1. Dane i odpowiedzialno\u015b\u0107 IT musz\u0105 i\u015b\u0107 w parze, czyli case Ekwador<\/h2>\n\n\n
Najwi\u0119ksza IT-wpadka tygodnia. Bo jak inaczej nazwa\u0107 to do czego dosz\u0142o w Ekwadorze? Dane nt. prawie ca\u0142ej populacji tego niespe\u0142na 17 mln kraju by\u0142y dost\u0119pne online\u2026 Przez jak d\u0142ugi czas? Tego jeszcze nie wiadomo.<\/p>\n\n\n\n
Specjali\u015bci z vpnMentor niespe\u0142na trzy tygodnie temu natrafili na co\u015b niebywa\u0142ego – baz\u0119 Elasticsearch zawieraj\u0105c\u0105 20.8 mln danych nt. obywateli Ekwadoru. Nie, nie mamy do czynienia z b\u0142\u0119dem matematycznym. Rekord\u00f3w by\u0142o wi\u0119cej ni\u017c obywateli kraju. Niekt\u00f3re z nich zosta\u0142y zduplikowane\u2026 Baza zawiera\u0142a r\u00f3wnie\u017c informacje o osobach ju\u017c nie\u017cyj\u0105cych.<\/p>\n\n\n\n
Analiza odkrytych zasob\u00f3w pokaza\u0142a, \u017ce pochodzi\u0142y one z r\u00f3\u017cnych \u017ar\u00f3de\u0142. Wiadomo, \u017ce baza zawiera\u0142a informacje takie jak imiona i nazwiska obywateli, p\u0142e\u0107, dat\u0119 i miejsce urodzenia, informacje o cz\u0142onkach rodziny, stan cywilny, odpowiednik naszego numeru PESEL, adresy zamieszkania, numery telefonu, informacje nt. zatrudnienia, wykszta\u0142cenie. <\/p>\n\n\n\n
To jeszcze nie koniec<\/strong><\/p>\n\n\n\n Specjali\u015bci natrafili r\u00f3wnie\u017c na index z rekordami zaci\u0105gni\u0119tymi z BIESS, czyli Banco del Instituto Ecuatoriano de Seguridad Social. Do ju\u017c i tak obszernej liczby informacji jaki wyciek\u0142y nale\u017cy wi\u0119c doda\u0107 dane finansowe: stausy kont, saldo, typy kredyt\u00f3w, informacje nt. posiadacza konta – w tym informacje o zatrudnieniu. <\/p>\n\n\n\n Na tym r\u00f3wnie\u017c nie koniec<\/strong><\/p>\n\n\n\n Jest jeszcze indeks z rekordami nale\u017c\u0105cymi do AEADE – Asociaci\u00f3n de Empresas Automotrices del Ecuador. Tutaj wyciek\u0142y tylko dane w\u0142a\u015bcicieli samochod\u00f3w. Co dok\u0142adnie? Modele oraz numery rejestracyjne. <\/p>\n\n\n\n Podsumowuj\u0105c: 7 mln rekord\u00f3w finansowych i 2.5 mln rekord\u00f3w zawieraj\u0105cych dane o samochodach i ich w\u0142a\u015bcicielach. <\/p>\n\n\n\n Ekwador ma nie lada problem. 1) Ogromna liczba ludzi jest nara\u017cona na wszelkiego typu oszustwa. 2) Przest\u0119pcy mog\u0105 obra\u0107 sobie za cel bogatych obywateli. Dzi\u0119ki danym wiedz\u0105 gdzie mieszkaj\u0105, jakie posiadaj\u0105 samochody, czy maj\u0105 dzieci. Kradzie\u017c, porwania, wy\u0142udzenia – \u0142atwe jak nigdy wcze\u015bniej.<\/p>\n\n\n \u0179r\u00f3d\u0142em wycieku okaza\u0142a si\u0119\u2026 lokalna firma \u015bwiadcz\u0105ca us\u0142ug z zakresu szeroko poj\u0119tej analizy rynku. W\u0142a\u015bciciel Novaestrat zosta\u0142 aresztowany w zesz\u0142\u0105 \u015brod\u0119. Nie zmieni to jednak faktu, \u017ce do sieci trafi\u0142o 18 GB danych, kt\u00f3re w niepowo\u0142anych r\u0119kach, wyrz\u0105dz\u0105 ogromne szkody wielu ludziom. