1. Dell za\u0142ata\u0142 luk\u0119 w SupportAssist<\/h2>\n\n\n
Gigant komputerowy wyda\u0142 28 maja 2019 roku aktualizacj\u0119 likwiduj\u0105c\u0105 gro\u017an\u0105 podatno\u015b\u0107 w narz\u0119dziu SupportAssist. Komponent ten pomaga sprawdzi\u0107 stan zar\u00f3wno sprz\u0119tu jak i oprogramowania komputer\u00f3w ze znaczkiem Della. Wymaga to wysokiego poziomu uprawnie\u0144. Nadu\u017cycie tego dost\u0119pu umo\u017cliwi\u0142oby zdalne przej\u0119cie maszyn z MS Windows oraz uzyskanie dost\u0119pu do pami\u0119ci fizycznej wraz z zapisanymi tam informacjami. <\/p>\n\n\n\n
Dell odczeka\u0142 3 tygodnie z upublicznieniem informacji o luce. Tym samym da\u0142 firmie PC Doctor – tw\u00f3rcy oprogramowania – czas niezb\u0119dny do opracowania oraz wydania w\u0142asnego poradnika. <\/p>\n\n\n\n
Wed\u0142ug rzecznika producenta oko\u0142o 90% u\u017cytkownik\u00f3w, z domy\u015blnie ustawion\u0105 automatyczn\u0105 aktualizacj\u0105, jest ju\u017c odporna na t\u0119 podatno\u015b\u0107. Pozostali powinni przeprowadzi\u0107 mo\u017cliwie jak najszybciej aktualizacj\u0119 oprogramowania we w\u0142asnym zakresie.<\/p>\n\n\n\n
Aktualizacja narz\u0119dzia SupportAssist dla u\u017cytkownik\u00f3w domowych dost\u0119pna jest tutaj<\/a>, a dla u\u017cytkownik\u00f3w biznesowych tutaj<\/a>. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n W maju informowali\u015bmy o ataku, w wyniku kt\u00f3rego zaszyfrowane zosta\u0142y dane na komputerach miasta Baltimore (wi\u0119cej tutaj<\/a>). W\u0142odarze nie ugi\u0119li si\u0119 przed \u017c\u0105daniami cyberprzest\u0119pc\u00f3w i nie ui\u015bcili 100 tys. dolar\u00f3w okupu. Straty miasta spowodowane atakiem szacuje si\u0119 na 18,2 mln dolar\u00f3w. <\/p>\n\n\n\n Najnowsza ofiar\u0105 cyberprzest\u0119pc\u00f3w jest 35 tysi\u0119czne Riviera Beach na Florydzie. Urz\u0119dnicy miejscy po konsultacjach z niezale\u017cnymi ekspertami podj\u0119li decyzj\u0119 o wy\u0142\u0105czeniu serwer\u00f3w. Pr\u00f3bowano odbudowa\u0107 infrastruktur\u0119 kupuj\u0105c m.in.: nowe komputery i laptopy. Wydano na ten cel 941 tys. dolar\u00f3w, ale nie przynios\u0142o to spodziewanych rezultat\u00f3w. Po blisko 3-tygodniowych, nieudanych pr\u00f3bach przywr\u00f3cenia dzia\u0142ania zainfekowanych system\u00f3w podj\u0119to kontrowersyjn\u0105 decyzj\u0119 o zap\u0142aceniu okupu hakerom. <\/p>\n\n\n\n Rada Miasta 17 czerwca 2019 roku jednog\u0142o\u015bnie zdecydowa\u0142a o przekazaniu hakerom 65 bitcoin\u00f3w czyli r\u00f3wnowarto\u015bci blisko 600 tys. dolar\u00f3w. Okup w imieniu miasta zap\u0142aci\u0142 ubezpieczyciel, u kt\u00f3rego miasto wykupi\u0142o stosown\u0105 polis\u0119. Krok ten odradzali niezale\u017cni konsultanci, kt\u00f3rzy nie byli pewni tego, \u017ce przest\u0119pcy odszyfruj\u0105 dane po otrzymaniu p\u0142atno\u015bci. Przeciwni spe\u0142nieniu \u017c\u0105da\u0144 finansowych przest\u0119pc\u00f3w byli r\u00f3wnie\u017c przedstawiciele FBI. Zwracali oni uwag\u0119, \u017ce przypadek ten b\u0119dzie stanowi\u0142 zach\u0119t\u0119 dla innych do planowania i przeprowadzania tego typu atak\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Nowy program do kopania kryptowaluty dzi\u0119ki poleceniom cron \u201codradza si\u0119\u201d w sytuacji, gdy zostanie wykryty i usuni\u0119ty z zainfekowanego systemu.