Noutățile săptămânii din cybersecurity (22.04.2022)
FBI: Ransomware-ul BlackCat a spart cel puțin 60 de entități din întreaga lume
Biroul Federal de Investigații (FBI) spune că banda de ransomware Black Cat, cunoscută și sub numele de ALPHV, a spart rețelele a cel puțin 60 de organizații din întreaga lume, în perioada noiembrie 2021 - martie 2022. Alerta emisă de FBI, evidențiază tacticile, tehnicile și procedurile (TTP) utilizate de indicatorii de compromitere (IoC) aferente versiunilor de ransomware identificate în timpul investigațiilor.
Amenințări cibernetice sponsorizate de Rusia la adresa infrastructurii critice
Autoritățile de securitate cibernetică din Statele Unite, Australia, Canada, Noua Zeelandă și Regatul Unit au emis un aviz comun de securitate cibernetică, avertizând că, în contextul războiului din Ucraina, a crescut numărul atacurilor cibernetice rău intenționate și există un risc sporit de atac asupra instituțiilor din regiune.
Site-urile TOR ale REvil revin pentru a redirecționa către o nouă operațiune de ransomware
Serverele ransomware-ului REvil din rețeaua TOR au revenit după luni de inactivitate și sunt redirecționate către o nouă operațiune lansată recent. Cercetătorii de securitate pancak3 și Soufiane Tahiri au observat că noul site de scurgeri REvil este promovat pe RuTOR, o piață de forum ce se concentrează pe regiunile de limbă rusă. De asemenea, experții mai informează că nu s-a identificat încă cine se află în spatele noii operațiuni conectate la REvil, dar noul site de scurgeri enumeră un catalog mare de victime ale atacurilor REvil anterioare, la care se adaugă altele două noi.
Serverele Microsoft Exchange au fost piratate pentru a implementa ransomware-ul Hive
Un afiliat ransomware Hive a spart serverele Microsoft Exchange vulnerabile la problemele de securitate ProxyShell, pentru a implementa diferite „uși din spate” (backdoors), inclusiv semnalizator Cobalt Strike. De acolo, actorii amenințărilor efectuează recunoașterea rețelei, fură acreditările contului de administrator, exfiltrează date valoroase, implementând în cele din urmă sarcina de criptare a fișierelor. Detaliile au fost oferite de compania de securitate și analiză Varonis, solicitată să investigheze un atac ransomware asupra unuia dintre clienții săi.
FBI avertizează că și sectorul agricol din SUA este „vânat” de atacuri ransomware
Biroul Federal de Investigații al SUA (FBI) a avertizat organizațiile din sectorul alimentației și agriculturii (FA) cu privire la un risc crescut de atacuri ransomware în timpul sezonului de recoltare și de plantare. FBI a menționat că numărul atacurilor împotriva unor astfel de entități, în timpul sezoanelor critice pentru domeniile date, iese în evidență.
Microsoft Defender semnalează actualizările Google Chrome ca fiind suspecte
Microsoft Defender pentru Endpoint a etichetat actualizările Google Chrome livrate prin Google Update ca activitate suspectă. Conform rapoartelor administratorilor de sistem Windows, soluția de securitate (cunoscută anterior ca Microsoft Defender ATP) a început să marcheze actualizările Chrome ca suspecte, din momentul când utilizatorii care au întâmpinat această problemă, au raportat că au văzut alerte „Incident în mai multe etape cu evaziunea execuției și apărării” pe punctele finale Windows afectate, supuse monitorizării de către Defender pentru Endpoint.
Premiu de 5 milioane dolari pentru informații despre hackerii sponsorizați de Coreea de Nord
Programul Rewards for Justice al U.S. State Department oferă un premiu de USD 5 milioane în schimbul unor informații utile la perturbarea activităților ilicite în sprijinul Coreei de Nord, precum spălarea de bani, exportul de produse de lux sau acțiuni care afectează securitatea cibernetică a instituțiilor financiare și exchange-urilor de criptomonede.
Anunțul vine în contextul în care FBI a atribuit grupului Lazarus atacul cibernetic împotriva rețelei Ronin, care a condus la furtul a 620 de milioane de dolari.
https://www.bankinfosecurity.com/feds-offer-5-million-to-help-disrupt-north-korean-hackers-a-18911
Un grup de spionaj cibernetic desfășoară o campanie împotriva Ucrainei
Cercetătorii de la Symantec Threat Hunter Team au realizat o analiză a activității grupului Shuckworm (cunoscut ca Armageddon sau Gamaredon) care își concentrează acțiunile pe organizațiile din Ucraina încă de la prima apariție din 2014. De obicei, atacurile grupului au rolul de a colecta informații
Conform analizei, tacticile și instrumentele grupului nu sunt sofisticate, însă Shuckworm se remarcă prin frecvența și persistența atacurilor, reprezentând una dintre amenințările principale pentru organizațiile din Ucraina. Ca parte a activității recente a Shuckworm, au fost lansate mai multe versiuni ale backdoor-ului Ptedoro.
Mai multe entități catalane au fost vizate de spyware
Citizen Lab a publicat o analiză conform căreia, începând cu 2017, cel puțin 65 de indivizi catalani, printre care sunt membri ai Parlamentului European, președinți sau membri ai societății civile, au fost vizați de Pegasus și Candiru spyware. Victimele au fost infectate prin SMS-uri rău-intenționate și zero-click exploits.
Citizen Lab nu a atribuit operația de monitorizare prin spyware unei entități guvernamentale, însă a indicat că anumite dovezi circumstanțiale pot asocia operația cu Guvernul Spaniol.
Proiectul DeFi Beanstalk Farms a fost afectat de un hack de 182 milioane de dolari
Proiectul Decentralized Finance (DeFi) Beanstalk Farms a fost vizat de un atac, care, conform companiei de securitate cibernetică PeckShield, a dus la pierderea a aproximativ182 milioane de dolari. În urma incidentului, valoare stablecoin-ului Beanstalk a scăzut de la USD 1 la USD 0,15. Conform Omniscia, companie de securitate a blockchain-ului, hackerii au compromis mecanismul de guvernare al protocolului, exploatând o vulnerabilitate dintr-un serviciu nou lansat. PeckShield a indicat că hackerii au spălat criptomonedele prin Tornado Cash și au donat 250.000 de dolari către Ukraine Crypto Fund.
Referințe: www.dnsc.ro; www.bleepingcomputer.com