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Eksperci z grupy Cisco Talos odkryli podatno\u015b\u0107 w sterowniku AMD ATI Radeon, kt\u00f3ra mog\u0142aby pos\u0142u\u017cy\u0107 do ucieczki z maszyny wirtualnej i wykonywania kodu bezpo\u015brednio na ho\u015bcie.<\/p>\n\n\n\n Podatno\u015b\u0107 dotyczy sterownika kart graficznych AMD Radeon RX 550 i serii 550 Dok\u0142adnie chodzi o ATIDXX64.DLL w dw\u00f3ch wersjach – 25.20.15031.5004 oraz 25.20.15031.9002. Co nam grozi? Je\u015bli z\u0142o\u015bliwy skrypt zostanie wykonany wewn\u0105trz maszyny VMware mo\u017ce on popsu\u0107 pami\u0119\u0107 i w ten spos\u00f3b umo\u017cliwi\u0107 atakuj\u0105cemu zdalne wykonanie kodu na maszynie hostuj\u0105cej maszyn\u0119 wirtualn\u0105.<\/p>\n\n\n\n Zesp\u00f3\u0142 specjalist\u00f3w z Talos zg\u0142osi\u0142 swoje odkrycie firmie AMD na pocz\u0105tku maja. W tym tygodniu vendor udost\u0119pni\u0142 aktualizacj\u0119 sterownika. Eksperci wydali r\u00f3wnie\u017c regu\u0142\u0119 SNORT, kt\u00f3ra umo\u017cliwia ustalenie czy ma miejsce opisany wy\u017cej atak: 49978, 49979.<\/p>\n\n\n\n \u2026tak, to by\u0142 ten pozytywny przyk\u0142ad ukazuj\u0105cy odpowiedzialno\u015b\u0107 w IT. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nie przepadamy za reklamami. Ponad 600 mln u\u017cytkownik\u00f3w przegl\u0105da sie\u0107 z w\u0142\u0105czonym ad blocker\u2019em. Nie da si\u0119 ukry\u0107, \u017ce takie wtyczki chroni\u0105 nas r\u00f3wnie\u017c przed niekt\u00f3rymi z cyberzagro\u017ce\u0144. Z\u0142o\u015bliwe i niebezpieczne reklamy przekierowuj\u0105ce na r\u00f3wnie z\u0142o\u015bliwe i niebezpieczne strony? Zablokowane! <\/p>\n\n\n\n Ale 600 mln to spora suma\u2026 tzn. liczba. Wiedz\u0105 o tym oszu\u015bci, dlatego cz\u0119sto wykorzystuj\u0105 programy typu ad blocker do zbierania dodatkowych profit\u00f3w. Tym razem oszu\u015bci obrali sobie za cel u\u017cytkownik\u00f3w Chrome.<\/p>\n\n\n\n Pocz\u0105tkowo tak spreparowana wtyczka robi to, na co wskazuje jej nazwa – blokuje reklamy. Nic w tym dziwnego. Mamy w ko\u0144cu do czynienia z kopi\u0105 opart\u0105 na kodzie oryginalnego \u201cAdBlock\u2019a\u201d. Jednak 55 godzin po instalacji zaczyna ona robi\u0107 co\u015b jeszcze. <\/p>\n\n\n\n Trafiasz na stron\u0119 produkt-a.com – okazuje si\u0119, \u017ce jest ona cz\u0119\u015bci\u0105 programu afiliacyjnego producenta A. W odpowiedzi Twoja przegl\u0105darka otrzymuje specjalny \u201cafiliacyjny\u201d plik cookie. Je\u015bli dokonasz zakupu poprzez w\u0142a\u015bnie t\u0119 witryn\u0119, tw\u00f3rca wtyczki otrzyma prowizj\u0119 od wspomnianego producenta. <\/p>\n\n\n\n Znamy winnych<\/strong><\/p>\n\n\n\n Korzystasz z ad blockera? Zainstalowa\u0142e\u015b\/a\u015b jeden z najpopularniejszych dodatk\u00f3w, z szeregiem pozytywnych opinii i ocen\u0105 4,5-5 gwiazdek? M\u00f3wi\u0105 Ci co\u015b nazwy \u201cAdBlock\u201d dodany przez \u201cAdBlock, Inc\u201d oraz \u201cuBlock\u201d autorstwa \u201cCharlie Lee\u201d? To Twoja wtyczka? W takim razie lepiej jak najpr\u0119dzej j\u0105 odinstaluj. <\/p>\n\n\n\n 18 sierpnia obie wtyczki usuni\u0119to z centrum dodatk\u00f3w Chrome. