1. Afera SolarWinds: atakuj\u0105cy dotarli do kodu \u017ar\u00f3d\u0142owego Microsoft. Co to oznacza dla u\u017cytkownik\u00f3w i organizacji?<\/strong><\/h2>\n\n\nMicrosoft potwierdzi\u0142 w zesz\u0142ym tygodniu, \u017ce atakuj\u0105cy byli w stanie podejrze\u0107 pewne fragmenty kodu \u017ar\u00f3d\u0142owego. By\u0107 mo\u017ce – na ten moment – nie oznacza to jakiego\u015b szczeg\u00f3lnego wzrostu zagro\u017ce\u0144 dla klient\u00f3w Microsoft. Jednak dost\u0119p do kodu \u017ar\u00f3d\u0142owego mo\u017ce u\u0142atwi\u0107 atakuj\u0105cym podj\u0119cie pewnych dzia\u0142a\u0144.<\/p>\n\n\n\n
Podczas wewn\u0119trznego \u015bledztwa Microsoft nie znalaz\u0142 dowod\u00f3w wskazuj\u0105cych na to, \u017ce atakuj\u0105cy uzyskali dost\u0119p do \u015brodowiska produkcyjnego lub danych klient\u00f3w. Systemy MS nie zosta\u0142y r\u00f3wnie\u017c wykorzystane w kolejnych atakach na inne podmioty. Wykryto jednak, \u017ce jedno z wewn\u0119trznych kont zosta\u0142o wykorzystane do przegl\u0105dania kodu z kilku repozytori\u00f3w. W tym momencie najwa\u017cniejsz\u0105 informacj\u0105 jest jednak fakt, \u017ce wspomniane konto nie posiada\u0142o uprawnie\u0144 umo\u017cliwiaj\u0105cych wprowadzanie zmian w kodzie<\/strong>, czy te\u017c systemach in\u017cynieryjnych Microsoft.<\/p>\n\n\n\nOprogramowanie Microsoftu nale\u017cy do najcz\u0119\u015bciej wdra\u017canych na \u015bwiecie. Jest wi\u0119c atrakcyjnym celem, w szczeg\u00f3lno\u015bci dla zaawansowanych atakuj\u0105cych \u2013 a do takich z ca\u0142\u0105 pewno\u015bci\u0105 mo\u017cna zaliczy\u0107 osoby odpowiedzialne za afer\u0119 SolarWinds.<\/p>\n\n\n\n
I chocia\u017c jest to niepokoj\u0105ce \u2013 tym bardziej, \u017ce nie wiadomo co w\u0142a\u015bciwie \u201ezobaczyli\u201d przest\u0119pcy – strategia modelowania zagro\u017ce\u0144 przyj\u0119ta przez Microsoft zak\u0142ada, \u017ce \u200b\u200batakuj\u0105cy mog\u0105 posiada\u0107 pewn\u0105 wiedz\u0119 na temat ich kodu \u017ar\u00f3d\u0142owego. Microsoft nie podj\u0105\u0142 decyzji o otwarciu kodu \u017ar\u00f3d\u0142owego swojego oprogramowania, ale projektuje go z za\u0142o\u017ceniem, \u017ce mo\u017ce si\u0119 tak kiedy\u015b zdarzy\u0107. Oznacza to wi\u0119c, \u017ce kod \u017ar\u00f3d\u0142owy mo\u017cna przegl\u0105da\u0107, jednak przegl\u0105danie kodu nie zwi\u0119ksza ryzyka wyst\u0105pienia incydent\u00f3w bezpiecze\u0144stwa.<\/p>\n\n\n\n
Praktyka Microsoftu nie jest powszechna. Jednak poniewa\u017c firma jest istotnym celem, a ludzie regularnie dokonuj\u0105 in\u017cynierii wstecznej jej kodu, takie podej\u015bcie ma sens.<\/p>\n\n\n\n
Czy w takim razie co\u015b nam grozi?<\/strong><\/p>\n\n\n\nPowiedzmy to raz jeszcze – atakuj\u0105cy byli w stanie przegl\u0105da\u0107 kod \u017ar\u00f3d\u0142owy, a nie mogli go w \u017caden spos\u00f3b edytowa\u0107. Jednak ten poziom dost\u0119pu mo\u017ce okaza\u0107 si\u0119 pomocny w niekt\u00f3rych sytuacjach, jak na przyk\u0142ad przy pisaniu rootkit\u00f3w.<\/p>\n\n\n\n
