Noutăți din domeniul securității cibernetice (17.02.2023)
O nouă campanie de atacuri cibernetice pentru a efectua fraude financiare
Cercetători în securitate cibernetică au observat un nou atac de tip ransomware concentrat pe sistemele din Statelor Unite, Marea Britanie, Turcia și Filipine. Folosit sub numele de „MortalKombat”, ransomwar-ul criptează diverse fișiere din sistemul de fișiere al mașinii victimei, cum ar fi fișierele de sistem, aplicații, baze de date, backup și mașini virtuale, precum și fișiere din locațiile de la distanță mapate ca unități logice în mașina victimei.
Un atac DDoS a afectat peste 30.000 de adrese IP din SUA
O companie de securitate a infrastructurii web a anunțat că un atac DDoS a afectat peste 30.000 de adrese IP din SUA. Majoritatea atacurilor au atins apogeul de circa 50-70 de milioane de solicitări pe secundă (rps), unul a depășit 71 de milioane de rps, astfel fiind calificat drept cel mai mare atac înregistrat. Potrivit blogului companiei, operatorii din spatele atacului s-au concentrat pe un furnizor popular de jocuri de noroc, companii de criptomonede, furnizori de găzduire și platforme de cloud computing. Atacurile au venit de la numeroși furnizori de servicii cloud.
Sursa: https://cybernews.com/news/record-breaking-ddos-attack-unrelated-to-killnet/
Pepsi-Cola din America a fost ținta unui atac cibernetic
Cel mai mare producător și distribuitor de băuturi Pepsi-Cola din America, a declarat că rețeaua sa a fost încălcată și au fost sustrase informații personale și financiare. Lista informațiilor furate este lungă și include nume și prenume, adrese de domiciliu și de e-mail, date financiare ale contului, inclusiv un număr limitat de parole, coduri PIN sau alte numere de acces. În plus, escrocii au furat numere de permis de conducere, cărți de identitate, numere de securitate socială și informații despre pașapoarte, semnături digitale, istoric medical limitat și informații despre asigurările de sănătate. Datele furate pot fi vândute pe forumuri dark-web și utilizate pentru infracțiuni cibernetice, cum ar fi furtul de identitate, doxxing, phishing și alte tipuri de inginerie socială.
Sursa: https://cybernews.com/news/pepsi-breach-malware/
Două orașe din California lovite simultan de atacuri cibernetice de tip ransomware
Rețelele municipale din orașele Oakland și Modesto, California, au fost atacate, săptămână curentă, de atacuri cibernetice de tip ransomware, impactul fiind închiderea serviciilor guvernamentale. Atacurile au avut loc simultan în ambele orașe.
Sursa:https://cybernews.com/news/oakland-modesto-ransomware-attack-old-school-policing/
Platforma de știri Reddit a suferit un atac cibernetic, în urma impactului fiind expuse documente interne și codul sursă
Populara platforma de agregare a știrilor sociale, Reddit, a dezvăluit că a fost victima unui incident de securitate de tip phishing, ce a permis unor actori de amenințări neidentificați să obțină acces neautorizat la documente interne, cod și unele sisteme de afaceri nespecificate. Atacul a presupus trimiterea de „indemnizații cu sunet plauzibil” care au fost redirecționate către un site web prevestit ca portalul intranet al Reddit, în încercarea de a fura acreditările și jetoanele de autentificare cu doi factori (2FA).
