W tym wydaniu mamy dla was kilka niepokoj\u0105cych „powt\u00f3rek”. Zaczynamy od malware Joker, kt\u00f3ry powr\u00f3ci\u0142 do Google Play. Do tej pory z tego marketplace usuni\u0119to ju\u017c 1800 niebezpiecznych aplikacji. Nowa wersja du\u017co skuteczniej unika r\u00f3\u017cnego typu zabezpiecze\u0144 – zar\u00f3wno tych wbudowanych w urz\u0105dzenia, jak i skaner\u00f3w Play Protect. Tak wi\u0119c instaluj\u0105c nowe aplikacje, miejcie si\u0119 na baczno\u015bci. Kolejny interesuj\u0105cy news\u2026 Media na ca\u0142ym \u015bwiecie zastanawiaj\u0105 si\u0119 czy to jest ju\u017c koniec REvil. W ostatnich dniach, najwi\u0119kszy na \u015bwiecie gang ransomware w tajemniczy spos\u00f3b po prostu znikn\u0105\u0142 z sieci. Czy na dobre? Kolejne tygodnie poka\u017c\u0105. Jak si\u0119 okazuje problem z Windows Print Spooler r\u00f3wnie\u017c powraca – tym razem z jeszcze gorszymi reperkusjami. Nowa luka – przed kt\u00f3r\u0105 ostrzega Microsoft – mo\u017ce zosta\u0107 wykorzystana do wykonywania nieautoryzowanych dzia\u0142a\u0144 w systemie. Szczeg\u00f3\u0142y znajdziecie oczywi\u015bcie poni\u017cej.<\/p>\n\n\n\n\n\n\n\n
Joker zosta\u0142 wypatrzony po raz pierwszy w 2017 roku. Malware zwykle ukrywa si\u0119 w popularnych, aplikacjach, takich jak Aparat, r\u00f3\u017cnego typu grach, komunikatorach, edytorach zdj\u0119\u0107, t\u0142umaczach i zbiorach tapet. W ci\u0105gu ostatnich czterech lat ponad 1800 zainfekowanych aplikacji zosta\u0142o usuni\u0119tych ze sklepu Google Play.<\/p>\n\n\n\n
Joker go\u015bci\u0142 na naszym blogu ju\u017c kilkakrotnie. Chcesz dowiedzie\u0107 si\u0119 wi\u0119cej na jego temat? Zobacz wcze\u015bniejsze wpisy Centrum Bezpiecze\u0144stwa. Znajdziesz je tutaj<\/a>, tutaj<\/a> oraz tutaj<\/a>. <\/p>\n\n\n\n Po zainstalowaniu aplikacji, Joker symuluje klikni\u0119cia i przechwytuje wiadomo\u015bci SMS ofiary, aby zasubskrybowa\u0107 j\u0105 do niechcianych p\u0142atnych us\u0142ug premium b\u0119d\u0105cych pod kontrol\u0105 atakuj\u0105cych. Aplikacja wykrada r\u00f3wnie\u017c wiadomo\u015bci SMS, listy kontakt\u00f3w i informacje o urz\u0105dzeniu.<\/p>\n\n\n\n Tw\u00f3rcy najnowszej wersji Jokera wykorzystuj\u0105 legalne techniki programistyczne, aby omin\u0105\u0107 zar\u00f3wno zabezpieczenia wbudowane w urz\u0105dzeniach, jak i zabezpieczenia sklepu Google Play.<\/p>\n\n\n\n Wykorzystuj\u0105 m.in. Flutter, open-source\u2019owy app development kit stworzony przez Google, kt\u00f3ry pozwala tworzy\u0107 natywne aplikacje na urz\u0105dzenia mobilne, wersje webowe oraz desktop w ramach jednego zbioru kodu. Dodatkowo, dzi\u0119ki Flutter kod z\u0142o\u015bliwej aplikacji prezentuje si\u0119 bardzo prawid\u0142owo i czysto.<\/p>\n\n\n\n Przest\u0119pcy zdecydowali si\u0119 r\u00f3wnie\u017c osadzi\u0107 payload w pliku .DEX, kt\u00f3ry mo\u017cna zaciemni\u0107 na wiele sposob\u00f3w, na przyk\u0142ad zaszyfrowa\u0107 za pomoc\u0105 liczby lub ukry\u0107 w obrazie (steganografia). W tym drugim przypadku, obraz jest cz\u0119sto przechowywany w legalnych repozytoriach w chmurze lub na serwerze dowodzenia (C2).