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Po tym jak w sierpniu serwery C&C Emotet ponownie si\u0119 uaktywni\u0142y, wszyscy czekali\u015bmy na moment, gdy botnet zacznie rozsy\u0142a\u0107 kolejny spam. Tak te\u017c si\u0119 sta\u0142o. Specjali\u015bci natrafili na pierwsze maile w zesz\u0142y poniedzia\u0142ek. Wiadomo\u015bci phishingowe rozes\u0142ano dot\u0105d w czterech j\u0119zykach: niemieckim, polskim, w\u0142oskim oraz angielskim (ale te ostatnie znacznie p\u00f3\u017aniej). <\/p>\n\n\n\n Tw\u00f3rcy Emotet pos\u0142uguj\u0105 si\u0119 interesuj\u0105cymi metodami. Przyjrzyjmy si\u0119 kilku z nich. Jedn\u0105 z nich jest wykorzystywanie starych w\u0105tk\u00f3w wiadomo\u015bci mail. Poniewa\u017c mail zawiera cytowan\u0105 tre\u015b\u0107 innej wiadomo\u015bci, na kt\u00f3r\u0105 nadawca ma w teorii odpowiedzie\u0107, s\u0105 du\u017co szanse na to, \u017ce filtry antyspamowe j\u0105 przepuszcz\u0105. W ten spos\u00f3b atakuj\u0105cy unikaj\u0105 tak\u017ce wykrycia przez tzw. spam traps. Wy\u0142apanie rozes\u0142anej kampanii przez takie pu\u0142apki szybko skutkuje jej zablokowaniem. Dlatego wiele z obecnie aktywnych kampanii spamerskich jest rozsy\u0142ana w du\u017co mniejszych ilo\u015bciach. Z\u0142o\u015bliwe kampanie spamowe maj\u0105 znacznie wy\u017csze wsp\u00f3\u0142czynniki dostarczania ni\u017c zwyk\u0142y spam. Czasem nawet dziesi\u0119\u0107 procent maili przenika przez pierwsz\u0105 warstw\u0119 obrony.<\/p>\n\n\n\n Atakuj\u0105cy wykorzystuj\u0105 te\u017c socjotechniki – zwracaj\u0105 si\u0119 do odbiorcy po imieniu, w\u0142\u0105czaj\u0105 do tre\u015bci zwroty takie jak \u201cW za\u0142\u0105czniku przesy\u0142am zedytowan\u0105 wersj\u0119 dokumentu\u201d itp. <\/p>\n\n\n\n Emotet rozsy\u0142a wiadomo\u015bci poprzez przej\u0119te ale nadal posiadaj\u0105ce pozytywn\u0105 opini\u0119 serwery pocztowe. Takie adresy IP nie b\u0119d\u0105 wi\u0119c prawdopodobnie uj\u0119te na \u017cadnych oficjalnych listach.<\/p>\n\n\n\n W momencie gdy ofiara klika w za\u0142\u0105cznik, malware atakuje. Uruchomione makro pobiera nast\u0119pnie Emotet z jednej z zainfekowanych stron, cz\u0119sto dzia\u0142aj\u0105cych w oparciu o WordPress. Wykryto tak\u017ce alternatywn\u0105 technik\u0119 pobierania programu – poprzez skrypt downloader\u2019a. <\/p>\n\n\n\n Po drugiej stronie\u2026 monitora<\/strong><\/p>\n\n\n\n Po tym jak Emotet zainstaluje si\u0119 na endpoincie, sprawnie rozprzestrzenia si\u0119 na pozosta\u0142e urz\u0105dzenia dzia\u0142aj\u0105ce w tej samej sieci. Kradnie dane uwierzytelniaj\u0105ce z zainstalowanych aplikacji i rozsy\u0142a spam do kontakt\u00f3w zapisanych w skrzynce mailowej. Co gorsze s\u0142u\u017cy za kana\u0142 zara\u017cenia dla du\u017co bardziej niebezpiecznych zagro\u017ce\u0144 jak TrickBot czy ransomware Ryuk. