1. Glupteba, zagro\u017cenie kt\u00f3re wykorzystuje ka\u017cd\u0105 znan\u0105 Ci sztuczk\u0119<\/strong><\/h2>\n\n\nGlupteba to malware, kt\u00f3ry umo\u017cliwia prost\u0105 dystrybucj\u0119 innego z\u0142o\u015bliwego oprogramowania. Jednak na tym nie koniec. Wykorzystuje ono r\u00f3wnie\u017c blockchain Bitcoina jako kana\u0142 komunikacji za pomoc\u0105 kt\u00f3rego otrzymuje informacje o aktualizacjach w konfiguracji. Bardzo sprytne.<\/p>\n\n\n\n
Glupteba to typ zagro\u017cenia, kt\u00f3ry jest lepiej znany pod nazw\u0105 zombie lub bot (robot programowy). Backdoor zapewnia przest\u0119pcom pe\u0142ny dost\u0119p do zainfekowanego komputera dzia\u0142aj\u0105cego pod systemem Windows. Oczywi\u015bcie staje si\u0119 on r\u00f3wnie\u017c kolejnym z ogniw szybko\/sprawnie rozwijanego botneta.<\/p>\n\n\n\n
Atakuj\u0105cy wykorzystuj\u0105 kilka interesuj\u0105cych metod, dzi\u0119ki kt\u00f3rym Glupteba pozostaje niezauwa\u017cona. Malware jest dystrybuowany za po\u015brednictwem pirackiego oprogramowania. Przest\u0119pcy wykorzystuj\u0105 g\u0142\u00f3wnie scrackowane wersje popularnych aplikacji, jednak badacze natrafili r\u00f3wnie\u017c na spreparowane instalatory gier wideo.<\/p>\n\n\n\n
W jaki spos\u00f3b przest\u0119pcy unikaj\u0105 wykrycia przez programy antywirusowe? Szkodliwe oprogramowanie jest stopniowo wpuszczane\/wstrzykiwane do wn\u0119trza. Malware wykorzystuje r\u00f3wnie\u017c podatno\u015b\u0107 EternalBlue \u2013 z jej pomoc\u0105 du\u017co sprawniej rozprzestrzeniaj\u0105 si\u0119 po firmowej sieci.<\/p>\n\n\n\n
Glupteba wykorzystuje kilka exploit\u00f3w do eskalacji uprawnie\u0144. W ten spos\u00f3b zostaj\u0105 zainstalowane sterowniki kernela, kt\u00f3re bot u\u017cywa jako rootkit. Za ich spraw\u0105 malware znacznie obni\u017ca \/ os\u0142abia stan zabezpiecze\u0144 na zainfekowanym ho\u015bcie. Rootkit sprawia, \u017ce \u200b\u200bzachowanie<\/strong> systemu plik\u00f3w jest niewidoczne dla u\u017cytkownika komputera, zabezpiecza tak\u017ce pliki kt\u00f3re Glupteba przechowuje w katalogu aplikacji. Dodatkowo specjalny proces (watcher process) monitoruje rootkita oraz inne komponenty w poszukiwaniu oznak awarii lub b\u0142\u0119d\u00f3w. Je\u015bli na nie natrafi mo\u017ce albo ponownie uruchomi\u0107 sterownik rootkita albo zrestartowa\u0107 wadliwy komponent. Atakuj\u0105cy starannie ukryli r\u00f3wnie\u017c komunikacj\u0119 z serwerami C&C. Wykorzystali do tego blockchain – informacje s\u0105 wysy\u0142ane jako zaszyfrowane dane powi\u0105zane z transakcjami w ramach \u0142a\u0144cucha Bitcoin.<\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/xbr-baner.png\")
