Twój cotygodniowy przegląd newsów IT

Witajcie w 2019, który rozpoczynamy od zestawienia gorących newsów o nowych groźnych cyberatakach i lukach bezpieczeństwa, za których łatanie – jeśli dotyczą Waszych systemów – warto brać się od razu po lekturze.

1. Ransomware JungleSec atakuje przez lukę w protokole IPMI

Od początku listopada wirus atakuje serwery działające w środowiskach Windows, Linux i Mac. Za odszyfrowanie zajętych plików żąda 0,3 Bitcoina, których opłacenie niestety nie pomaga odzyskać zasobów ofiary. Zagrożenie atakuje przez niezabezpieczony protokół IPMI (Inteligentny Interfejs Zarządzania Platformami), przeznaczony do zadań serwerowych. Dzięki niemu można m.in. włączać urządzenie serwerowe, sprawdzać informacje systemowe i uzyskiwać dostęp do KVM (środowiska wirtualizacji Linux), a następnie do konsoli zdalnego dostępu. IPMI nie wymaga włączania serwera, usług sprzętu BIOS, ani systemu operacyjnego, a instalowany jest na oddzielnym sprzęcie macierzystej płyty urządzenia serwerowego. Wirus wykorzystuje m.in. często pozostawione na interfejsach domyślne hasła producenta, dlatego jeśli wasze IPMI korzystają z haseł fabrycznych, jak najprędzej ustawcie własne kombinacje. Warto też skonfigurować nasłuchiwanie IPMI wyłącznie na ruch z wewnętrznego IP, odcinając dostęp z zewnątrz.

Źródło newsa [EN]

2. 19 tysięcy modemów Orange Livebox podatnych na atak

Uwaga użytkownicy Orange Livebox ADSL! Prosta luka bezpieczeństwa w Waszych modemach daje zdalny i nieuprawniony dostęp do identyfikatora sieci (SSID) oraz hasła WiFi za pomocą prostego zapytania GET. Na komendę “/get_getnetworkconf.cgi” modem odsyła swoje dane czystym tekstem! Liczbę urządzeń zawierających podatność sprawdzono wyszukiwarką dedykowaną interfejsom IoT – Shodan.io – podając do wiadomości publicznej 19 490 zagrożonych modemów. Dodatkowo wiele z zagrożonych urządzeń wciąż korzysta z tego samego, fabrycznego loginu i hasła znacząco ułatwiają zadanie cyberprzestępcom. Zła ochrona modemów to dla nich zaproszenie do infiltracji, a następnie potencjalnego cyberataku – kradzieży danych, zaszyfrowania ich ransomware lub zupełnego wymazania firmowych zasobów. Wersje Orange Livebox dotknięte podatnością to Arcadyan ARV7519 00.96.00.96.613, 00.96.00.96.609ES, 00.96.321S i 00.96.217. Wersja odporna to 00.96.00.96.613E.

Źródło newsa [EN]

3. Wykryto pierwszy rootkit atakujący UEFI

Specjaliści bezpieczeństwa naszej partnerskiej firmy ESET namierzyli pierwszy skuteczny rootkit (narzędzie pomocne we włamaniach) napisany na bezpieczny dotąd interfejs UEFI, czyli następcę BIOS-u w nowszych komputerach osobistych. Tego rodzaju zagrożenie może długotrwale i uporczywie zakłócać pracę infekowanej maszyny, ponieważ działając w pamięci flash płyty głównej uniknie skanów antywirusowych. Kod rootkita wykonywany jest przy każdym bootowaniu, a jeszcze przed wczytaniem systemu operacyjnego i chroniących go programów, wobec czego nawet wymiana dysku twardych nie pomoże zlikwidować szkodnika. Pomoże jedynie reset pamięci flash lub zmiana płyty głównej. Co ciekawe, rootkit o nazwie LoJax wzorowany jest na legalnym programie bezpieczeństwa LoJack. Zapisywał się on w pamięci po to, by w razie utraty/kradzieży przesyłać koordynaty maszyny właścicielowi i ułatwić jej odzyskanie. Aby zmniejszyć ryzyko infekcji aktywujmy mechanizm Secure Boot i zadbajmy o aktualizację firmware UEFI naszych maszyn.