Nadal wiele rzeczy na temat ataku jest nieznane. Co dok\u0142adnie zobaczyli atakuj\u0105cy? Gdzie by\u0142 przechowywany kod, kt\u00f3rego dotyczy problem? Czy atakuj\u0105cy mog\u0142y uzyska\u0107 dost\u0119p do konta, kt\u00f3re umo\u017cliwi\u0142oby im zmian\u0119 kodu \u017ar\u00f3d\u0142owego? Na razie musimy pozostawi\u0107 te pytania bez odpowiedzi. W mi\u0119dzyczasie specjali\u015bci ds. bezpiecze\u0144stwa doradzaj\u0105 organizacjom korzystaj\u0105cym z rozwi\u0105za\u0144 Microsoft regularne instalowanie wszelkich poprawek bezpiecze\u0144stwa i trzymanie si\u0119 podstaw cyberbezpiecze\u0144stwa. Tak ma\u0142o, a tak du\u017co zarazem\u2026<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Nie daj si\u0119 z\u0142apa\u0107! Nowa kampania SMS phishing chce ci\u0119 przestraszy\u0107 na\u0142o\u017ceniem ogranicze\u0144 na konto PayPal<\/strong><\/h2>\n\n\nW najnowszej kampanii smishing (SMS text phishing) przest\u0119pcy podszywaj\u0105 si\u0119 pod system PayPal i strasz\u0105 trwa\u0142ym ograniczeniem konta… Chyba \u017ce u\u017cytkownik w por\u0119 zweryfikuje swoje dane, klikaj\u0105c uprzednio w przes\u0142any link.<\/p>\n\n\n\n
Fakt:<\/strong> gdy PayPal wykryje podejrzan\u0105 aktywno\u015b\u0107 na koncie, szybko zmienia ono status na \u201eograniczone\u201d. W efekcie u\u017cytkownika owego konta dotykaj\u0105 tymczasowe restrykcje – ograniczenia w wyp\u0142acaniu, wysy\u0142aniu lub otrzymywaniu pieni\u0119dzy.<\/p>\n\n\n\nKlikni\u0119cie w link przenosi ofiar\u0119 na stron\u0119 phishingow\u0105, kt\u00f3ra prosi o zalogowanie si\u0119 na konto – jak pokazano na poni\u017cszym obrazku.<\/p>\n\n\n\n
![\"PayPal](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2021\/01\/PayPal.jpg\")
<\/figure><\/div>\n\n\n\nWype\u0142nienie formularza i klikni\u0119cie przycisku \u201eLog In\u201d skutkuje przekazaniem danych uwierzytelniaj\u0105cych przest\u0119pcom. Jednak id\u0105 oni jeszcze o krok dalej. Jak to m\u00f3wi\u0105 \u2013 uda\u0142o si\u0119 raz, uda si\u0119 ponownie. Przest\u0119pcy pr\u00f3buj\u0105c zebra\u0107 wi\u0119cej informacji o ofierze, w tym imi\u0119 i nazwisko, dat\u0119 urodzenia, adres, dane bankowe i wi\u0119cej.<\/p>\n\n\n\n
Oszustwa smishingowe w ostatnim czasie bardzo zyska\u0142y na popularno\u015bci. Bardzo dobr\u0105 postaw\u0105 jest wi\u0119c traktowanie wszystkich tego typu wiadomo\u015bci opatrzonych linkiem, jako podejrzanych. Je\u015bli ofiara da si\u0119 z\u0142apa\u0107 na przys\u0142owiowy haczyk, wykradzione informacje pos\u0142u\u017c\u0105 zapewne do kradzie\u017cy to\u017csamo\u015bci, przeprowadzenia oszustw bankowych lub \u201ezwyczajnych\u201d nieuczciwych zakup\u00f3w. Dane mog\u0105 r\u00f3wnie\u017c trafi\u0107 to wi\u0119kszej bazy, kt\u00f3ra zostanie wystawiona na sprzeda\u017c na DarkWeb. Je\u015bli ofiara dodatkowo stosuje te same dane uwierzytelniaj\u0105ce do logowania si\u0119 na inne konta \u2013 jak portale spo\u0142eczno\u015bciowe lub skrzynka pocztowa \u2013 przest\u0119pcy mog\u0105 podgl\u0105da\u0107 jej aktywno\u015b\u0107 lub odebra\u0107 jej do nich dost\u0119p. A to tak naprawd\u0119 dopiero pocz\u0105tek licznych problem\u00f3w.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Nowy Rok, Nowy Ransomware: Babuk Locker atakuje<\/strong><\/h2>\n\n\nOto pierwszy s\u0142ynny Ransomware w 2021 r. – Babuk Locker, atak szyfruj\u0105cy typu human-operated, ju\u017c ma na koncie ataki na kilka du\u017cych korporacji. Co najmniej jedna z nich zap\u0142aci\u0142a okup o r\u00f3wnowarto\u015bci 85 tys. dolar\u00f3w.<\/p>\n\n\n\n