<\/a><\/figure><\/div>\n\n\n\nCiekawostka.<\/strong> Fakt, \u017ce operatorzy Glupteba regularnie naprawiaj\u0105 b\u0142\u0119dy i \u0142ataj\u0105 \u201epodatno\u015bci\u201d, wskazuje na to, \u017ce mamy do czynienia z tzw. malware-delivery-as-a-service provider.<\/p>\n\n\n\nJak nie pa\u015b\u0107 ofiar\u0105 <\/strong>Glupteba<\/strong>?<\/strong> Je\u015bli kto\u015b jest do ty\u0142u z \u0142ataniem podatno\u015bci… to jest to najwy\u017csza pora aby wgra\u0107 wszystkie krytyczne aktualizacje zabezpiecze\u0144. Za szczeg\u00f3lnie priorytetowe nale\u017cy uzna\u0107 za\u0142atanie EternalBlue, kt\u00f3re aktywnie wykorzystuj\u0105 atakuj\u0105cy. Co jeszcze? Scrackowane aplikacje \u2013 nie nale\u017cy pobiera\u0107 i instalowa\u0107 apliakcji pochodz\u0105cych z nieznanych \u017ar\u00f3de\u0142. Nie m\u00f3wi\u0105c ju\u017c o tym, \u017ce pobieranie pirackich wersji program\u00f3w jest nielegalne.<\/p>\n\n\n\n<\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Hakerzy kradn\u0105 dane kart kredytowych z pomoc\u0105… Google Analytics<\/strong><\/h2>\n\n\nHakerzy wykorzystuj\u0105 nie tylko Google Analytics ale r\u00f3wnie\u017c serwery Google do kradzie\u017cy informacji o kartach kredytowych przes\u0142anych przez klient\u00f3w e-commerce.<\/p>\n\n\n\n
Nowa taktyka, kt\u00f3ra opiera si\u0119 na wykorzystywaniu API Google Analytics pozwala sprawnie oszuka\u0107\/omin\u0105\u0107 standard Content Security Policy (CSP). Atakuj\u0105cy wykorzystuj\u0105 fakt, \u017ce wiele sklep\u00f3w internetowych korzystaj\u0105cych z us\u0142ugi Google Analytics dodaje j\u0105 do tzw. bia\u0142ej listy domen w konfiguracji CSP.<\/p>\n\n\n\n
Luka w zabezpieczeniach CSP<\/strong><\/p>\n\n\n\nOkaza\u0142o si\u0119, \u017ce system regu\u0142 CSP nie jest wystarczaj\u0105co szczeg\u00f3\u0142owy. Atakuj\u0105cy wstrzykuj\u0105 web skimmer ze specjalnie zaprojektowanym skryptem do dekodowania skradzionych danych. Po za\u0142adowaniu skryptu, przest\u0119pcy s\u0105 w stanie monitorowa\u0107 witryn\u0119 pod k\u0105tem wprowadzanych przez u\u017cytkownik\u00f3w informacji. Je\u015bli trafi\u0105 na dane o kartach kredytowych s\u0105 one szyfrowane a nast\u0119pnie przesy\u0142ane na dashboard Google Analytics. Tam atakuj\u0105cy odszyfrowuj\u0105 je przy u\u017cyciu klucza deszyfruj\u0105cego XOR. Tak wi\u0119c jedyne co musz\u0105 zrobi\u0107, to poda\u0107 w\u0142asny numeru identyfikacyjny konta \/ tagu (UA – ####### – #).<\/p>\n\n\n\n
Specjali\u015bci z Zespo\u0142u Bada\u0144 Zagro\u017ce\u0144 firmy Sansec od 17 marca monitoruj\u0105 inn\u0105 kampani\u0119, kt\u00f3ra przebiega jednak w bardzo podobny spos\u00f3b. W jej wypadku przest\u0119pcy upewnili si\u0119, aby wszystkie komponenty wykorzystywane w czasie ataku korzysta\u0142y z serwer\u00f3w Google Firebase. Czy to kolejny sprytny ruch? Oczywi\u015bcie. Grupa Magecart zazwyczaj korzysta z serwer\u00f3w zlokalizowanych w tzw. rajach podatkowych. Administrator, kt\u00f3ry odkryje taki \u201epodejrzany\u201d adres serwera zareaguje w bardzo przewidywalny spos\u00f3b. Ale co w sytuacji kiedy mamy do czynienia z ciesz\u0105cymi si\u0119 zaufaniem serwerami Google? Znikoma liczba system\u00f3w bezpiecze\u0144stwa oznaczy je jako podejrzane. Przynajmniej na ten moment.<\/p>\n\n\n\n
<\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Evil Corp wykorzystuje fa\u0142szywe powiadomienia o aktualizacji w nowej targetowanej kampanii<\/strong><\/h2>\n\n\nPo postawieniu zarzut\u00f3w niekt\u00f3rym \u201eistotnym\u201d cz\u0142onkom Evil Corp, grupa rozpocz\u0119\u0142a prace nad stworzeniem nowej taktyki. Oznacza\u0142o to ni mniej ni wi\u0119cej start prac nad nowym zagro\u017ceniem. Niedawno ujrza\u0142o ono \u015bwiat\u0142o dzienne.<\/p>\n\n\n\n
