Twoja firma polega na SAP? Sprawdź więc czy jego komponenty są poprawnie skonfigurowane. Mamy też dobre wiadomości dla tych, którzy padli ofiarą NamPoHyu – kilka dni temu został wydany deszyfrator. Co jeszcze w nowej prasówce? Najlepiej przekonajcie się sami – zapraszamy do lektury.
1. Wadliwie skonfigurowany SAP zagraża 50 000 firm
Zintegrowany system informatyczny SAP zapewnia dostęp do danych ze wszystkich obszarów działania przedsiębiorstwa, co pozwala kontrolować przebieg jego procesów biznesowych. Prawidłowo skonfigurowany stanowi niezwykle użyteczne narzędzie w rękach zarządzających. Błędna konfiguracja zmienia go w groźną furtkę, przy pomocy której cyberprzestępcy uzyskać mogą dostęp do poufnych informacji.
Wrażliwe komponenty systemu to SAP Message Server oraz SAP Gateway. Oba używają listy kontroli dostępu (ACL), do określenia które adresy IP mają dostęp do serwerów aplikacji. Gdy ACL nie zostanie prawidłowo skonfigurowany, dostęp uzyskać może każdy host. Pozwala to przestępcom tworzyć nowych użytkowników z dowolnymi uprawnieniami. Dzięki temu zyskują możliwość przeglądania i modyfikowania poufnych informacji biznesowych, takich jak: dane osobowe pracowników, sprawozdania finansowe, przelewy bankowe i inne.
W 2005 roku firma SAP opublikowała notatkę bezpieczeństwa zawierającą instrukcję, jak prawidłowego ustawić należy ACL. Cztery lata później wskazówki, jak poprawnie skonfigurować SAP Gateway. W 2010 roku raz jeszcze przypomniano i podkreślono znaczenie prawidłowej konfiguracji ACL. Pomimo tych działań, w dalszym ciągu wiele organizacji nie przeprowadziło właściwej instalacji.
Zagrożonych nadużyciem jest nawet 50 000 firm i instytucji oraz blisko milion systemów. (!) Ryzyko ataków na nie znacząco wzrosło po przedstawieniu przez naukowców sposobów wykorzystania starych problemów w konfiguracji systemu SAP. Sposoby te omówione zostały w trakcie konferencji poświęconej cyberbezpieczeństwu, która odbyła się w kwietniu 2019 roku w Dubaju.
2. Kradzież 1,1 mln danych osób ubiegających się o stypendia
16 marca 2019 r. hakerzy uzyskali nieautoryzowany dostęp do bazy danych Unified Student Financial Assistance System for Tertiary Education (UNIFAST) w Stanach Zjednoczonych.
Incydent dotknął 1 130 899 osób ubiegających się o przyznanie dotacji na naukę w państwowych szkołach wyższych oraz uniwersytetach. W roku akademickim 2018/2019 stypendia przyznano łącznie 300 000 studentów. Świadczenia wahały się od 40 000 do 60 000 dolarów rocznie i przeznaczone mogły zostać na pokrycie kosztów czesnego, zakup podręczników, zwrot kosztów dojazdów, zakwaterowania oraz wyżywienia. Nie może więc dziwić tak duża skala zainteresowania dotacjami.
Zhakowana przez przestępców baza zawiera dane osobowe wnioskodawców ubiegających się o przyznanie stypendiów, takie jak: numery identyfikacyjne, ich imiona, nazwiska, daty urodzenia, nazwiska rodziców oraz adresy zamieszkania.
Cyberprzestępcy usunęli zawartość bazy oraz przedstawili władzom federalnym żądania okupu grożąc opublikowaniem wykradzionych informacji. Kwota roszczeń finansowych oraz stanowisko władz nie są na chwilę obecną znane.
3. Nowy trojan Qakbot unika wykrycia
Trojan bankowy Qakbot, znany również jako Qbot – o którego ostatniej kampanii informowaliśmy tutaj – w dalszym ciągu pozostaje aktywny. Jego twórcy opracowali nowe kombinacje techniki zaciemniania i trwałości, które utrudniają wykrycie i usunięcie najnowszej wersji trojana przez programy antywirusowe.
