{"id":2619,"date":"2020-05-25T07:35:59","date_gmt":"2020-05-25T05:35:59","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2619"},"modified":"2023-12-28T09:22:57","modified_gmt":"2023-12-28T08:22:57","slug":"ragnarlocker-bluetooth-ataki-bias-i-spectra-wyciek-z-easyjet","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/ragnarlocker-bluetooth-ataki-bias-i-spectra-wyciek-z-easyjet\/","title":{"rendered":"RagnarLocker \/ Bluetooth – ataki BIAS i Spectra \/ Wyciek z EasyJet"},"content":{"rendered":"\n

W tym tygodniu donosimy wam o ciekawym przypadku wykorzystania Oracle VirtulaBox w cyberataku. Przest\u0119pcy wykorzystali j\u0105 do ukrycia obecno\u015bci ransomware RagnarLocker przed programami antywirusowymi. Do tego \u2013 bardzo skutecznie. W dzisiejszym zestawieniu tak\u017ce\u2026 Urz\u0105dzenia z Bluetooth podatne na ataki BIAS oraz Spectra. Kod GhostDNS wpad\u0142 w r\u0119ce firmy antywirusowej\u2026 zupe\u0142nie przypadkiem. Nowa strona logowania do Azure cieszy si\u0119 szczeg\u00f3lnym zainteresowaniem przest\u0119pc\u00f3w. Na koniec wyciek danych z EasyJet.  <\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. RagnarLocker z now\u0105 taktyk\u0105, dzi\u0119ki kt\u00f3rej jest niezauwa\u017calny dla program\u00f3w antywirusowych<\/strong><\/h2>\n\n\n

RagnarLocker nie jest typowym ransomware. Jego operatorzy starannie wybieraj\u0105 cele –  unikaj\u0105 u\u017cytkownik\u00f3w domowych na rzecz korporacji oraz organizacji rz\u0105dowych. Zwykle uzyskuj\u0105 dost\u0119p poprzez punkty ko\u0144cowe podatne na atak RDP lub przej\u0119te (zhackowane) narz\u0119dzi MSP.<\/p>\n\n\n\n

Do tej pory grupa RagnarLocker<\/a> wdra\u017ca\u0142a wersj\u0119 swojego oprogramowania ransomware dostosowan\u0105 pod ka\u017cd\u0105 z ofiar, ale ostatnio atakuj\u0105cy stosuj\u0105 zupe\u0142nie now\u0105 taktyk\u0119. To dzi\u0119ki tej zmianie ich dzia\u0142ania umykaj\u0105 uwadze program\u00f3w antywirusowych.<\/p>\n\n\n\n

Zamiast uruchamia\u0107 oprogramowanie ransomware bezpo\u015brednio na podatnym komputerze, atakuj\u0105cy pobieraj\u0105 na niego i instaluj\u0105 Oracle VirtualBox. Nast\u0119pnie konfiguruj\u0105 maszyn\u0119 w wirtualn\u0105 w taki spos\u00f3b, aby zapewni\u0107 jej pe\u0142ny dost\u0119p do wszystkich dysk\u00f3w lokalnych i wsp\u00f3\u0142dzielonych zasob\u00f3w. Jest to sprytne poniewa\u017c dzi\u0119ki temu umo\u017cliwiaj\u0105 maszynie interakcj\u0119 z plikami przechowywanymi poza jej w\u0142asn\u0105 pami\u0119ci\u0105. W kolejnym kroku atakuj\u0105cy bootuj\u0105 maszyn\u0119, \u0142aduj\u0105 RagnarLocker i go uruchamiaj\u0105. Poniewa\u017c ransomware RagnarLocker dzia\u0142a wewn\u0105trz maszyny wirtualnej, oprogramowanie antywirusowe nie jest w stanie wykry\u0107 dzia\u0142ania szkodliwych proces\u00f3w.<\/p>\n\n\n\n

Fina\u0142 tego jest taki, \u017ce pliki lokalne i te na wsp\u00f3\u0142dzielonych zasobach zostaj\u0105 nagle zast\u0105pione ich zaszyfrowanymi wersjami. A administrator nie wie co si\u0119 w\u0142a\u015bciwie dzieje, bo przecie\u017c wszystkie modyfikacje plik\u00f3w wydaj\u0105 si\u0119 by\u0107 wynikiem legalnych proces\u00f3w. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. Nowo wykryta luka w Bluetooth nara\u017ca tysi\u0105ce urz\u0105dze\u0144 na ataki BIAS<\/strong><\/h2>\n\n\n

Grupa badaczy z Federalnej Szko\u0142y Politechnicznej w Lozannie przestowa\u0142a r\u00f3\u017cne typy urz\u0105dze\u0144, w tym laptopy, tablety i smartfony popularnych marek, wyposa\u017cone w r\u00f3\u017cne wersje protoko\u0142u Bluetooth. Na ten moment znale\u017ali 28 unikalnych uk\u0142ad\u00f3w Bluetooth podatnych na ataki BIAS (ang. fa\u0142sz od Bluetooth Impersonation AttackS)<\/p>\n\n\n\n

Czym jest dok\u0142adnie atak BIAS?<\/strong> Ten rodzaj ataku pozwala omin\u0105\u0107 procedury uwierzytelniania Bluetooth, kt\u00f3re maj\u0105 miejsce podczas nawi\u0105zywania bezpiecznego po\u0142\u0105czenia. Atakuj\u0105cy korzystaj\u0105 z kilku wad: braku ochrony integralno\u015bci, braku szyfrowania i wzajemnego uwierzytelniania.<\/p>\n\n\n\n

Podczas parowania dw\u00f3ch urz\u0105dze\u0144 zostaje wygenerowany klucz d\u0142ugoterminowy, kt\u00f3ry \u0142\u0105czy urz\u0105dzenia ze sob\u0105. Przy kolejnej komunikacji pomi\u0119dzy urz\u0105dzeniami nie ma ju\u017c konieczno\u015bci przeprowadzania ponownego ich parowania. Jednak dzi\u0119ki podatno\u015bci BIAS atakuj\u0105cy mo\u017ce podszy\u0107 si\u0119 pod jedno ze sparowanych urz\u0105dze\u0144 i uwierzytelni\u0107 si\u0119 nawet, je\u015bli nie dysponuje wspomnianym ju\u017c kluczem d\u0142ugoterminowym. Nast\u0119pnie jest ju\u017c w stanie przej\u0105\u0107 kontrol\u0119 nad drugim urz\u0105dzeniem i wykra\u015b\u0107 poufne dane.<\/p>\n\n\n\n

\n