Security News – November 2022

Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za november 2022. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí. 

Politika

Séria ransomware útokov na organizácie venujúce sa transportu a logistike na Ukrajine a v Poľsku bola spojená s elitnou ruskou vojenskou hackerskou skupinou Sandworm. Microsoft zverejnil možnosti detekcie, ktoré môžu pomôcť adminom.

Kaspersky postupne ukončuje poskytovanie VPN služieb v Rusku. Ruský cenzorský úrad Roskomnadzor zakázal používanie 15 VPN sietí v krajine. Stoja za tým požiadavky, ktoré žiadali aplikovanie cenzúry a možnosti identifikovať subjekty v rámci VPN sieti.

Proruská skupina APT29 (Cozy Bear) zneužíva chybu vo Windowse pri útokoch na diplomatov rôznych krajín. Zraniteľnosť umožňuje vzdialený prístup k zariadeniam bez autorizácie. Aktualizácia pre odstránenie zraniteľnosti bola vydaná ešte v septembri.

Výskumníci posilnili teóriu previazanosti ruských kyberkriminálnych skupín na ruskú vládu. Ukázali vzťah medzi rastúcim počtom ransomware útokov na západné krajiny tesne pred ich národnými voľbami s cieľom narušiť ich priebeh.

Iránska hackerská skupina hackla americkú vládnu agentúru prostredníctvom Log4Shell. Bolo to možné kvôli neaktualizovanému VMware Horizon serveru.

Ruský obchodník so zraniteľnosťami zvýšil ponuku pre zraniteľnosti zamerané na aplikáciu Signal na trojnásobok ceny ponúkanej konkurenciou. Pravdepodobne je za tým veľká snaha Ruska zlepšiť svoje významne obmedzené možnosti spravodajských operácií na Ukrajine.

Európsky parlament sa stal terčom DDoS útoku proruskej skupiny Killnet. Stalo sa tak tesne po tom, ako európsky parlament schválil uznesenie, v ktorom označuje Rusko ako krajinu podpodujúcu terorizmus. Čím sa opäť potvrdilo podozrenie, že ruské kriminálne skupiny sa minimálne do nejakej miery koordinujú s vládnymi štruktúrami.

Vyšetrovanie a výskum

Ukrajinská polícia v spolupráci s Europolom a ďalšími krajinami zatkla 5 kľúčových členov medzinárodnej skupiny investičných podvodníkov, ktorí spôsobovali straty 200 mil. eur ročne. Zamestnávali pri tom cez 2000 ľudí najmä v call centrách.

Viacero PyPi balíčkov spôsobuje inštaláciu malware-u zameraného na krádež údajov. Využívajú pri tom vizuálnu podobnosť s existujúcimi a populárnymi balíčkami. Pri hľadaní či inštalovaní je odporúčané kontrolovať hľadaný názov na preklepy.

Viac ako polovica vládnych úradníkov v USA používa smartfóny so zastaralým operačným systémom (iOS, či Android). Tým sú vystavení výrazne väčšiemu riziku zneužitia ich zraniteľností pri útokoch na vládne agentúry.

V Kanade zatkli významného člena LockBit gangu, ktorý je podozrivý z realizovania viacerých útokov a požiadaviek na zaplatenie výkupného v desiatkach miliónoch dolárov. Súdený by mal byť v USA.

Takmer 80% firiem v prieskume priznalo, že použili poistku pre kybernetické problémy a viac ako polovica ju použila viacnásobne. Ukazuje to aj na rozšírenie útokov medzi firmami a spôsobilo to, že poisťovne výrazne prehodnocujú (alebo až rušia) tento produkt.

GitHub spustil samostatný komunikačný kanál pre jednoduchšiu komunikáciu medzi výskumníkmi so zameraním na kyberbezpečnosť a ľuďmi udržujúcimi open source projekty.

Červený kríž skúma možnosti, ako vytvoriť svoj “digitálny symbol”. Červený kríž vo vojenských konfliktoch označuje ľudí, ktorí pomáhajú a nemá byť na nich útočené. Niečo podobné chcú dosiahnuť v digitálnom svete.

Sieť Linkedin začala bojovať s falošnými profilmi, ktoré často stoja za šírením malware či kyberšpionážou. Časť majú v rukách samotní používatelia, ktorí si budú môcť preveriť niektoré časti iného profilu.