Kod Babuk Locker jest amatorski, ale obejmuje bezpieczne szyfrowanie (ChaCha8 i krzyw\u0105 eliptyczn\u0105 Diffiego-Hellmana), kt\u00f3re uniemo\u017cliwia ofiarom darmowe odzyskanie plik\u00f3w. Na razie nie wiadomo r\u00f3wnie\u017c, w jaki spos\u00f3b dostaje si\u0119 na urz\u0105dzenie ofiary. <\/p>\n\n\n\n
Po uruchomieniu hakerzy mog\u0105 u\u017cywa\u0107 argumentu wiersza polece\u0144, aby kontrolowa\u0107, w jaki spos\u00f3b oprogramowanie ransomware powinno szyfrowa\u0107 udzia\u0142y sieciowe i czy powinny one by\u0107 szyfrowane przed lokalnym systemem plik\u00f3w. Argumenty wiersza polecenia, kt\u00f3re kontroluj\u0105 to zachowanie, to:<\/p>\n\n\n\n
- lanfirst<\/li>
- lansecond<\/li>
- nolan<\/li><\/ul>\n\n\n\n
Ransomware zamyka r\u00f3\u017cne procesy i us\u0142ugi systemu Windows, znane z tego, \u017ce ich pliki pozostaj\u0105 otwarte i zapobiegaj\u0105 szyfrowaniu. Mowa tu o serwerach baz danych, serwerach pocztowych, oprogramowaniu do backupu, klientach poczty i przegl\u0105darkach. <\/p>\n\n\n\n
Podczas szyfrowania plik\u00f3w Babuk Locker u\u017cywa zakodowanego na sta\u0142e rozszerzenia __ NIST_K571__ i do\u0142\u0105cza je do ka\u017cdego pliku. W ka\u017cdym folderze tworzy notk\u0119 okupu. Jedna z takich notatek zawiera\u0142a imi\u0119 i nazwisko ofiary oraz linki do zdj\u0119\u0107 \u015bwiadcz\u0105cych o tym, \u017ce podczas ataku hakerzy ukradli niezaszyfrowane pliki. Strona ransomware nie jest wyszukana i zawiera po prostu ekran czatu, na kt\u00f3rym ofiara mo\u017ce rozmawia\u0107 z przest\u0119pcami i negocjowa\u0107 kwot\u0119 okupu (kt\u00f3ra waha si\u0119 mi\u0119dzy 60 a 80 tys. dolar\u00f3w). <\/p>\n\n\n\n
Autorzy Babuk Locker d\u0105\u017c\u0105 do stworzenia dedykowanej witryny do publikowania skradzionych informacji zgodnie z najnowszym trendem podw\u00f3jnego wymuszenia (double-extortion). Na razie jednak u\u017cywaj\u0105 w tym celu for\u00f3w hakerskich.<\/p>\n\n\n\n
Oprogramowanie Microsoftu nale\u017cy do najcz\u0119\u015bciej wdra\u017canych na \u015bwiecie. Jest wi\u0119c atrakcyjnym celem, w szczeg\u00f3lno\u015bci dla zaawansowanych atakuj\u0105cych \u2013 a do takich z ca\u0142\u0105 pewno\u015bci\u0105 mo\u017cna zaliczy\u0107 osoby odpowiedzialne za afer\u0119 SolarWinds.<\/p>\n\n\n\n
I chocia\u017c jest to niepokoj\u0105ce \u2013 tym bardziej, \u017ce nie wiadomo co w\u0142a\u015bciwie \u201ezobaczyli\u201d przest\u0119pcy – strategia modelowania zagro\u017ce\u0144 przyj\u0119ta przez Microsoft zak\u0142ada, \u017ce \u200b\u200batakuj\u0105cy mog\u0105 posiada\u0107 pewn\u0105 wiedz\u0119 na temat ich kodu \u017ar\u00f3d\u0142owego. Microsoft nie podj\u0105\u0142 decyzji o otwarciu kodu \u017ar\u00f3d\u0142owego swojego oprogramowania, ale projektuje go z za\u0142o\u017ceniem, \u017ce mo\u017ce si\u0119 tak kiedy\u015b zdarzy\u0107. Oznacza to wi\u0119c, \u017ce kod \u017ar\u00f3d\u0142owy mo\u017cna przegl\u0105da\u0107, jednak przegl\u0105danie kodu nie zwi\u0119ksza ryzyka wyst\u0105pienia incydent\u00f3w bezpiecze\u0144stwa.<\/p>\n\n\n\n