<\/p>\n\n\n\n Cryptominer pobierany i uruchamiany jest za po\u015brednictwem skryptu Bash, przy pomocy bli\u017cej nieznanej obecnie metody. Najprawdopodobniej dzi\u0119ki nieza\u0142atanej luce bezpiecze\u0144stwa, za po\u015brednictwem ataku typu brute force b\u0105d\u017a te\u017c w nast\u0119pstwie kradzie\u017cy danych uwierzytelniaj\u0105cych administratora. Z\u0142o\u015bliwy skrypt cr2.sh usuwa wszystkie konkurencyjne procesy zwi\u0105zane z wydobywaniem kryptowaluty wykryte na zainfekowanym komputerze. Nast\u0119pnie pobiera pliki cryptominera z serwera kontrolowanego przez haker\u00f3w. W nast\u0119pnej fazie infekcji, z\u0142o\u015bliwy proces za\u0142adowany do pami\u0119ci hosta usuwa \u0142adunek oraz pliki konfiguracyjne, aby ukry\u0107 swoj\u0105 obecno\u015b\u0107. <\/p>\n\n\n\n Uruchamiane co minut\u0119 zadanie cron sprawdza czy skrypt cr2.sh istnieje. Je\u015bli go jednak brakuje, pobiera go i ponownie uruchamia. W ten spos\u00f3b je\u015bli administrator wykry\u0142 i usun\u0105\u0142 z\u0142o\u015bliwy plik – program ponownie infekuje hosta.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowa z\u0142o\u015bliwa kampania wymierzona m.in. w ofiary z Polski u\u017cywa nowego wariantu konia troja\u0144skiego DanaBot, kt\u00f3ry przez swoich deweloper\u00f3w rozbudowany zosta\u0142 o modu\u0142 ransomware. <\/p>\n\n\n\n Napisany w j\u0119zyku Delphi trojan zaprojektowany zosta\u0142 pierwotnie do kradzie\u017cy danych uwierzytelniaj\u0105cych oraz innych poufnych informacji poprzez zbieranie danych z formularzy, robienie zrzut\u00f3w ekran\u00f3w, a tak\u017ce rejestrowanie naci\u015bni\u0119\u0107 klawiszy na zainfekowanych komputerach. Wykradzione dane przesy\u0142ane s\u0105 na serwer C&C cyberprzest\u0119pc\u00f3w. Pocz\u0105tkowo z\u0142o\u015bliwe oprogramowanie wykorzystywane by\u0142o jedynie do atak\u00f3w na australijskie banki. Obecnie trojan wykorzystywany jest do atakowania cel\u00f3w z niemal wszystkich region\u00f3w \u015bwiata, w tym z Polski. Ka\u017cda kampania z jego udzia\u0142em ma sw\u00f3j identyfikator komunikacji z serwerami C&C. Sugerowa\u0107 to mo\u017ce, \u017ce z\u0142o\u015bliwe oprogramowanie jest wynajmowane r\u00f3\u017cnym grupom w tzw. systemie partnerskim, zak\u0142adaj\u0105cym podzia\u0142 zysk\u00f3w z przest\u0119pczej dzia\u0142alno\u015bci. <\/p>\n\n\n\n Sposobem infekcji w dalszym ci\u0105gu pozostaje phishing. Cyberprzest\u0119pcy wysy\u0142aj\u0105 wiadomo\u015bci (w kampaniach obserwowanych w Polsce podszywaj\u0105c si\u0119 m.in: pod urz\u0105d skarbowy) zach\u0119caj\u0105c odbiorc\u00f3w do otworzenia z\u0142o\u015bliwego za\u0142\u0105cznika, kt\u00f3ry pobiera skrypt VBS dzia\u0142aj\u0105cy jak dropper DanaBota.