Najnowszy ransomware o nazwie WastedLocker jest wykorzystywany w ukierunkowanych atakach na firmy. Grupa zawsze by\u0142a wybi\u00f3rcza pod wzgl\u0119dem infrastruktur, kt\u00f3re szyfrowa\u0142a. Przest\u0119pcy zwykle atakuj\u0105 serwery plik\u00f3w, us\u0142ugi baz danych, maszyny wirtualne i \u015brodowiska chmurowe.<\/p>\n\n\n\n
Aby dostarczy\u0107 nowe oprogramowanie ransomware, Evil Corp w\u0142amuje si\u0119 na witryny w celu wstrzykni\u0119cia z\u0142o\u015bliwego kodu. Jego zadaniem jest wy\u015bwietlenie fa\u0142szywych powiadomie\u0144 o konieczno\u015bci przeprowadzenia aktualizacji oprogramowania.<\/p>\n\n\n\n
Jednym z przesy\u0142anych podczas ataku payloads jest zestaw narz\u0119dzi pentesterskich Cobalt Strike. Przest\u0119pcy wykorzystuj\u0105 je do uzyskania dost\u0119pu i zainfekowanego urz\u0105dzenia, a potem je\u015bli to mo\u017cliwe \u2013 ju\u017c ca\u0142ej sieci.<\/p>\n\n\n\n
Po zako\u0144czeniu instalacji WastedLocker szyfruje wszystkie dyski na komputerze, pomijaj\u0105c pliki w okre\u015blonych folderach lub zawieraj\u0105ce okre\u015blone rozszerzenia. Ale to nie wszystko. Pliki o rozmiarze mniejszym ni\u017c 10 bajt\u00f3w s\u0105 przez atakuj\u0105cych ignorowane. Je\u015bli jednak ransomware natrafi na wi\u0119kszy plik, zostanie on zaszyfrowany w blokach po 64 MB.<\/p>\n\n\n\n
Dla ka\u017cdego zaszyfrowanego pliku ransomware tworzy notatk\u0119 zawieraj\u0105c\u0105 informacje jak skontaktowa\u0107 si\u0119 z przest\u0119pcami w celu ustalenia wysoko\u015bci okupu. Co ciekawe, WastedLocker nie wykrada danych przed ich zaszyfrowaniem. O jak wysokie stawki graj\u0105 przest\u0119pcy? Wed\u0142ug informacji do kt\u00f3rych dotar\u0142 serwis BleepingComputer, \u017c\u0105dania okupu wahaj\u0105 si\u0119 w granicach 500 tys. i kilku\/kilkunastu milion\u00f3w dolar\u00f3w ameryka\u0144skich. <\/p>\n\n\n\n
<\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. Malware z piek\u0142a rodem: Windows na celowniku Lucyfera<\/strong><\/h2>\n\n\nEksperci ds. Bezpiecze\u0144stwa zidentyfikowali nowe z\u0142o\u015bliwe oprogramowanie nazwane Lucyfer, kt\u00f3re uderza w nieza\u0142atane systemy Windows i propaguje si\u0119 za pomoc\u0105 cryptojackingu i atak\u00f3w DDoS.<\/p>\n\n\n\n
Lucyfer pocz\u0105tkowo pr\u00f3buje zainfekowa\u0107 komputery bombarduj\u0105c je exploitami w poszukiwaniu wyczerpuj\u0105cej listy nieza\u0142atanych luk w zabezpieczeniach. Cho\u0107 powsta\u0142y ju\u017c \u0142atki dla wszystkich tych b\u0142\u0119d\u00f3w krytycznych, malware celuje w te firmy, kt\u00f3re nie zainstalowa\u0142y jeszcze aktualizacji. <\/p>\n\n\n\n
