Ubiegły tydzień pokazał, że cyberprzestępcy nie odpuszczają na żadnym z frontów cyberwojny. Przed wami informacje o potencjalnie groźnym, międzynarodowym szpiegostwie, mailowych szantażach z szyfrowaniem danych włącznie i zagrożeniu okradającym użytkowników Androida.
Backdoor inifiltruje światowe organizacje bezpieczeństwa i energii atomowej
Nowa duża kampania spamowa propaguje cyberataki wykradające wrażliwe dane rządowym organizacjom i firmom z sektorów obronności, energetyki nuklearnej i finansów. Nazwana przez ekspertów “Operacja Sharpshooter” wymierzona jest przede wszystkim w podmioty na terenie Stanów Zjednoczonych, Wielkiej Brytanii, Australii, Nowej Zelandii, Rosji oraz Indii. Wiadomo już o 87 organizacjach zainfekowanych roznoszonym przez kampanię backdoorem Rising Sun. Zagrożenie jest nowe, ale bazuje na kodzie źródłowym backdoora Trojan Duuzer z 2015 roku, wykorzystanego m.in. w głośnym ataku na firmę Sony Pictures. Mechanika ataku jest dość standardowa i wykorzystuje makra obsługiwane przez pakiet Office. Otwierając załącznik spamowej wiadomości ofiara aktywuje wirusa, który działając w tle pobiera i instaluje malware Rising Sun. Backdoor daje agresorom dostęp do zarażonych sieci, pozwalając szukać poufnych informacji – dokumentów, loginów, konfiguracji sieci i ustawień systemowych oraz przesyłać je w zaszyfrowanej formie na serwer zagrożenia. Aby zminimalizować ryzyko infekcji pamiętajmy o wyłączeniu obsługi makr przy otwieraniu pocztowych załączników.
Źródło informacji: EN
”20 tys. dolarów, albo wysadzamy Twoją firmę/ szkołę/ bank!”
Tego chyba jeszcze nie było. Cyberprzestępcy grożą wysadzeniem szkół, banków i firm, które nie zdecydują się zapłacić 20 tysięcy dolarów haraczu w krytpowalucie Bitcoin. Część szantażowanych instytucji – m.in. Infinity Ward, jeden z producentów popularnej gry Call of Duty – na wszelki wypadek wdrożył protokoły bezpieczeństwa ewakuując pracowników z zagrożonych budynków, przed którymi policja zamykała ulicę specjalnymi znakami drogowymi. Co ciekawe, w treści notki zostawianej przerażonym użytkownikom, cyberprzestępcy podkreślają, że “nie są terrorystami i nie biorą odpowiedzialności za akty terroryzmu w innych miejscach”. W śledztwo szybko włączyło się FBI. Według ustaleń agencji realnego zagrożenia atakiem bombowym nie ma, a cała akcja jest wyjątkowo perfidną próbą zmonetyzowania ludzkiego strachu. Zagrożenie operuje na razie wyłącznie na terenie Stanów Zjednoczonych i Kanady.
Źródło informacji: EN
Wirusy szantażują ofiary “kompromitującymi zdjęciami”
Kolejne próby szantażu z ubiegłego tygodnia tym razem próbują żerować na strachu przed ujawnieniem rzekomych wstydliwych aktywności użytkowników. Spamowa wiadomość maila propagująca ransomware GandCrab straszy odbiorcę domniemanym linkiem do jego kłopotliwych zdjęć. Kliknięcie w link uruchamia wirusa szyfrującego dane ofiary i żądającego 500 dolarów ich odblokowanie oraz “zachowanie milczenia” w sprawie rzekomych fotografii. Haracz może być opłacony w walucie Bitcoin lub DASH. Inny, równolegle propagowany atak, zamiast zdjęciami straszy “prezentacją video” mającą zawierać m.in. listę i zrzuty ekranu z pornograficznych stron odwiedzanych przez użytkownika oraz zdjęcia wykonane przednią kamerą jego urządzenia podczas ich przeglądania. Za nieujawnianie tych informacji, atakujący żąda 381 dolarów argumentując, że to “bardzo niewiele za czas poświęcony śledzeniu ofiary”. To zagrożenie również instaluje GandCrab, szyfrując pliki infekowanego urządzenia. Istnieje duża szansa, że będzie ono rozwijane, bo tylko w dwóch pierwszych miesiącach aktywności przyniosło swoim twórcom blisko 600 tysięcy dolarów zysku – głównie od poszkodowanych ze Stanów Zjednoczonych, Wielkiej Brytanii i krajów skandynawskich.
Źródło informacji: EN
“Optymalizator baterii” na Androida okrada konta PayPal
Dwuskładnikowa autoryzacja (2FA) dostępu do kluczowych danych jest często reklamowana jako najsilniejszy ze sposobów ich ochrony. Tymczasem nowy bankowy Trojan na Androida potrafi wykraść środki z konta PayPal, nawet zabezpieczonego 2FA. Atak przebiega w dwóch etapach. Najpierw wirus – udający narzędzie optymalizujące pracę baterii – bezpośrednio po instalacji aplikacji ukrywa swoją ikonę. Gdy użytkownik loguje się do swojego konta PayPal z aplikacji w telefonie, zagrożenie usiłuje przelać jego środki cyberprzestępcom. Równolegle wirus próbuje pozyskać dane logowania ofiary do Google Play, WhatsApp, Skype i Gmail, strasząc ją blokadą urządzenia za rzekome przeglądanie pornografii dziecięcej. Kontrolę nad urządzeniem ofiara może odzyskać wysyłając swoje dane przez phishingowy formularz, powierzając przestępcom swój login i hasło.