Sursa:https://thehackernews.com/2023/02/reddit-suffers-security-breach-exposing.html
Peste 10.000 de site-uri WordPress au fost infectate cu malware
O campanie cu malware de redirecționare Black Hat a folosit mai mult de 70 de domenii false ce imit scurtarea adreselor URL pentru a infecta peste 10.800 de site-uri web. Scopul, fiind de a crește popularitatea site-urilor spam în rezultatul utilizării motoarelor de căutare. Hackerii au folosit domenii URL pseudo-scurte sub pretextul de instrumente populare de scurtare a adreselor URL, cum ar fi Bitly, Cuttly sau ShortURL, dar în realitate vizitatorii erau redirecționați către site-uri WordPress compromise către portaluri false de întrebări și răspunsuri. Redirecționările au ajuns pe site-uri ce discutau despre blockchain și criptomonedă, cu domeniile URL găzduite acum pe DDoS-Guard. Experții nu cunosc cu exactitate cum se infectează site-urile WordPress, dar odată ce site-ul este încălcat, actorul amenințării injectează cod PHP backdoor ce permite accesul persistent la distanță, precum și redirecționarea vizitatorilor site-ului.
Sursa: https://thehackernews.com/2023/02/massive-adsense-fraud-campaign.html
Autoritatea de reglementare a telecomunicațiilor din Rusia a șters 150.000 de postări anti-război
O scurgere masivă de date de la autoritatea de reglementare a telecomunicațiilor din Rusia, sugerează că Agenția de reglementare a telecomunicațiilor din Rusia a cenzurat postările anti-război pe rețelele sociale și implementează o fermă de bot pentru a amplifica informațiile oficiale rusești. Arhiva de date de doi terabyte a fost preluată și scursă de un grup de activiști din Belarus, ulterior, distribuită jurnaliștilor de investigație mass-media ruse, inclusiv Agentsvo, care a numit conţinutul său „cea mai mare scurgere de informații asupra cenzurii ruse”. Datele scurse conțineau documente ce discutau despre ștergerea a 150.000 de postări pe rețelele sociale, 1600.000 de postări „false” și 40.000 de postări ce solicitau proteste împotriva războiului. Agenția a estimat că peste 100 de milioane de utilizatori Telegram și Youtube au accesat informațiile. Arhiva conținea și informații personale despre jurnaliștii care lucrează pentru instituțiile media considerate „agenți străini” și „organizații indezirabile” din Rusia.
CISA adaugă Fortra MFT, TerraMaster NAS, Intel driver Flaws, la catalogul său cunoscut de vulnerabilități exploatate
CISA din SUA a adăugat defecte exploatate în mod activ în Fortra MFT, driver Intel și TerraMaster NAS, urmărite, respectiv, ca CVE-2023-0669, CVE-2015-2291 și CVE-2022-24990, la catalogul său de vulnerabilități exploatate cunoscute. Defectul CVE-2015-2291 (scor CVSS v3 7,8) este o problemă de refuzare a serviciului (DoS) care se află în driverul de diagnosticare Intel Ethernet pentru Windows IQVW32.sys și IQVW64.sys. Defectul CVE-2022-24990 este o vulnerabilitate de execuție a comenzilor de la distanță în sistemul de operare TerraMaster, care poate permite unui utilizator neautentificat să execute comenzi pe punctul final țintă. Problema a fost raportată și în avizul comun de securitate cibernetică (CSA) publicat de agențiile din SUA și Coreea de Sud despre grupurile APT legate de Coreea de Nord care efectuează atacuri ransomware împotriva infrastructurii medicale și a infrastructurii critice pentru a-și finanța activitățile.
Patch-uri Microsoft pentru 75 de vulnerabilități
Microsoft a lansat patch-uri pentru 75 de vulnerabilități numerotate CVE, inclusiv trei defecte zero-day (CVE-2023-21715, CVE-2023-23376, CVE-2023-21823).
CVE-2023-21715 o vulnerabilitate ce permite atacatorilor să ocolească o caracteristică de securitate Microsoft Publisher: politicile de macrocomandă Office utilizate pentru a bloca fișiere care nu sunt de încredere sau rău intenționate.
CVE-2023-23376 este o vulnerabilitate în sistemul Windows Common Log File System care ar putea permite atacatorilor să obțină privilegii de SISTEM pe o gazdă țintă.
CVE-2023-21823 este o vulnerabilitate în Windows Graphics Component și ar putea duce la execuția de cod de la distanță și o preluare totală a unui sistem vulnerabil.
