zaszyfrowanych plików. Opracowany przez nich deszyfrator NonDecryptor dostępny jest tutaj.
5. Mikrokomputer wielkości karty kredytowej posłużył do wykradzenia danych NASA
Houston mamy problem… można by rzec po lekturze raportu opublikowanego w zeszłym tygodniu przez Biuro Inspektora Generalnego USA. Dowiadujemy się z niego, że z systemu komputerowego Laboratorium Napędu Odrzutowego NASA (ang. Jet Propulsion Laboratory, JPL) wykradziono 500 megabajtów danych. Dotyczyły one m.in.: bezzałogowej misji kosmicznej na Marsa, której celem jest zbadanie środowiska Czerwonej Planety. Badanie to odbywa się z wykorzystaniem łazika Curiosity, który zbiera próbki do badań z olbrzymiego krateru Gale.
Kradzież danych przy pomocy wartego 25-35 dolarów mikrokomputera Raspberry Pi, zwanego malinką możliwa była za sprawą luki bezpieczeństwa w systemie sieciowym JPL. Na czym polegała ta luka? Na możliwości podpięcia się do sieci bez potrzeby autoryzacji (!) Audytorzy badający jak doszło do kradzieży danych stwierdzili liczne nieprawidłowości i zaniedbania. Okazało się bowiem, że administratorzy systemów NASA nie przeprowadzali cyklicznej inwentaryzacji sprzętu. Nie wprowadzali danych do bazy tłumacząc się niedziałającą poprawnie funkcją aktualizacji systemu. Niewystarczająco zadbali również o separację różnych elementów sieci, a także ze sporym opóźnieniem (sięgającym nawet pół roku) reagowali na zgłoszenia dotyczące bezpieczeństwa. Przy takiej skali zaniedbań przestaje dziwić fakt, że w sieci pojawić się mogło nieautoryzowane i nie wzbudzające niczyjej czujności urządzenie, przy pomocy którego wykradano dane.
6. Hakerzy atakują firmy zarządzające systemami bezpieczeństwa swoich klientów
W ostatnim tygodniu cyberprzestępcy naruszyli infrastrukturę co najmniej trzech dostawców usług zarządzanych (ang. Managed Service Provider, MSP), czyli firm świadczących usługi IT i zarządzających systemami bezpieczeństwa swoich klientów.
Hakerzy wykorzystali odsłonięte RDP (Remote Desktop Endpoints), podwyższyli uprawnienia w zainfekowanych systemach oraz ręcznie odinstalowywali programy antywirusowe, takie jak np. Webroot. Po wyszukaniu kont Webroot SecureAnywhere wykonali złośliwy skrypt Powershella zdalnie infekując stacje robocze znajdujące się w systemach klientów z oprogramowaniem ransomware Sodinokibi.
W odpowiedzi na te doniesienia Webroot Software z dniem 20 czerwca wylogował wszystkich użytkowników z SecureAnywhere i dokonał aktualizacji oprogramowania tej konsoli. Co się zmieniło? Dwuskładnikowe uwierzytelnianie (2FA) dla kont SecureAnywhere stało się obowiązkowe. Opcja taka była do tej pory co prawda domyślnie włączona, ale użytkownicy mogli ją wyłączyć… od 20 czerwca nie posiadają już takiej możliwości.
To druga już w tym roku fala ataków wycelowana w MSP. Pierwsza miała miejsce w lutym 2019 roku, kiedy grupa hakerów wykorzystała luki bezpieczeństwa w powszechnie używanych przez nich narzędziach, wdrażając oprogramowanie ransomware GandCrab na stacjach roboczych klientów.
7. Podatność w aplikacji Outlook dla Androida dotyka ponad 100 milionów użytkowników
20 czerwca 2019 roku Microsoft opublikował zaktualizowaną wersję Outlooka dla Androida łatając groźną lukę bezpieczeństwa (CVE-2019-1105) w tej popularnej aplikacji pocztowej pobranej przez przeszło 100 mln użytkowników.
Wersje wcześniejsze niż 3.0.88 pozwalają cyberprzestępcom na wykonanie ataku typu cross-side-scripting (XSS). W wydanym poradniku czytamy, że ataki takie były możliwe, ponieważ aplikacja błędnie analizowała przychodzące wiadomości e-mail. Tym samym hakerzy mogli wysyłać do swoich ofiar specjalnie spreparowane wiadomości i przy ich pomocy wykonać złośliwy kod na urządzeniach docelowych.
Szczegóły techniczne tej podatności nie są jeszcze znane. Microsoft zapewnia jednak, że nie ma na tę chwilę żadnych dowodów na wykorzystywanie luki przez hakerów.
8. Mozilla zaktualizowała Firefoxa dwukrotnie… w zeszłym tygodniu
Korzystacie z przeglądarki Firefox? Macie najnowszą jej wersję? Upewnijcie się czy na pewno, gdyż Mozilla aktualizowałą ją w zeszłym tygodniu… dwukrotnie.
18 czerwca 2019 roku wydana została aktualizacja do wersji Firefox 67.0.3 i Firefox ESR 60.70.1. naprawiająca krytyczną lukę bezpieczeństwa (CVE-2019-11707), z której zdaniem badaczy, już korzystali hakerzy. Podatność ta polegała na błędnym przetwarzaniu obiektów JavaScript zawartych w tablicy. Odpowiednio przygotowany kod JavaScript wykorzystujący tę podatność pozwala na zdalne jego wykonanie na komputerze użytkownika. Przy czym nie była w tym celu potrzebna żadna interakcja z jego strony.
20 czerwca Mozilla udostępniła wersję Firefoxa 67.0.4 i Firefoxa ESR 60.7.2 odporne na inną lukę zero-day. Odkryta i wykorzystana przez cyberprzestępców podatność (CVE-2019-11708) pozwalała na uruchomienie procesu poza sandboxem. Połączenie obu opisanych luk umożliwiało atakującym zdalne wykonanie kodu na komputerze ofiary po odwiedzeniu przez nią złośliwej strony internetowej.
Tylko Firefox w wersji 67.0.4 lub Firefox ESR 60.7.2 odporne są na oba opisane problemy i zabezpiecza Wasze komputery przed zakusami hakerów.