Źródło informacji: EN
Nowy wariant czyszczącego dyski zagrożenia Shamoon
W pierwszym udokumentowanym ataku z 2012 roku zagrożenie Shamoon usunęło dane z ponad 35 tys. komputerów firmy Saudi Aramco. W styczniu 2017 roku ponownie dało się we znaki firmom robiącym interesy na Bliskim Wschodzie. 10 grudnia 2018 r. – po niemal dwuletniej przerwie w aktywności – do sieci trafiła pochodząca z Włoch najnowsza próbka zagrożenia. Włoski koncern paliwowy Saipem przesłał ją do serwisu Virus Total, winiąc Shamoon za ostatni cyberatak, który dotknął ponad 300 firmowych serwerów na Bliskim Wschodzie, w Indiach, Szkocji i we Włoszech. W oświadczeniu firmy wydanym dwa dni po ataku znalazła się informacja, że infekcja przebiegła zgodnie z wzorem działania Shamoon, doprowadzając do usunięcia danych. Aktualnie Saipem odtwarza utracone zasoby z plików backupu.
Źródło informacji: EN
Microsoft łata luki bezpieczeństwa w Windows i Windows Media Player
Grudniowe aktualizacje systemów i aplikacji Windows przyniosły łatki dla 39 podatności w produktach Windows, Edge, Internet Explorer, ChackraCore, Office, Microsoft Office Services, Web Apps oraz .NET Framework. 10 z nich uznano za potencjalnie krytyczne, a o realnym korzystaniu z jednej przez grupy przestępcze wiadomo już na pewno. Atak wykorzystywał załatany już błąd w jądrze systemu Windows Kernel (ntoskrnl.exe), pozwalający wykonywać agresorom złośliwy kod dający dostęp do zarażonych urządzeń. Usterka była obecna niemal we wszystkich nowszych wersjach systemów Microsoftu – od Windows 8 aż po Server 2019. Najnowsza paczka poprawek zawiera też reakcję Microsoftu na załataną lukę w oprogramowaniu Adobe, o którym pisaliśmy w ubiegłym tygodniu. Czy Twoje systemy Microsoft na pewno mają najnowsze aktualizacje?
Źródło informacji: EN
Prognoza: cyberprzestępczy biznes w 2021 będzie wart już 6 bln dolarów
W 2021 roku wartość cyberprzestępczego biznesu sięgnie 6 bilionów dolarów, w zaledwie 6 lat podwajając wartość, szacowaną jeszcze w 2015 na 3 biliony. Tym sposobem phishing, ransomware, ataki DDoS, trojany bankowe i inne zagrożenia przyniosą swoim twórcom większe zyski, niż globalny handel narkotykami. A będzie o co walczyć, bo postępująca informatyzacja nieustannie rozszerza zakres potencjalnych wektorów ataku. Dla przykładu, zdaniem Microsoftu objętość danych wymagających ochrony w sieci wzrośnie między 2016 a 2020 rokiem blisko 50-krotnie. Z kolei wg szacunków Gartnera sprzedaż samych technologii typu wearable wzrośnie z 310 mln sztuk w 2017 do blisko 500 milionów już w 2021 roku. W samych Stanach Zjednoczonych cyberataki to najszybciej rosnąca – również pod kątem złożoności – statystyka kryminalna. Prognozy pochodzą z serwisu Cybersecurity Ventures, wiodącej światowej organizacji badającej tematykę bezpieczeństwa teleinformatycznego.
Źródło informacji: EN
Luka w WordPress pozwalała wyszukiwać dane użytkowników stron
WordPress wypuszcza łatkę bezpieczeństwa, aktualizując 7 podatności w wersji 5.0.1 swojego oprogramowania. Jedna z nich umożliwiała wyszukiwarkom indeksowanie adresów mailowych oraz haseł użytkowników korzystających z witryn działających na wcześniejszych wersjach softu. Zagrożenie wyciekiem prywatnych danych nie jest co prawda powszechne, bo występuje tylko przy konfiguracjach zezwalających na indeksację ekranu aktywacji użytkownika. Tym niemniej przy pomocy odpowiedniego zapytania do wyszukiwarki można było pozyskać nawet hasło administratora i w konsekwencji przejąć stronę, wykorzystując ją np. do propagowania złośliwych zagrożeń. Inny błąd dotyczył stron hostowanych na serwerach Apache i umożliwiał wgrywanie plików z pominięciem weryfikacji MIME, sprawdzającej czy rozszerzenie pliku jest zgodne z jego rzeczywistym charakterem. Paczka aktualizacji podnosi bezpieczeństwo opublikowanej 6 grudnia najnowszej wersji WordPress oznaczonej 5.0.
Źródło informacji: EN