Złośliwy program pobrany i zapisywany zostaje w dwóch oddzielnych plikach. Dane w nich zawarte są szyfrowane przy pomocy kodu zawartego w programie do pobrania JavaScriptu i ponownie składane w całość przy pomocy polecenia Type. To nie jedyna zmiana, bowiem ciąg komentarzy “CHANGES 15.03.19 ” w złośliwym narzędziu do pobierania kodu JavaScript sugeruje, że 15 marca 2019 roku do kodu Qakbota wprowadzone zostały aktualizacje.
Zmiany w mechanizmie trwałości trojana zbiegły się z rozpoczęciem nowej kampanii złośliwego oprogramowania. Wzrost liczby żądań z przejętych domen zaobserwowano 2 kwietnia 2019 roku, a poprzedzające je zmiany DNS miały miejsce 19 marca 2019 r.
4. Darkweb stracił jeden ze swoich rynków
Niemiecka policja zamknęła „Wall Street Market” – jeden z największych nielegalnych rynków internetowych na świecie. W operacji brały udział Europol, policja holenderska oraz FBI. W wyniku wspólnej akcji organów ścigania zamknięta została nielegalna platforma umożliwiająca handel narkotykami, skradzionymi danymi, fałszywymi dokumentami oraz złośliwym oprogramowaniem. Wall Street Market miał ponad milion kont klientów, 5.000 zarejestrowanych sprzedawców oraz 60.000 ofert sprzedaży. Strona dostępna była za pośrednictwem szyfrowanej sieci Tor, która zapobiega analizie ruchu sieciowego, co zapewnia użytkownikom anonimowy dostęp do zasobów Internetu. Transakcje zawierane na rynku finalizowane były przy użyciu kryptowalut Bitcoin i Monero.
23 i 24 kwietnia niemiecka policja aresztowała na terenie swojego kraju trzech operatorów tej nielegalnej platformy. Podejrzani w wieku od 22 do 31 lat pobierali od każdej zrealizowanej transakcji prowizję w wysokości od dwóch do sześciu procent wartości sprzedaży. Policja zajęła serwery, kryptowaluty, 550.000 euro w gotówce oraz pojazdy i broń należące do przestępców.
W ramach tej samej akcji w Los Angeles w Stanach Zjednoczonych aresztowano dwóch największych sprzedawców narkotyków działających na Wall Street Market. FBI przejęła należącą do nich nielegalną broń oraz kilka milionów dolarów w gotówce. Sprawa jest rozwojowa. Śledztwo trwa.
5. Deszyfrator NamPoHyu już działa
Przed dwoma tygodniami informowaliśmy o pojawieniu się nowatorskiego wirusa ransomware o nazwie NamPoHyu. Złośliwy program wyszukiwał dostępne serwery Samby, przy pomocy ataków brute-force wymuszał hasła i uruchomiony lokalnie szyfrował zdalnie pliki dostępne na serwerach. Więcej tutaj.
Dla osób oraz firm, które padły ofiarą cyberprzestępców i nie zdążyły wpłacić okupu (wynoszącego 250 dolarów amerykańskich dla użytkowników indywidualnych oraz 1000 dla przedsiębiorców) mamy dobrą wiadomość. Dzięki deszyfratorowi mogą odzyskać swoje pliki za darmo.
Program opracowany został przez austriackie przedsiębiorstwo Emsisoft. Firma współtworzy projekt NoMoreRansom, którego pomysłodawcami są Europol, holenderska policja, firma Intel Security (obecnie McAfee) oraz Kaspersky Lab. Do inicjatywy przystąpiło wiele przedsiębiorstw oraz podmiotów publicznych m.in.: ESET, Bitdefender, AON, centra ds. walki z cyberprzestępczością, organy ścigania wielu państw, w tym FBI. W ramach NoMoreRansom opracowanych i wydanych zostało już blisko 100 deszyfratorów różnego rodzaju programów ransomware.