Holandská polícia zatkla 19-ročného hackera podozrivého z prieniku do systémov poskytovateľa zdravotnej starostlivosti a odcudzenia desaťtisícov dokumentov, ktoré obsahovali citlivé osobné a zdravotné informácie.

Veľká Británia začína s prehľadávaním svojho digitálneho priestoru. Medzi ciele patrí lepšie porozumenie, čo sa týka zraniteľnosti a zabezpečenia organizácií v UK, schopnosť rýchlejšie reagovať na nové výzvy a možnosť poradiť majiteľom systémov ohľadom ich bezpečnosti.

Útoky

Steganografia bola použitá pre skrytie malware-u v PNG obrázkoch. Hackerská skupina Worok používa tzv. “sideloading” pre spustenie malwaru v pamäti. V ďalšej fáze používa CLRLoader,  vyberá špecifické bajty z PNG obrázka a vytvorí z nich dva spustiteľné binárne súbory.

Azov Ransomware, ktorý sa výrazne šíri po svete, sa ukázal byť wiperom (nenávratne poškodzuje dáta). Pracuje v slučke, kde 666 bajtov poškodí a 666 bajtov nechá nedotknutých. Šíri sa najmä prostredníctvom falošného pirátskeho softvéru.

Nová služba dostupná pre kriminálnikov. Clipboard hijacker Laplas nahrádza adresu kryptopeňaženky používateľa za útočníkovu, ktorá môže vyzerať aj veľmi podobne originálnej. To môže spôsobiť, že používateľ omylom pošle svoje financie na zlú adresu.

Kyberkriminálnici zneužívajú rastúcu popularitu futbalových majstrovstiev sveta v Katare a vytvárajú množstvo domén kopírujúcich vzhľad originálnej domény. Najčastejšie za účelom inštalovania spyware. Zaujímavé je, že je to vlastne konkurencia povinného pro-vladného spyware, ktorý si musia všetci účastníci nainštalovať.

Úspešná phishingová kampaň viedla k získaniu prístupových údajov zamestnanca firmy Dropbox a následnému získaniu prístupu k 130 repozitárom, ktoré Dropbox má na GitHube.

Útok na dodávateľský reťazec spôsobil, že stovky online novinových stránok sa stali obeťou a šírili ďalej malware.

Čínska provládna hackerská skupina spustila novú spear phishing kampaň zameranú najmä na juhovýchodnú Áziu a Austráliu. Pre zníženie pravdepodobnosti detekcie posielajú malware vo forme linku na Google Drive alebo Dropbox a adresát mailu je uvedený v “CC” miesto “To”.

Nový typ podvodu s crypto dokáže obísť aj dvojfaktorovú autentifikáciu. Deje sa tak vďaka podvrhnutej stránke, fiktívnej podpore a aplikácií TeamViewer. Útočník v princípe vyláka všetky potrebné údaje od obete, ktorá ich pošle cez chat. Pripojenie cez TeamViewer použije útočník na vloženie náhodného znaku do zadávaného hesla, aby spôsobil “problém”.

Koľko stojí hacknutie konta na  WhatsApp, Viber, či Telegram? Suma začína 350$, ak používate VKontakte, tak suma začína na 10$. Takto sa pohybujú ceny na dark markete.

Prebieha veľká phishingová kampaň čínskej skupiny Fangxiao, ktorá nabáda k stiahnutiu malware. Skupina imituje viac ako 400 známych značiek prostredníctvom viac ako 42 000 unikátnych domén. Väčšina ich infraštruktúry je chránená legitímnou službou CloudFlare.

Ostatné

Spoločnosť Eset pokračuje vo svojej osvetovej kampani pre zvyšovanie povedomia v oblasti kybernetickej bezpečnosti. Zverejnili zoznam 10 bežných chýb, ktorých sa používatelia dopúšťajú. Ak sa zaujímate o túto oblasť aktívnejšie, prečítajte si  aj výzvy pre rok 2023. Oboznámte sa aj s piatimi dôvodmi od ESG výskumníkov, prečo je kybernetická bezpečnosť čoraz náročnejšia na dosiahnutie.

V novembri vydal Microsoft nové aktualizácie, ktoré cielia napríklad 6 aktívne zneužívaných doposiaľ neznámych zraniteľností. Celkovo aktualizácie riešia až 68 bezpečnostných zraniteľností.

Americké finančné inštitúcie zaznamenali straty približne za 1,2 miliardy dolárov spojených s ransomware. Jedná sa o 200% nárast v porovnaní s rokom 2020.