Lista luk, kt\u00f3rych poszukuje Lucyfer jest do\u015b\u0107 d\u0142uga i obejmuje b\u0142\u0119dy w Rejetto HTTP File Server (CVE-2014-6287<\/a>), Oracle Weblogic (CVE-2017-10271<\/a>), ThinkPHP RCE (CVE-2018-20062<\/a>), Apache Struts (CVE-2017-9791<\/a>), Laravel framework CVE-2019-9081<\/a>), oraz Microsoft Windows (CVE-2017-0144<\/a>, CVE-2017-0145<\/a>, CVE-2017-8464<\/a>).<\/p>\n\n\n\nPo udanym wykorzystaniu tych b\u0142\u0119d\u00f3w, atakuj\u0105cy \u0142\u0105cz\u0105 si\u0119 z serwerem C&C i wykonuj\u0105 dowolne polecenia na podatnym urz\u0105dzeniu. Mog\u0105 one obejmowa\u0107 uruchomienie atak\u00f3w typu TCP, UDP oraz HTTP DoS. Inne polecenia pozwalaj\u0105 im na upuszczenie cryptominera XMRig i cryptojacking oraz gromadzenie informacji o interfejsie i wys\u0142anie statusu minera do serwera C2. Lucyfer mo\u017ce r\u00f3wnie\u017c propagowa\u0107 si\u0119 r\u00f3\u017cnymi metodami. Je\u015bli protok\u00f3\u0142 SMB jest otwarty, mo\u017ce przyk\u0142adowo wykona\u0107 kilka backdoor\u00f3w – w\u015br\u00f3d nich s\u0105 EternalBlue, EternalRomance i DoublePulsar.<\/p>\n\n\n\n
Ten malware z piek\u0142a rodem zosta\u0142 ju\u017c wykryty w serii niedawnych atak\u00f3w i wci\u0105\u017c jest aktywny.
Jak si\u0119 ochroni\u0107?<\/strong> Jako, \u017ce Lucyfer \u017ceruje na podatnych urz\u0105dzeniach i nieza\u0142atanych lukach – zalecamy ich piln\u0105 aktualizacj\u0119 i weryfikacj\u0119 swojego systemu zabezpiecze\u0144, w tym koniecznie antymalware, firewall oraz <\/a>programu do backupu<\/a>.<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nCiekawostka.<\/strong> Fakt, \u017ce operatorzy Glupteba regularnie naprawiaj\u0105 b\u0142\u0119dy i \u0142ataj\u0105 \u201epodatno\u015bci\u201d, wskazuje na to, \u017ce mamy do czynienia z tzw. malware-delivery-as-a-service provider.<\/p>\n\n\n\n Jak nie pa\u015b\u0107 ofiar\u0105 <\/strong>Glupteba<\/strong>?<\/strong> Je\u015bli kto\u015b jest do ty\u0142u z \u0142ataniem podatno\u015bci… to jest to najwy\u017csza pora aby wgra\u0107 wszystkie krytyczne aktualizacje zabezpiecze\u0144. Za szczeg\u00f3lnie priorytetowe nale\u017cy uzna\u0107 za\u0142atanie EternalBlue, kt\u00f3re aktywnie wykorzystuj\u0105 atakuj\u0105cy. Co jeszcze? Scrackowane aplikacje \u2013 nie nale\u017cy pobiera\u0107 i instalowa\u0107 apliakcji pochodz\u0105cych z nieznanych \u017ar\u00f3de\u0142. Nie m\u00f3wi\u0105c ju\u017c o tym, \u017ce pobieranie pirackich wersji program\u00f3w jest nielegalne.<\/p>\n\n\n\n <\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Hakerzy wykorzystuj\u0105 nie tylko Google Analytics ale r\u00f3wnie\u017c serwery Google do kradzie\u017cy informacji o kartach kredytowych przes\u0142anych przez klient\u00f3w e-commerce.<\/p>\n\n\n\n Nowa taktyka, kt\u00f3ra opiera si\u0119 na wykorzystywaniu API Google Analytics pozwala sprawnie oszuka\u0107\/omin\u0105\u0107 standard Content Security Policy (CSP). Atakuj\u0105cy wykorzystuj\u0105 fakt, \u017ce wiele sklep\u00f3w internetowych korzystaj\u0105cych z us\u0142ugi Google Analytics dodaje j\u0105 do tzw. bia\u0142ej listy domen w konfiguracji CSP.