Praktyka Microsoftu nie jest powszechna. Jednak poniewa\u017c firma jest istotnym celem, a ludzie regularnie dokonuj\u0105 in\u017cynierii wstecznej jej kodu, takie podej\u015bcie ma sens.<\/p>\n\n\n\n
Czy w takim razie co\u015b nam grozi?<\/strong><\/p>\n\n\n\n Powiedzmy to raz jeszcze – atakuj\u0105cy byli w stanie przegl\u0105da\u0107 kod \u017ar\u00f3d\u0142owy, a nie mogli go w \u017caden spos\u00f3b edytowa\u0107. Jednak ten poziom dost\u0119pu mo\u017ce okaza\u0107 si\u0119 pomocny w niekt\u00f3rych sytuacjach, jak na przyk\u0142ad przy pisaniu rootkit\u00f3w.<\/p>\n\n\n\n Nadal wiele rzeczy na temat ataku jest nieznane. Co dok\u0142adnie zobaczyli atakuj\u0105cy? Gdzie by\u0142 przechowywany kod, kt\u00f3rego dotyczy problem? Czy atakuj\u0105cy mog\u0142y uzyska\u0107 dost\u0119p do konta, kt\u00f3re umo\u017cliwi\u0142oby im zmian\u0119 kodu \u017ar\u00f3d\u0142owego? Na razie musimy pozostawi\u0107 te pytania bez odpowiedzi. W mi\u0119dzyczasie specjali\u015bci ds. bezpiecze\u0144stwa doradzaj\u0105 organizacjom korzystaj\u0105cym z rozwi\u0105za\u0144 Microsoft regularne instalowanie wszelkich poprawek bezpiecze\u0144stwa i trzymanie si\u0119 podstaw cyberbezpiecze\u0144stwa. Tak ma\u0142o, a tak du\u017co zarazem\u2026<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W najnowszej kampanii smishing (SMS text phishing) przest\u0119pcy podszywaj\u0105 si\u0119 pod system PayPal i strasz\u0105 trwa\u0142ym ograniczeniem konta… Chyba \u017ce u\u017cytkownik w por\u0119 zweryfikuje swoje dane, klikaj\u0105c uprzednio w przes\u0142any link.<\/p>\n\n\n\n Fakt:<\/strong> gdy PayPal wykryje podejrzan\u0105 aktywno\u015b\u0107 na koncie, szybko zmienia ono status na \u201eograniczone\u201d. W efekcie u\u017cytkownika owego konta dotykaj\u0105 tymczasowe restrykcje – ograniczenia w wyp\u0142acaniu, wysy\u0142aniu lub otrzymywaniu pieni\u0119dzy.<\/p>\n\n\n\n Klikni\u0119cie w link przenosi ofiar\u0119 na stron\u0119 phishingow\u0105, kt\u00f3ra prosi o zalogowanie si\u0119 na konto – jak pokazano na poni\u017cszym obrazku.<\/p>\n\n\n\n Wype\u0142nienie formularza i klikni\u0119cie przycisku \u201eLog In\u201d skutkuje przekazaniem danych uwierzytelniaj\u0105cych przest\u0119pcom. Jednak id\u0105 oni jeszcze o krok dalej. Jak to m\u00f3wi\u0105 \u2013 uda\u0142o si\u0119 raz, uda si\u0119 ponownie. Przest\u0119pcy pr\u00f3buj\u0105c zebra\u0107 wi\u0119cej informacji o ofierze, w tym imi\u0119 i nazwisko, dat\u0119 urodzenia, adres, dane bankowe i wi\u0119cej.