<\/p>\n\n\n\n Atakuj\u0105cy si\u0119gn\u0119li r\u00f3wnie\u017c po URL shorteners, kt\u00f3re wykorzystuj\u0105 do ukrywania adres\u00f3w serwer\u00f3w C2 oraz kombinacji bibliotek natywnych do odszyfrowywania payload ze statusem offline.<\/p>\n\n\n\n Z\u0142o\u015bliwe oprogramowanie podejmuje r\u00f3wnie\u017c inne dodatkowe \u015brodki ostro\u017cno\u015bci. Wszystko po to, aby jak najd\u0142u\u017cej pozosta\u0107 w ukryciu.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n S\u0142u\u017cba Bezpiecze\u0144stwa Ukrainy (SBU) zamkn\u0119\u0142a dzia\u0142aj\u0105c\u0105 na wyj\u0105tkowo szerok\u0105 skal\u0119 nielegaln\u0105 farm\u0119 urz\u0105dze\u0144 wydobywaj\u0105c\u0105 kryptowaluty. Wed\u0142ug oficjalnego raportu, przest\u0119pcy prowadzili swoj\u0105 dzia\u0142alno\u015b\u0107 wprost z pomieszcze\u0144 gospodarczych lokalnego dostawcy energii elektrycznej.<\/p>\n\n\n\n Podczas nalotu, funkcjonariusze skonfiskowali prawie 5000 jednostek sprz\u0119towych, w tym 500 GPU, 3800 konsol do gier PlayStation 4, 50 procesor\u00f3w, telefony kom\u00f3rkowe, dyski flash, notatniki i dokumenty.<\/p>\n\n\n\n Przest\u0119pcy nielegalnie podpi\u0119li si\u0119 do sieci elektrycznej, co na d\u0142u\u017csz\u0105 met\u0119 mog\u0142o doprowadzi\u0107 do ca\u0142kowitego zaciemnienia s\u0105siaduj\u0105cych z elektrowni\u0105 dzielnic miasta Vinnytsia. Miesi\u0119czna warto\u015b\u0107 kradzionej energii elektrycznej wynosi\u0142a nawet 259 tys. dolar\u00f3w ameryka\u0144skich. <\/p>\n\n\n\n To nie pierwszy tak g\u0142o\u015bny przypadek\u2026<\/strong><\/p>\n\n\n\n W 2019 roku chi\u0144skie organy \u015bcigania odkry\u0142y kable w stawach rybnych. Po wypuszczeniu w powietrze dron\u00f3w namierzono lokalizacj\u0119 farmy, kt\u00f3ra zosta\u0142a ukryta w\u2026 szopie. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n We wtorek jeden z najbardziej zuchwa\u0142ych i gro\u017anych gang\u00f3w ransomware na \u015bwiecie – REvil – nagle znikn\u0105\u0142 z sieci. Serwery i strony REvil w tajemniczy spos\u00f3b wy\u0142\u0105czono zaledwie kilka dni po tym, jak prezydent USA Joe Biden wezwa\u0142 prezydenta Rosji, Vladimira Putina, aby zamkn\u0105\u0142 grupy ransomware atakuj\u0105ce ameryka\u0144skie cele. Co wi\u0119cej, na dzie\u0144 p\u00f3\u017aniej zaplanowane by\u0142o spotkanie urz\u0119dnik\u00f3w z Bia\u0142ego Domu i Rosji w celu om\u00f3wienia globalnego kryzysu zwi\u0105zanego z oprogramowaniem ransomware.<\/p>\n\n\n\n Ta sytuacja sugeruje, \u017ce REvil (a.k.a. Sodin lub Sodinokibi) by\u0142 rzeczywi\u015bcie grup\u0105 pochodz\u0105c\u0105 z Federacji Rosyjskiej. Wskazywa\u0142o na to wcze\u015bniej kilka innych fakt\u00f3w. REvil jest rosyjskoj\u0119zyczn\u0105 grup\u0105, ich oprogramowanie nigdy nie uderzy\u0142o w rosyjski cel, a grupa jest powi\u0105zana z innymi ugrupowaniami hakerskimi pochodz\u0105cymi z Rosji. <\/p>\n\n\n\n Kr\u0105\u017c\u0105 pog\u0142oski, \u017ce grupa REvil otrzyma\u0142a rz\u0105dowe wezwanie do ca\u0142kowitego usuni\u0119cia infrastruktury serwerowej i znikni\u0119cia. Ale nie jest to potwierdzona informacja.