<\/p>\n\n\n\n Modu\u0142 ransomware szyfruje pliki na dyskach lokalnych za pomoc\u0105 AES128, z wyj\u0105tkiem tych z katalogu Windows, oraz zmienia ich rozszerzenie na non. Wiadomo\u015b\u0107 HowToBackFiles.txt umieszczona jest w ka\u017cdym z katalog\u00f3w zawieraj\u0105cych zaszyfrowane pliki. Has\u0142o jest ci\u0105giem znak\u00f3w numeru seryjnego woluminu systemowego. Ka\u017cdy plik jest szyfrowany w osobnym w\u0105tku. Identyfikator ofiary pokazany w wiadomo\u015bci jest generowany z has\u0142a.<\/p>\n\n\n\n Eksperci izraelskiej firmy Check Point Software Technologies opracowali spos\u00f3b na przywr\u00f3cenie zaszyfrowanych plik\u00f3w poprzez wywo\u0142anie funkcji DecodeFile dla wszystkich zaszyfrowanych plik\u00f3w. Opracowany przez nich deszyfrator NonDecryptor dost\u0119pny jest tutaj<\/a>.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Houston mamy problem\u2026 mo\u017cna by rzec po lekturze raportu opublikowanego w zesz\u0142ym tygodniu przez Biuro Inspektora Generalnego USA. Dowiadujemy si\u0119 z niego, \u017ce z systemu komputerowego Laboratorium Nap\u0119du Odrzutowego NASA (ang. Jet Propulsion Laboratory, JPL) wykradziono 500 megabajt\u00f3w danych. Dotyczy\u0142y one m.in.: bezza\u0142ogowej misji kosmicznej na Marsa, kt\u00f3rej celem jest zbadanie \u015brodowiska Czerwonej Planety. Badanie to odbywa si\u0119 z wykorzystaniem \u0142azika Curiosity, kt\u00f3ry zbiera pr\u00f3bki do bada\u0144 z olbrzymiego krateru Gale. <\/p>\n\n\n\n Kradzie\u017c danych przy pomocy wartego 25-35 dolar\u00f3w mikrokomputera Raspberry Pi, zwanego malink\u0105 mo\u017cliwa by\u0142a za spraw\u0105 luki bezpiecze\u0144stwa w systemie sieciowym JPL. Na czym polega\u0142a ta luka? Na mo\u017cliwo\u015bci podpi\u0119cia si\u0119 do sieci bez potrzeby autoryzacji (!) Audytorzy badaj\u0105cy jak dosz\u0142o do kradzie\u017cy danych stwierdzili liczne nieprawid\u0142owo\u015bci i zaniedbania. Okaza\u0142o si\u0119 bowiem, \u017ce administratorzy system\u00f3w NASA nie przeprowadzali cyklicznej inwentaryzacji sprz\u0119tu. Nie wprowadzali danych do bazy t\u0142umacz\u0105c si\u0119 niedzia\u0142aj\u0105c\u0105 poprawnie funkcj\u0105 aktualizacji systemu. Niewystarczaj\u0105co zadbali r\u00f3wnie\u017c o separacj\u0119 r\u00f3\u017cnych element\u00f3w sieci, a tak\u017ce ze sporym op\u00f3\u017anieniem (si\u0119gaj\u0105cym nawet p\u00f3\u0142 roku) reagowali na zg\u0142oszenia dotycz\u0105ce bezpiecze\u0144stwa. Przy takiej skali zaniedba\u0144 przestaje dziwi\u0107 fakt, \u017ce w sieci pojawi\u0107 si\u0119 mog\u0142o nieautoryzowane i nie wzbudzaj\u0105ce niczyjej czujno\u015bci urz\u0105dzenie, przy pomocy kt\u00f3rego wykradano dane. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W ostatnim tygodniu cyberprzest\u0119pcy naruszyli infrastruktur\u0119 co najmniej trzech dostawc\u00f3w us\u0142ug zarz\u0105dzanych (ang. Managed Service Provider, MSP), czyli firm \u015bwiadcz\u0105cych us\u0142ugi IT i zarz\u0105dzaj\u0105cych systemami bezpiecze\u0144stwa swoich klient\u00f3w.