<\/p>\n\n\n\n Oszustwa smishingowe w ostatnim czasie bardzo zyska\u0142y na popularno\u015bci. Bardzo dobr\u0105 postaw\u0105 jest wi\u0119c traktowanie wszystkich tego typu wiadomo\u015bci opatrzonych linkiem, jako podejrzanych. Je\u015bli ofiara da si\u0119 z\u0142apa\u0107 na przys\u0142owiowy haczyk, wykradzione informacje pos\u0142u\u017c\u0105 zapewne do kradzie\u017cy to\u017csamo\u015bci, przeprowadzenia oszustw bankowych lub \u201ezwyczajnych\u201d nieuczciwych zakup\u00f3w. Dane mog\u0105 r\u00f3wnie\u017c trafi\u0107 to wi\u0119kszej bazy, kt\u00f3ra zostanie wystawiona na sprzeda\u017c na DarkWeb. Je\u015bli ofiara dodatkowo stosuje te same dane uwierzytelniaj\u0105ce do logowania si\u0119 na inne konta \u2013 jak portale spo\u0142eczno\u015bciowe lub skrzynka pocztowa \u2013 przest\u0119pcy mog\u0105 podgl\u0105da\u0107 jej aktywno\u015b\u0107 lub odebra\u0107 jej do nich dost\u0119p. A to tak naprawd\u0119 dopiero pocz\u0105tek licznych problem\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Oto pierwszy s\u0142ynny Ransomware w 2021 r. – Babuk Locker, atak szyfruj\u0105cy typu human-operated, ju\u017c ma na koncie ataki na kilka du\u017cych korporacji. Co najmniej jedna z nich zap\u0142aci\u0142a okup o r\u00f3wnowarto\u015bci 85 tys. dolar\u00f3w.<\/p>\n\n\n\n Kod Babuk Locker jest amatorski, ale obejmuje bezpieczne szyfrowanie (ChaCha8 i krzyw\u0105 eliptyczn\u0105 Diffiego-Hellmana), kt\u00f3re uniemo\u017cliwia ofiarom darmowe odzyskanie plik\u00f3w. Na razie nie wiadomo r\u00f3wnie\u017c, w jaki spos\u00f3b dostaje si\u0119 na urz\u0105dzenie ofiary. <\/p>\n\n\n\n Po uruchomieniu hakerzy mog\u0105 u\u017cywa\u0107 argumentu wiersza polece\u0144, aby kontrolowa\u0107, w jaki spos\u00f3b oprogramowanie ransomware powinno szyfrowa\u0107 udzia\u0142y sieciowe i czy powinny one by\u0107 szyfrowane przed lokalnym systemem plik\u00f3w. Argumenty wiersza polecenia, kt\u00f3re kontroluj\u0105 to zachowanie, to:<\/p>\n\n\n\n Ransomware zamyka r\u00f3\u017cne procesy i us\u0142ugi systemu Windows, znane z tego, \u017ce ich pliki pozostaj\u0105 otwarte i zapobiegaj\u0105 szyfrowaniu. Mowa tu o serwerach baz danych, serwerach pocztowych, oprogramowaniu do backupu, klientach poczty i przegl\u0105darkach. <\/p>\n\n\n\n Podczas szyfrowania plik\u00f3w Babuk Locker u\u017cywa zakodowanego na sta\u0142e rozszerzenia __ NIST_K571__ i do\u0142\u0105cza je do ka\u017cdego pliku. W ka\u017cdym folderze tworzy notk\u0119 okupu. Jedna z takich notatek zawiera\u0142a imi\u0119 i nazwisko ofiary oraz linki do zdj\u0119\u0107 \u015bwiadcz\u0105cych o tym, \u017ce podczas ataku hakerzy ukradli niezaszyfrowane pliki. Strona ransomware nie jest wyszukana i zawiera po prostu ekran czatu, na kt\u00f3rym ofiara mo\u017ce rozmawia\u0107 z przest\u0119pcami i negocjowa\u0107 kwot\u0119 okupu (kt\u00f3ra waha si\u0119 mi\u0119dzy 60 a 80 tys. dolar\u00f3w). <\/p>\n\n\n\n Autorzy Babuk Locker d\u0105\u017c\u0105 do stworzenia dedykowanej witryny do publikowania skradzionych informacji zgodnie z najnowszym trendem podw\u00f3jnego wymuszenia (double-extortion). Na razie jednak u\u017cywaj\u0105 w tym celu for\u00f3w hakerskich.<\/p>\n\n\n\n2. Nie daj si\u0119 z\u0142apa\u0107! Nowa kampania SMS phishing chce ci\u0119 przestraszy\u0107 na\u0142o\u017ceniem ogranicze\u0144 na konto PayPal<\/strong><\/h2>\n\n\n
<\/figure><\/div>\n\n\n\n3. Nowy Rok, Nowy Ransomware: Babuk Locker atakuje<\/strong><\/h2>\n\n\n