Źródło newsa [EN]

4. Oszukują użytkowników Netflixa “zawieszeniem konta”

Kolejny odcinek phishingowego serialu cyberprzestępców. Tym razem autorzy oszustwa próbują wyłudzać dane klientów portalu Netflix, strasząc ich mailowo rzekomym zawieszeniem konta. Fałszywy mail od naciągaczy sugeruje, że za blokadą usługi stoją “problemy z płatnością”. Aby ją usunąć, odbiorca ma zaktualizować ustawienia płatności przez kliknięcie w spreparowany link zawarty w wiadomości. Oszuści próbują uwiarygodnić treść maila międzynarodowym telefonem pomocy technicznej. Przedstawiciele Netflixa doskonale zdają sobie sprawę z istnienia i mechaniki podobnych ataków, dlatego zachęcają do regulowania swoich płatności i zmian ustawień zawsze poprzez wizytę na stronie portalu – nigdy przez hiperłącza wiadomości mailowych. Jak zwykle w przypadku takich ataków, lampkę bezpieczeństwa powinien nam zapalić sam fakt otrzymania niespodziewanej wiadomości, a w dalszym ciągu nawet pojedyncze literówki, nietypowe sformułowania i wywieranie presji czasowej w celu szybkiego otwarcia załącznika/linku.

Źródło newsa [EN]

5. Chmura Google “używana” do ataków na sektor finansowy

Większość systemów bezpieczeństwa w porę zablokuje zainfekowany załącznik, a nawet link do podejrzanego adresu www pod warunkiem, że jest on już skatalogowany w bazie zagrożeń rozwiązania. A jakie adresy nie trafiają do takich katalogów? Te należące do największych światowych usługodawców… lub trochę do nich podobne, jak “storage.googleapis.com”. Autorzy kampanii mailowej od sierpnia atakującej banki i instytucje finansowe podparli wiarygodność swojego podstępu prawdziwą, zaufaną usługą (tzw. reputation-jacking), z której korzystają tysiące firm na całym świecie. W ich wiadomościach znajdowały się linki do rzekomo ważnych informacji przechowywanych jako archiwa .zip i .gz w chmurze Google. W rzeczywistości zawierają one dobrze zamaskowane i złożone zagrożenia typu RAT (Remote Access Trojan). Tego rodzaju trojany dają agresorom szerokie pole manewru, umożliwiając m.in. infiltrację zaatakowanej sieci w celu przygotowania większego, profilowanego ataku mającej omijać jej zabezpieczenia.

Źródło newsa [EN]

6. FBI zamyka 15 witryn oferujących usługę ataków DDoS

W dzisiejszej sieci można zamówić wszystko, w tym na przykład atak na czyjąś witrynę. Kilka dni temu FBI przejęło 15 witryn oferujących tego typu usługi, stawiając kryminalne zarzuty trzem osobom oskarżonym o zarządzanie nimi. Zajęte strony określane mianem “booterów” za niską opłatą w Bitcoin oferowały “bootowanie” wskazanych domen, czyli wyłączanie ich z sieci atakami typu DDoS (zmasowaną liczbą zapytań o adres bądź wybrane zasoby wybranej strony wysyłanych z sieci komputerów zombie). Baza danych tylko jednego z tych serwisów – “downthem.com” – z okresu między październikiem 2014 a listopadem 2018 zawierała ponad 2 tys. subskrybentów i zlecenia ponad 200 tysięcy ataków DDoS. Oczywiście to jedynie mały wycinek procederu, którego globalna skala jest nieporównanie większa. Przed atakami DDoS warto chronić się m.in. load balancingiem rozładowującym sztuczny i problematyczny ruch na wolne zasoby sieci.