<\/p>\n\n\n\n \u201cPortfolio REvil\u201d – czyli kr\u00f3tka d\u0142uga historia.<\/strong> Ekipa ransomware znana jako REvil od wielu lat dynamicznie rozwija si\u0119 w cyber-\u015bwiatku. Odpowiada za a\u017c 42% wszystkich niedawnych atak\u00f3w. Grupa od lat testuje r\u00f3\u017cne techniki \u2013 malvertising, double extortion, wykupywanie innego z\u0142o\u015bliwego oprogramowania itp. oraz r\u00f3\u017cne modele biznesowe. Jednym z najbardziej dochodowych jest model Ransomware-as-a-Service, w kt\u00f3rym szybko stali si\u0119 liderem na cyber-rynku i zbili fortun\u0119.<\/p>\n\n\n\n W\u015br\u00f3d ofiar REvil s\u0105 najwi\u0119ksze korporacje – Acer, Quanta Computer, JBS i inne. Ofiarami padli r\u00f3wnie\u017c celebryci – Madonna, Drake, Lady Gaga, czy by\u0142y prezydent Stan\u00f3w Zjednoczonych, Donald Trump. W Centrum Bezpiecze\u0144stwa Xopero wielokrotnie pisali\u015bmy o atakach REvil – zbi\u00f3r news\u00f3w znajdziesz poni\u017cej. <\/p>\n\n\n\n Niedawno gang ten zaszyfrowa\u0142 60 dostawc\u00f3w MSP i ponad 1,5 tys. firm, korzystaj\u0105c z luki zero-day w oprogramowaniu Kaseya VSA<\/a>. Przest\u0119pcy za\u017c\u0105dali okupu w wysoko\u015bci 70 milion\u00f3w dolar\u00f3w i obni\u017cyli cen\u0119 do 50 mln USD. I to prawdopodobnie by\u0142 punkt zapalny do ich zamkni\u0119cia…<\/p>\n\n\n\n Czas otworzy\u0107 szampana? <\/strong>C\u00f3\u017c, nie spieszmy si\u0119 ze \u015bwi\u0119towaniem. Zwykle, gdy grupy oprogramowania ransomware s\u0105 zamykane, zwi\u0105zani z nimi hakerzy odradzaj\u0105 si\u0119 pod now\u0105 formacj\u0105 i nazw\u0105, aby kontynuowa\u0107 swoje przest\u0119pcze dzia\u0142ania. Przypomnijmy – grupa REvil powsta\u0142a w wyniku reaktywacji cz\u0142onk\u00f3w gangu GrandCrab. Ponadto, wyeliminowanie grupy nie powoduje, \u017ce z rynku zniknie samo oprogramowanie ransomware. Z pewno\u015bci\u0105 wi\u0119c, wr\u00f3cimy jeszcze do tej historii\u2026<\/p>\n\n\n \u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\n Microsoft udost\u0119pni\u0142 wskaz\u00f3wki dotycz\u0105ce kolejnej luki w zabezpieczeniach us\u0142ugi Windows Print Spooler. Twierdzi jednocze\u015bnie, \u017ce zostanie za\u0142atana w nadchodz\u0105cej aktualizacji zabezpiecze\u0144.<\/p>\n\n\n\n \u015aledzona jako CVE-2021-34481 (ocena CVSS: 7.8) dotyczy usterki lokalnej eskalacji uprawnie\u0144, kt\u00f3ra mo\u017ce zosta\u0107 wykorzystana do wykonywania nieautoryzowanych dzia\u0142a\u0144 w systemie.