<\/p>\n\n\n\n Hakerzy wykorzystali ods\u0142oni\u0119te RDP (Remote Desktop Endpoints), podwy\u017cszyli uprawnienia w zainfekowanych systemach oraz r\u0119cznie odinstalowywali programy antywirusowe, takie jak np. Webroot. Po wyszukaniu kont Webroot SecureAnywhere wykonali z\u0142o\u015bliwy skrypt Powershella zdalnie infekuj\u0105c stacje robocze znajduj\u0105ce si\u0119 w systemach klient\u00f3w z oprogramowaniem ransomware Sodinokibi. <\/p>\n\n\n\n W odpowiedzi na te doniesienia Webroot Software z dniem 20 czerwca wylogowa\u0142 wszystkich u\u017cytkownik\u00f3w z SecureAnywhere i dokona\u0142 aktualizacji oprogramowania tej konsoli. Co si\u0119 zmieni\u0142o? Dwusk\u0142adnikowe uwierzytelnianie (2FA) dla kont SecureAnywhere sta\u0142o si\u0119 obowi\u0105zkowe. Opcja taka by\u0142a do tej pory co prawda domy\u015blnie w\u0142\u0105czona, ale u\u017cytkownicy mogli j\u0105 wy\u0142\u0105czy\u0107\u2026 od 20 czerwca nie posiadaj\u0105 ju\u017c takiej mo\u017cliwo\u015bci.<\/p>\n\n\n\n To druga ju\u017c w tym roku fala atak\u00f3w wycelowana w MSP. Pierwsza mia\u0142a miejsce w lutym 2019 roku, kiedy grupa haker\u00f3w wykorzysta\u0142a luki bezpiecze\u0144stwa w powszechnie u\u017cywanych przez nich narz\u0119dziach, wdra\u017caj\u0105c oprogramowanie ransomware GandCrab na stacjach roboczych klient\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n 20 czerwca 2019 roku Microsoft opublikowa\u0142 zaktualizowan\u0105 wersj\u0119 Outlooka dla Androida \u0142ataj\u0105c gro\u017an\u0105 luk\u0119 bezpiecze\u0144stwa (CVE-2019-1105) w tej popularnej aplikacji pocztowej pobranej przez przesz\u0142o 100 mln u\u017cytkownik\u00f3w.<\/p>\n\n\n\n Wersje wcze\u015bniejsze ni\u017c 3.0.88 pozwalaj\u0105 cyberprzest\u0119pcom na wykonanie ataku typu cross-side-scripting (XSS). W wydanym poradniku czytamy, \u017ce ataki takie by\u0142y mo\u017cliwe, poniewa\u017c aplikacja b\u0142\u0119dnie analizowa\u0142a przychodz\u0105ce wiadomo\u015bci e-mail. Tym samym hakerzy mogli wysy\u0142a\u0107 do swoich ofiar specjalnie spreparowane wiadomo\u015bci i przy ich pomocy wykona\u0107 z\u0142o\u015bliwy kod na urz\u0105dzeniach docelowych. <\/p>\n\n\n\n Szczeg\u00f3\u0142y techniczne tej podatno\u015bci nie s\u0105 jeszcze znane. Microsoft zapewnia jednak, \u017ce nie ma na t\u0119 chwil\u0119 \u017cadnych dowod\u00f3w na wykorzystywanie luki przez haker\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Korzystacie z przegl\u0105darki Firefox? Macie najnowsz\u0105 jej wersj\u0119? Upewnijcie si\u0119 czy na pewno, gdy\u017c Mozilla aktualizowa\u0142\u0105 j\u0105 w zesz\u0142ym tygodniu\u2026 dwukrotnie.