<\/p>\n\n\n\n Luka w zabezpieczeniach CSP<\/strong><\/p>\n\n\n\n Okaza\u0142o si\u0119, \u017ce system regu\u0142 CSP nie jest wystarczaj\u0105co szczeg\u00f3\u0142owy. Atakuj\u0105cy wstrzykuj\u0105 web skimmer ze specjalnie zaprojektowanym skryptem do dekodowania skradzionych danych. Po za\u0142adowaniu skryptu, przest\u0119pcy s\u0105 w stanie monitorowa\u0107 witryn\u0119 pod k\u0105tem wprowadzanych przez u\u017cytkownik\u00f3w informacji. Je\u015bli trafi\u0105 na dane o kartach kredytowych s\u0105 one szyfrowane a nast\u0119pnie przesy\u0142ane na dashboard Google Analytics. Tam atakuj\u0105cy odszyfrowuj\u0105 je przy u\u017cyciu klucza deszyfruj\u0105cego XOR. Tak wi\u0119c jedyne co musz\u0105 zrobi\u0107, to poda\u0107 w\u0142asny numeru identyfikacyjny konta \/ tagu (UA – ####### – #).<\/p>\n\n\n\n Specjali\u015bci z Zespo\u0142u Bada\u0144 Zagro\u017ce\u0144 firmy Sansec od 17 marca monitoruj\u0105 inn\u0105 kampani\u0119, kt\u00f3ra przebiega jednak w bardzo podobny spos\u00f3b. W jej wypadku przest\u0119pcy upewnili si\u0119, aby wszystkie komponenty wykorzystywane w czasie ataku korzysta\u0142y z serwer\u00f3w Google Firebase. Czy to kolejny sprytny ruch? Oczywi\u015bcie. Grupa Magecart zazwyczaj korzysta z serwer\u00f3w zlokalizowanych w tzw. rajach podatkowych. Administrator, kt\u00f3ry odkryje taki \u201epodejrzany\u201d adres serwera zareaguje w bardzo przewidywalny spos\u00f3b. Ale co w sytuacji kiedy mamy do czynienia z ciesz\u0105cymi si\u0119 zaufaniem serwerami Google? Znikoma liczba system\u00f3w bezpiecze\u0144stwa oznaczy je jako podejrzane. Przynajmniej na ten moment.<\/p>\n\n\n\n <\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Po postawieniu zarzut\u00f3w niekt\u00f3rym \u201eistotnym\u201d cz\u0142onkom Evil Corp, grupa rozpocz\u0119\u0142a prace nad stworzeniem nowej taktyki. Oznacza\u0142o to ni mniej ni wi\u0119cej start prac nad nowym zagro\u017ceniem. Niedawno ujrza\u0142o ono \u015bwiat\u0142o dzienne.<\/p>\n\n\n\n Najnowszy ransomware o nazwie WastedLocker jest wykorzystywany w ukierunkowanych atakach na firmy. Grupa zawsze by\u0142a wybi\u00f3rcza pod wzgl\u0119dem infrastruktur, kt\u00f3re szyfrowa\u0142a. Przest\u0119pcy zwykle atakuj\u0105 serwery plik\u00f3w, us\u0142ugi baz danych, maszyny wirtualne i \u015brodowiska chmurowe.<\/p>\n\n\n\n Aby dostarczy\u0107 nowe oprogramowanie ransomware, Evil Corp w\u0142amuje si\u0119 na witryny w celu wstrzykni\u0119cia z\u0142o\u015bliwego kodu. Jego zadaniem jest wy\u015bwietlenie fa\u0142szywych powiadomie\u0144 o konieczno\u015bci przeprowadzenia aktualizacji oprogramowania.<\/p>\n\n\n\n Jednym z przesy\u0142anych podczas ataku payloads jest zestaw narz\u0119dzi pentesterskich Cobalt Strike. Przest\u0119pcy wykorzystuj\u0105 je do uzyskania dost\u0119pu i zainfekowanego urz\u0105dzenia, a potem je\u015bli to mo\u017cliwe \u2013 ju\u017c ca\u0142ej sieci.<\/p>\n\n\n\n Po zako\u0144czeniu instalacji WastedLocker szyfruje wszystkie dyski na komputerze, pomijaj\u0105c pliki w okre\u015blonych folderach lub zawieraj\u0105ce okre\u015blone rozszerzenia. Ale to nie wszystko. Pliki o rozmiarze mniejszym ni\u017c 10 bajt\u00f3w s\u0105 przez atakuj\u0105cych ignorowane. Je\u015bli jednak ransomware natrafi na wi\u0119kszy plik, zostanie on zaszyfrowany w blokach po 64 MB.