Twórcy NamPoHyu nie są z takiego obrotu sprawy (czytaj ukrócenia ich przestępczego procederu) zadowoleni. Grożą zmianą algorytmu szyfrowania oraz podwojeniem kwoty okupu żądanego za odszyfrowanie plików.
Rywalizacja między cyberprzestępcami oraz sygnatariuszami projektu NoMoreRansom trwa w najlepsze… oby z jak najlepszymi rezultatami dla nas.
6. Krytyczna podatność w centrum danych Nexus 9000
Sprzęt sieciowy amerykańskiego potentata Cisco z serii Nexus 9000 ma wpisane do kodu źródłowego oprogramowania klucze Secure Shell. Kiedy urządzenie działa w trybie Application Centric Infrastructure (ACI) poprzez IPv6, napastnik może uzyskać dostęp do roota.
1, 2 oraz 3 maja 2019 roku producent wydał aż 43 poprawki bezpieczeństwa. Wpływ 23 z nich uznany został za wysoce dotkliwy, jednej – przez nas opisanej – za krytyczny, a pozostałych 19 sklasyfikowanych zostało jako umiarkowane groźny. Lista wszystkich podatności tutaj.
Najgroźniejsza z luk bezpieczeństwa występuje w przełącznikach Fabric z serii Nexus 9000, w trybie ACI, z oprogramowaniem Cisco NX-OS w wersji wcześniejszej niż 14.1 (1i). Producent zaleca użytkownikom aktualizację oprogramowania do najnowszej jego wersji.
7. CityComp nie przystał na żądanie okupu
Niemiecka firma działająca w branży usług informatycznych padła ofiarą cyberprzestępców, którzy włamali się do jej sieci komputerowej. CityComp Service GmbH obsługuje klientów korporacyjnych w 75 krajach na świecie. Utrzymuje 70 000 serwerów i systemów pamięci masowej oraz 500 000 urządzeń, od komputerów poprzez drukarki, na kasach fiskalnych kończąc. Wśród jej klientów znajdują się powszechnie znane marki jak: Airbus, British Telecom, Ericsson, Hugo Boss, Leica, New Yorker, Oracle, Porsche, UniCredit, czy Toshiba.
Hakerzy wykradli z systemu firmy 516 GB danych na temat jej klientów. Wśród nich znajdowało się łącznie 312 570 plików skatalogowanych w 51 025 folderach. W posiadaniu przestępców znalazły się notatki ze spotkań, wykazy sprzętu IT (modele, numery seryjne, specyfikacje), jak również dane kontaktowe.
Cyberprzestępcy postawili niemieckiej firmie IT ultimatum żądając zapłaty okupu w wysokości 5 000 dolarów amerykańskich. W przeciwnym razie zagrozili udostępnieniem wykradzionych danych na forach Darkwebu.
Firma po poinformowaniu o ataku swoich klientów nie przystała na żądania, w efekcie czego wykradzione dane wyciekły do sieci.
8. Fałszywe numery telefonów do działów obsługi PayPal, Amazon oraz eBay
Cyberprzestępcy przy wykorzystaniu strony z wynikami wyszukiwania Google’a w urządzeniach mobilnych starali się skierować użytkowników na fałszywe strony z nieprawdziwymi numerami infolinii wsparcia technicznego oraz działu obsługi klienta trzech popularnych firm: PayPal, Amazon oraz eBay.
Ofiary oszustwa dzwoniąc pod te numery były profesjonalnie witane przez rzekomych pracowników działu firmy. Po wygłoszeniu kilku standardowych formułek powitania informowane były o pojawieniu się problemu z ich kontem, który łatwo można było rozwiązać. Co trzeba było zrobić? Wystarczyło kupić i przesłać kod karty Google Play. Pieniądze zapłacone za kartę zgodnie z zapewnieniami pracownika miały zostać przez firmę zwrócone… co rzecz jasna nigdy nie nastąpiło.
Google powiadomiony o tym przestępczym procederze, usunął fałszywe strony z wynikami wyszukiwania – nie są już widoczne.