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n<\/a>\n\n\n R\u00f3wnie dobrze mogliby\u015bmy nada\u0107 jednak inny tytu\u0142 – o tym jak zosta\u0107 ponownie z\u0142apanym. Jak ju\u017c si\u0119 domy\u015blacie, tag \u201codpowiedzialno\u015b\u0107 w IT\u201d stosuje si\u0119 tak\u017ce do tego artyku\u0142u. <\/p>\n\n\n\n Botnet aktywny od 2017 r. w swojej szczytowej fazie rozwoju liczy\u0142 ponad p\u00f3\u0142 miliona maszyn. Po zainfekowaniu malware wykrada\u0142 dane uwierzytelniaj\u0105ce u\u017cytkownika oraz wpuszcza\u0142 na urz\u0105dzenie trojana. Smominru wyszukiwa\u0142 maszyny z systemem Windows podatne na atak EternalBlue (exploit!). Za pomoc\u0105 brute-force dostawa\u0142 si\u0119 r\u00f3wnie\u017c na serwery MS SQL, RDP i Telnet.<\/p>\n\n\n\n Specjali\u015bci z Guardicore Labs analizuj\u0105c obecn\u0105 aktywno\u015b\u0107 botnet\u2019a zauwa\u017cyli, \u017ce cz\u0119\u015b\u0107 maszyn zosta\u0142a tak naprawd\u0119 ponownie przej\u0119ta przez Smominru. Czytaj: nikt nie zaprz\u0105ta\u0142 sobie g\u0142owy za\u0142ataniem istniej\u0105cych w nich podatno\u015bci. Mowa o 1\/4 wszystkich infekcji. Zespo\u0142owi uda\u0142o si\u0119 dosta\u0107 do jednego z serwer\u00f3w C&C. Dzi\u0119ki temu wiemy, jakie informacje atakuj\u0105cy logowali na ka\u017cdym zainfekowanym ho\u015bcie, w tym zewn\u0119trzne i wewn\u0119trzne adresy IP, informacje o systemie operacyjnym, obci\u0105\u017cenie procesora i uruchomione procesy. Logi ujawni\u0142y r\u00f3wnie\u017c pr\u00f3by kradzie\u017cy danych uwierzytelniaj\u0105cych za pomoc\u0105 Mimikatz.<\/p>\n\n\n\n Dane. W sierpniu Smominru mia\u0142 ju\u017c pod swoj\u0105 kontrol\u0105 90,000 urz\u0105dze\u0144. Dziennie botner powi\u0119ksza si\u0119 o kolejne 4700. Najwi\u0119cej infekcji mia\u0142o miejsce w Chinach, na Tajwanie, Rosji, Brazylii oraz USA. Na li\u015bcie zainfekowanych podmiot\u00f3w znajduj\u0105 si\u0119 uniwersytety, firmy medyczne oraz firmy \u015bwiadcz\u0105ce us\u0142ugi z zakresu cyberbezpiecze\u0144stwa. <\/p>\n\n\n\n Wi\u0119kszo\u015b\u0107 zainfekowanych maszyn posiada system Windows 7 oraz Windows Server 2008 – m\u00f3wimy a\u017c o 85% wszystkich infekcji. W dalszej kolejno\u015bci atak dotkn\u0105\u0142 tak\u017ce urz\u0105dzenia z Windows Server 2012, Windows XP i Windows Server 2003.<\/p>\n\n\n\nOdpowiedzialno\u015b\u0107 w IT i gdzie szuka\u0107 winnych\u2026<\/h6>\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/topy-mailingi-1.png\")
<\/a><\/figure><\/div>\n\n\n\n2. Wada sterownika AMD Radeon umo\u017cliwia ucieczk\u0119 z VM<\/h2>\n\n\n
\nNa szcz\u0119\u015bcie mo\u017ce ona zosta\u0107 wykorzystana tylko w przypadku VMware Workstation 15 i Windows 10 x64 jako guestVM.<\/p>\n\n\n\n3. Czy Tw\u00f3j ad blocker to aby na pewno prawdziwy \u201cAdBlock\u201d? <\/strong><\/h2>\n\n\n
\n\n\n\n![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/ads-FB4-1024x536.png\")
<\/figure><\/div>\n\n\n\n4. Botnet Emotet wycelowa\u0142 sw\u00f3j spam w Polsk\u0119<\/strong><\/h2>\n\n\n
5. Botnet Smominru dziennie infekuje blisko 4700 nowych host\u00f3w <\/strong><\/h2>\n\n\n