<\/p>\n\n\n\n Dla ka\u017cdego zaszyfrowanego pliku ransomware tworzy notatk\u0119 zawieraj\u0105c\u0105 informacje jak skontaktowa\u0107 si\u0119 z przest\u0119pcami w celu ustalenia wysoko\u015bci okupu. Co ciekawe, WastedLocker nie wykrada danych przed ich zaszyfrowaniem. O jak wysokie stawki graj\u0105 przest\u0119pcy? Wed\u0142ug informacji do kt\u00f3rych dotar\u0142 serwis BleepingComputer, \u017c\u0105dania okupu wahaj\u0105 si\u0119 w granicach 500 tys. i kilku\/kilkunastu milion\u00f3w dolar\u00f3w ameryka\u0144skich. <\/p>\n\n\n\n <\/a>\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Eksperci ds. Bezpiecze\u0144stwa zidentyfikowali nowe z\u0142o\u015bliwe oprogramowanie nazwane Lucyfer, kt\u00f3re uderza w nieza\u0142atane systemy Windows i propaguje si\u0119 za pomoc\u0105 cryptojackingu i atak\u00f3w DDoS.<\/p>\n\n\n\n Lucyfer pocz\u0105tkowo pr\u00f3buje zainfekowa\u0107 komputery bombarduj\u0105c je exploitami w poszukiwaniu wyczerpuj\u0105cej listy nieza\u0142atanych luk w zabezpieczeniach. Cho\u0107 powsta\u0142y ju\u017c \u0142atki dla wszystkich tych b\u0142\u0119d\u00f3w krytycznych, malware celuje w te firmy, kt\u00f3re nie zainstalowa\u0142y jeszcze aktualizacji. <\/p>\n\n\n\n Lista luk, kt\u00f3rych poszukuje Lucyfer jest do\u015b\u0107 d\u0142uga i obejmuje b\u0142\u0119dy w Rejetto HTTP File Server (CVE-2014-6287<\/a>), Oracle Weblogic (CVE-2017-10271<\/a>), ThinkPHP RCE (CVE-2018-20062<\/a>), Apache Struts (CVE-2017-9791<\/a>), Laravel framework CVE-2019-9081<\/a>), oraz Microsoft Windows (CVE-2017-0144<\/a>, CVE-2017-0145<\/a>, CVE-2017-8464<\/a>).<\/p>\n\n\n\n Po udanym wykorzystaniu tych b\u0142\u0119d\u00f3w, atakuj\u0105cy \u0142\u0105cz\u0105 si\u0119 z serwerem C&C i wykonuj\u0105 dowolne polecenia na podatnym urz\u0105dzeniu. Mog\u0105 one obejmowa\u0107 uruchomienie atak\u00f3w typu TCP, UDP oraz HTTP DoS. Inne polecenia pozwalaj\u0105 im na upuszczenie cryptominera XMRig i cryptojacking oraz gromadzenie informacji o interfejsie i wys\u0142anie statusu minera do serwera C2. Lucyfer mo\u017ce r\u00f3wnie\u017c propagowa\u0107 si\u0119 r\u00f3\u017cnymi metodami. Je\u015bli protok\u00f3\u0142 SMB jest otwarty, mo\u017ce przyk\u0142adowo wykona\u0107 kilka backdoor\u00f3w – w\u015br\u00f3d nich s\u0105 EternalBlue, EternalRomance i DoublePulsar.<\/p>\n\n\n\n Ten malware z piek\u0142a rodem zosta\u0142 ju\u017c wykryty w serii niedawnych atak\u00f3w i wci\u0105\u017c jest aktywny. 2. Hakerzy kradn\u0105 dane kart kredytowych z pomoc\u0105… Google Analytics<\/strong><\/h2>\n\n\n
3. Evil Corp wykorzystuje fa\u0142szywe powiadomienia o aktualizacji w nowej targetowanej kampanii<\/strong><\/h2>\n\n\n
4. Malware z piek\u0142a rodem: Windows na celowniku Lucyfera<\/strong><\/h2>\n\n\n
Jak si\u0119 ochroni\u0107?<\/strong> Jako, \u017ce Lucyfer \u017ceruje na podatnych urz\u0105dzeniach i nieza\u0142atanych lukach – zalecamy ich piln\u0105 aktualizacj\u0119 i weryfikacj\u0119 swojego systemu zabezpiecze\u0144, w tym koniecznie antymalware, firewall oraz <\/a>programu do backupu<\/a>.<\/p>\n\n\n\n