<\/p>\n\n\n\n \u201eLuka umo\u017cliwia podniesienie uprawnie\u0144, gdy us\u0142uga Windows Print Spooler niew\u0142a\u015bciwie wykona uprzywilejowane operacje na plikach. Osoba atakuj\u0105ca, kt\u00f3rej uda si\u0119 wykorzysta\u0107 t\u0119 luk\u0119, mo\u017ce uruchomi\u0107 dowolny kod z uprawnieniami typu SYSTEM. […] Osoba atakuj\u0105ca mo\u017ce nast\u0119pnie instalowa\u0107 programy, wy\u015bwietla\u0107, zmienia\u0107 lub usuwa\u0107 dane a nawet stworzy\u0107 nowe konta z pe\u0142nymi prawami u\u017cytkownika.\u201d – twierdzi Microsoft w swoim poradniku.<\/p>\n\n\n\n Pomy\u015blne wykorzystanie luki wymaga jednak, aby atakuj\u0105cy mia\u0142 mo\u017cliwo\u015b\u0107 wykonania kodu w systemie ofiary. Potrzebuje wi\u0119c lokalnego dost\u0119pu. Tym samym nasuwa si\u0119 wniosek, \u017ce luka nie jest powi\u0105zana z g\u0142o\u015bnym b\u0142\u0119dem PrintNightmare<\/a>, kt\u00f3ry mo\u017cna wykorzysta\u0107 zdalnie.\u00a0<\/p>\n\n\n\n Na ten moment o luce wiadomo tyle, \u017ce podatne s\u0105 systemy Windows, a ona sama powi\u0105zana jest ze sterownikami drukarki. <\/p>\n\n\n\n Chocia\u017c firma Microsoft nie wyda\u0142a jeszcze aktualizacji zabezpiecze\u0144 usuwaj\u0105cych t\u0119 luk\u0119, administratorzy mog\u0105 zabezpieczy\u0107 firmy w\u0142\u0105czaj\u0105c us\u0142ug\u0119 Windows Print Spooler za pomoc\u0105 polece\u0144 PowerShell: <\/p>\n\n\n\n Stop-Service -Name Spooler -Force<\/p>\n\n\n\n Set-Service -Name Spooler -StartupType Disabled<\/p>\n\n\n\n Nale\u017cy pami\u0119ta\u0107, \u017ce po wy\u0142\u0105czeniu us\u0142ugi na urz\u0105dzeniu, nie b\u0119dzie ono mog\u0142o po\u0142\u0105czy\u0107 si\u0119 z drukark\u0105.<\/p>\n\n\n\n \u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" W tym wydaniu mamy dla was kilka niepokoj\u0105cych „powt\u00f3rek”. Zaczynamy od malware Joker, kt\u00f3ry powr\u00f3ci\u0142 do Google Play. Do tej pory z tego marketplace usuni\u0119to ju\u017c 1800 niebezpiecznych aplikacji. Nowa wersja du\u017co skuteczniej unika r\u00f3\u017cnego typu zabezpiecze\u0144 – zar\u00f3wno tych wbudowanych w urz\u0105dzenia, jak i skaner\u00f3w Play Protect. Tak wi\u0119c instaluj\u0105c nowe aplikacje, miejcie si\u0119 na baczno\u015bci. Kolejny interesuj\u0105cy news\u2026 Media na ca\u0142ym \u015bwiecie zastanawiaj\u0105 si\u0119 czy to jest ju\u017c koniec REvil. W ostatnich dniach, najwi\u0119kszy na \u015bwiecie gang ransomware w tajemniczy spos\u00f3b po prostu znikn\u0105\u0142 z sieci. Czy na dobre? Kolejne tygodnie poka\u017c\u0105. Jak si\u0119 okazuje problem z Windows […]<\/p>\n","protected":false},"author":1,"featured_media":1597,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-4306","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\nPolicja przej\u0119\u0142a nielegaln\u0105 farm\u0119 tysi\u0119cy PS4, kt\u00f3ra s\u0142u\u017cy\u0142a do wydobywania kryptowalut <\/strong><\/h2>\n\n\n
Koniec REvil? Najwi\u0119kszy na \u015bwiecie gang ransomware w tajemniczy spos\u00f3b znika z sieci<\/strong><\/h2>\n\n\n
Centrum Bezpiecze\u0144stwa Xopero ostrzega przed REvil:<\/h5>\n\n\n
Microsoft ostrzega przed now\u0105 luk\u0105 Windows Print Spooler<\/strong><\/h2>\n\n\n