Źródło newsa [EN]

7. “Deepfake” czyli wiarygodne oszustwa jako wyzwanie bezpieczeństwa IT

“Fejki” i “fejk newsy” (czyli informacje nieprawdziwe) to coraz popularniejszy składnik informacyjnego szumu sieci. W najłagodniejszej formie przypominają artykuły pisane pod gotową tezę, w najostrzejszej całkowicie zaciemniają i zniekształcają obraz realnych procesów i wydarzeń. Niestety ich tabloidowa, często skrajna treść automatycznie przyciąga uwagę odbiorcy znudzonego suchymi komunikatami ekonomicznymi i politycznymi. Do tej pory można było je weryfikować sprawdzając w innym miejscu źródła informacji przeczytanej np. z mema promującego fałszywy cytat podparty sfabrykowaną statystyką. Wkrótce odróżnienie fałszywek może stać się trudniejsze, bo dynamiczny rozwój AI umożliwia już głęboką ingerencję nawet w skomplikowany obraz video – włącznie z podmianą twarzy i głosu mówiącego, bądź dostosowaniem ruchu warg do odpowiednio przygotowanej treści. Pamiętacie nagi spacer Cersei z “Gry o Tron” lub Baracka Obamę krytykującego Donalda Trumpa? W obu przypadkach zastosowano właśnie transfer twarzy z jego późniejszą głęboką edycję, uzyskują bardzo wiarygodny efekt. To zjawisko określono mianem “deep fake”, czyli treści, której prawdziwość wydaje się oczywista (“przecież widzę to na filmie”) i którą bardzo trudno zweryfikować. Stwarza ona szczególne zagrożenie dla bezpieczeństwa firm i organizacji, w których ofiarami np. fotorealistycznego phishingu z wykorzystaniem wizerunku prezesa mogą padać nie wyszkoleni pracownicy. Według niektórych szacunków do 2020 roku straty wywołane rosnącą złożonością i wiarygodnością “fejków” poniesie nawet 50% podmiotów.

Źródło newsa [EN]

8. Nowy wariant zagrożenia Satan szyfruje i kopie kryptowaluty Monero

Sektor finansowy wciąż pod obstrzałem cyberprzestępców. Tym razem eksperci wychwycili dwa nowe warianty zagrożenia Satan, targetowanego przeciwko instytucjom finansowym. Pierwsza wersja, wykryta na początku listopada infekuje systemy Windows i Linux, nie wyrządzając jednak żadnej szkody – wirus po prostu próbuje duplikować się na kolejne maszyny. Drugi wariant jest znacznie groźniejszy, bo dodatkowo szyfruje pliki ofiary zmieniając ich rozszerzenie na “.lucky”… i instaluje w systemie ofiary XMRig, czyli ukrytą koparkę kryptowaluty Monero. W styczniu miną dwa lata, odkąd Satan zadebiutował w sieci w modelu ransomware-as-a-service (RaaS), pozwalającym zarabiać na złośliwym szyfrowaniu nawet amatorom nie mającym wiedzy technicznej. Wykrycie wariantu wirusa doposażonego w kryptokoparkę oznacza, że jego twórcy próbują nadążać za nowszymi trendami, chociaż kopanie kryptowalut swój boom ma już chyba za sobą. Tym niemniej pamiętajmy o aktywnym antywirusie, aktualizacjach firmowych systemów i oczywiście regularnym backupie danych – tylko one uchronią nas przed skutkami ewentualnej infekcji diabelskiego wirusa.

Źródło newsa [EN]

9. Google: aktualizacja Androida znacznie zwiększa bezpieczeństwo

Lepsze szyfrowanie i bezpieczniejsza autoryzacja na urządzeniu to dwie najważniejsze poprawki ostatniej aktualizacji Androida do wersji 9 (zwanej Android Pie). Przygotowując update Google pamiętał o uszczelnieniu platformy i wzmocnieniu jej ochrony przed exploitami, sprzętowych środkach bezpieczeństwa i pogłębionej ochronie prywatności użytkowników. Nowy Android oferuje szyfrowanie pojedynczych plików ze wsparciem dla zewnętrznych nośników danych. Dostępne jest też sprzętowe szyfrowanie metadanych i nowe API ochrony biometrycznej, dzięki którym okna autoryzacji samych aplikacji będą wyglądać tak samo. Zwiększono również bezpieczeństwo obsługi kluczy prywatnych w ramach magazynu logicznego Keystore. Z kolei prywatność użytkownika chroniona będzie ograniczeniem aplikacjom dostępu do kamery, mikrofonu i innych sensorów urządzenia. Z naszego punktu widzenia przydatna wydaje się opcja szyfrowania backupu danych – telefon można zmienić, a same dane często zostają w dużej mierze te same. Szerszy opis poprawek znajdziecie w linku poniżej!

Źródło newsa [EN]