<\/p>\n\n\n\n 18 czerwca 2019 roku wydana zosta\u0142a aktualizacja do wersji Firefox 67.0.3 i Firefox ESR 60.70.1. naprawiaj\u0105ca krytyczn\u0105 luk\u0119 bezpiecze\u0144stwa (CVE-2019-11707), z kt\u00f3rej zdaniem badaczy, ju\u017c korzystali hakerzy. Podatno\u015b\u0107 ta polega\u0142a na b\u0142\u0119dnym przetwarzaniu obiekt\u00f3w JavaScript zawartych w tablicy. Odpowiednio przygotowany kod JavaScript wykorzystuj\u0105cy t\u0119 podatno\u015b\u0107 pozwala na zdalne jego wykonanie na komputerze u\u017cytkownika. Przy czym nie by\u0142a w tym celu potrzebna \u017cadna interakcja z jego strony.<\/p>\n\n\n\n 20 czerwca Mozilla udost\u0119pni\u0142a wersj\u0119 Firefoxa 67.0.4 i Firefoxa ESR 60.7.2 odporne na inn\u0105 luk\u0119 zero-day. Odkryta i wykorzystana przez cyberprzest\u0119pc\u00f3w podatno\u015b\u0107 (CVE-2019-11708) pozwala\u0142a na uruchomienie procesu poza sandboxem. Po\u0142\u0105czenie obu opisanych luk umo\u017cliwia\u0142o atakuj\u0105cym zdalne wykonanie kodu na komputerze ofiary po odwiedzeniu przez ni\u0105 z\u0142o\u015bliwej strony internetowej. <\/p>\n\n\n\n Tylko Firefox w wersji 67.0.4 lub Firefox ESR 60.7.2 odporne s\u0105 na oba opisane problemy i zabezpiecza Wasze komputery przed zakusami haker\u00f3w. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Korzystacie z przegl\u0105darki Firefox? Upewnijcie si\u0119, czy macie jej najnowsz\u0105 wersj\u0119. W tym tygodniu piszemy r\u00f3wnie\u017c o gro\u017anej podatno\u015bci w oprogramowaniu SupportAssist Dell’a, DanaBot czy luce w aplikacji Outlook dla Androida, kt\u00f3r\u0105 zainstalowano ponad 100 milion\u00f3w razy! <\/p>\n","protected":false},"author":1,"featured_media":901,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-1416","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\n![\"Chmura](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/sinersio-webinar.png\")
<\/a><\/figure><\/div>\n\n\n\n2. Riviera Beach na Florydzie p\u0142aci okup przest\u0119pcom<\/h2>\n\n\n
\nAtak zainicjowany zosta\u0142 29 maja 2019 roku, gdy pracownik departamentu policji otworzy\u0142 wiadomo\u015b\u0107 email ze z\u0142o\u015bliwym za\u0142\u0105cznikiem. Ransomware szybko rozprzestrzeni\u0142 si\u0119 w sieci miejskiej. W wyniku infekcji zablokowana zosta\u0142y witryna internetowa miasta, serwer pocztowy, system bilingowy oraz stacje pomp wodnych.<\/p>\n\n\n\n3. Cryptominer odradza si\u0119 po wykryciu i usuni\u0119ciu <\/h2>\n\n\n
![\"Xopero](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/ads-1.png\")
<\/a><\/figure><\/div>\n\n\n\n4. Ulepszony o modu\u0142 ransomware trojan DanaBot w natarciu<\/h2>\n\n\n
5. Mikrokomputer wielko\u015bci karty kredytowej pos\u0142u\u017cy\u0142 do wykradzenia danych NASA<\/h2>\n\n\n
![\"Ataki](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/06\/top-webinar-intro-1.png\")
<\/a><\/figure><\/div>\n\n\n\n6. Hakerzy atakuj\u0105 firmy zarz\u0105dzaj\u0105ce systemami bezpiecze\u0144stwa swoich klient\u00f3w<\/h2>\n\n\n
7. Podatno\u015b\u0107 w aplikacji Outlook dla Androida dotyka ponad 100 milion\u00f3w u\u017cytkownik\u00f3w<\/h2>\n\n\n
8. Mozilla zaktualizowa\u0142a Firefoxa dwukrotnie\u2026 w zesz\u0142ym tygodniu <\/h2>\n\n\n