Noutăți din domeniul securității cibernetice (21.04.2023)
60 de aplicații Google Play sunt infectate cu un nou program malware pentru Android
Un nou program malware pentru Android numit „Goldoson” s-a infiltrat în Google Play prin intermediul a 60 de aplicații legitime care numără, împreună, peste 100 de milioane de descărcări. Dezvoltatorii acestor aplicații au inclus din neatenție malware folosind o bibliotecă terță parte care conține componente deja infectate cu malware. Potrivit unei echipe de cercetare, care a descoperit malware-ul, acesta poate colecta date despre aplicațiile instalate, dispozitivele conectate prin WiFi și Bluetooth și locațiile GPS ale utilizatorului. Atunci când utilizatorul lansează o aplicație care conține Goldoson, biblioteca înregistrează dispozitivul și primește configurația acestuia de la un server la distanță al cărui domeniu este afectat. Funcția de colectare a datelor este de obicei setată să se activeze la fiecare două zile, trimițând către server o listă de aplicații instalate, istoricul locațiilor geografice, adresa MAC a dispozitivelor conectate prin Bluetooth și WiFi și multe altele. În plus, pot fi executate fraude publicitare, făcând clic pe reclamele de fundal, fără acordul utilizatorului.
În Estonia s-a desfășurat un exercițiu de apărare cibernetică
Un exercițiu de apărare cibernetică a avut loc în Estonia. Evenimentul a reunit circa 3.000 de participanți din țări partenere NATO. Potrivit Centrului Cooperativ de Excelenţă pentru Apărare Cibernetică afiliat NATO (CCDCOE) 38 de echipe de țară au exersat să protejeze sisteme informatice de atacuri în timp real şi să ia decizii tactice şi strategice în situaţii critice.
Atacurile cibernetice rusești asupra sectorului privat al Ucrainei s-au intensificat
Un raport emis de Echipa Ucrainei de Răspuns la Situații de Urgență Informatică (CERT-UA) arată că, Guvernul ucrainean rămâne ținta principală a atacurilor cibernetice. Astfel, dintr-un total de 549 de atacuri cibernetice analizate, aproximativ o treime au vizat organizații publice, inclusiv agenții guvernamentale și autorități locale, precum și a crescut numărul de atacuri asupra ostructurilor comerciale ale țării. Majoritatea atacurilor cibernetice analizate se încadrează în categoriile Intruziune și Injectare de cod Malițios. Aceasta include în primul rând răspândirea programelor spion concepute pentru activități de spionaj, precum și exploatările de vulnerabilitate și phishingul. CERT-UA raportează că intensitatea atacurilor împotriva infrastructurii informaționale ucrainene a rămas la un nivel constant în perioada de raportare, cu excepția începutului lunii ianuarie.
Sursa:https://cybernews.com/news/russia-ukraine-war-private-sector/
Site-uri poștale, bancare și de telecomunicații din Israel au fost atacate de hackeri
Un grup de hackeri au atacat site-urile serviciului național de corespondență al Israelului, ale principalelor bănci, furnizorului de servicii de cablu Hot și ale operatorului de telefonie mobilă 012, ducându-le pentru scurt timp într-un asalt aparent programat să coincidă cu o zi de evenimente anti-israeliene promovate de Iran.
Sursa:https://www.timesofisrael.com/hacker-group-brings-down-israeli-postal-banking-and-telecoms-websites/
Un nou record de atacuri ransomware în luna martie
Conform unui raport prezentat public de NCC Group, în luna martie curent, la nivel mondial, au fost raportate 459 de atacuri cibernetice de tip ransomware. Raportul realizat în baza statisticilor proprii arată că, cifra constituie un nou record, cu 91% mai mult față de luna precedentă și cu 62% față de martie 2022 și totodată, cel mai mare număr de incidente hacking și scurgeri de date înregistrate în ultimii trei ani.
SUA și Marea Britanie avertizează că hackerii ruși folosesc programe malware personalizate pe routerele Cisco
Un raport comun lansat de Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC), Agenția de Securitate Cibernetică și Infrastructură din SUA (CISA), NSA și FBI detaliază modul în care un grup de hacking rus (APT28) au exploatat un vechi defect SNMP pe routerele Cisco IOS pentru a implementa un malware. Malware-ul personalizat numit „Jaguar Tooth” este un malware injectat direct în memoria routerelor Cisco ce rulează versiuni mai vechi de firmware. Odată instalat, malware-ul exfiltrează informațiile de pe router și oferă acces neautentificat la dispozitiv. S-a observat că este implementat și executat prin exploatarea vulnerabilității SNMP corectate CVE-2017-6742.
Noi atacuri de e-mail ce folosesc PDF și WSF pentru a instala malware
Un fost troian bancar ce a evoluat în malware (QBot) este utilizat în campanii de phishing și distribuie fișiere PDF și Windows Script Files (WSF) pentru a infecta dispozitivele Windows. Începe cu un e-mail la care este atașat un fișier PDF numit „CancelationLetter-[number].pdf ”, care fiind deschis, afișează un mesaj: „Acest document conține fișiere protejate, pentru a le afișa, faceți clic pe butonul „deschide””. Cu toate acestea, când se face clic pe butonul, va fi descărcat un fișier ZIP care conține un fișier Windows Script (wsf). Un fișier Windows Script se termină cu o extensie .wsf și poate conține un amestec de cod JScript și VBScript care este executat atunci când se face dublu clic pe fișier.
Agenția cibernetică din Marea Britanie avertizează asupra unei noi „clase” de hackeri ruși
Centrul Național de Securitate Cibernetică din Regatul Unit a emis o avertizare asupra unui risc crescut din cauza atacurilor din partea hacktiviștilor ruși, îndemnând toate organizațiile din țară să aplice măsurile de securitate. Grupurile de hacktiviști își concentrează, în special, activitatea asupra efectuării atacurilor DDoS, ce cauzează întreruperi ale serviciului asupra entităților critice, cum ar fi aeroporturile, parlamentul și site-urile guvernamentale. În context, instituția a publicat un ghid dedicat ce conține o listă de acțiuni pe care organizațiile ar trebui să le întreprindă în timpul amenințărilor cibernetice ridicate.
