Noutățile săptămânii din cybersecurity (29.04.2022)
Atacuri cibernetice de amploare asupra site-urilor guvernamentale din România
Un val de atacuri cibernetice a vizat site-urile mai multor instituții guvernamentale din România. O parte dintre acestea au fost blocate și nu pot fi accesate nici la această oră. Potrivit Guvernului României, vineri dimineață, accesarea site-urilor gov.ro, mapn.ro si politiadefrontiera.ro, cfrcalatori.ro şi a site-ului unei instituții financiare a fost afectată de o serie de atacuri cibernetice de tip DDOS (distributed denial of service).
Site-uri .ro afectate de un atac de tip DDoS (distributed denial of service)
Astăzi a avut loc o serie de atacuri de tip Distributed Denial of Service (DDoS) asupra unor site-uri care aparțin unor instituții publice și organizații private din România. Atacul a fost revendicat de gruparea de criminalitate cibernetică ‘Killnet’ pe un canal de comunicare de pe Telegram și este justificat de aceștia prin faptul că statul român sprijină Ucraina în conflictul militar cu Rusia. Directoratul Național de Securitate Cibernetică (DNSC) din România va publica lista de adrese de IP identificate ca fiind implicate în acest atac. Publicarea este parte a procesului standard de monitorizare și identificare a resurselor implicate în atacuri cibernetice în contextul conflictului Ucraina-Rusia, pe care Directoratul l-a pus în funcțiune de la declanșarea conflictului militar.
https://dnsc.ro/citeste/comunicat-site-uri-ro-afectate-de-un-atact-de-tip-ddos
Un grup de hackeri ruși revendică atacurile cibernetice asupra site-urilor guvernamentale din România
Mai multe site-uri guvernamentale din România au fost atacate cibernetic vineri dimineață. Printre acestea se numără site-urile Guvernului, al Ministerului Apărării, al Poliției de Frontieră și al Poliției Române. Ministerul Apărării a confirmat atacul cibernetic, început la ora 4 dimineața, accesul fiind restabilit în jurul orei 11:00. „Confirmăm că un atac cibernetic de tip distributed denial of service (DDOS), a fost declanșat, la ora 04.05, asupra site-ului MApN (www.mapn.ro). Atacul nu a compromis funcționarea paginii de internet a instituției, ci doar a blocat accesul utilizatorilor la aceasta”, a transmis ministerul. Grupul de hackeri ruși Killnet a revendicat atacurile cibernetice, după declarațiile făcute de președintele Senatului, Marcel Ciolacu. Gruparea susține că liderul PSD ar fi promis „asistență maximă” în furnizarea de arme letale Ucrainei.
CISA adaugă 7 vulnerabilități la lista erorilor exploatate în atacuri
Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) din SUA a completat cu încă șapte lista vulnerabilităților exploatate activ în atacurile cibernetice, inclusiv cele de la Microsoft, Linux și Jenkins. CISA a explicat că, Directiva operațională obligatorie (BOD) 22-01: Reducerea riscului semnificativ al vulnerabilităților exploatate cunoscute, a stabilit Catalogul Vulnerabilităților exploatate ca o listă vie de CVE ce implică riscuri semnificative pentru Agenție.
SUA oferă o recompensă de 10 milioane de dolari pentru informații despre hackerii ruși Sandworm
SUA oferă până la 10 milioane de dolari pentru a identifica sau a localiza șase hackeri ruși care fac parte din notoriul grup de hacking Sandworm, pentru presupusul lor rol în atacurile cibernetice rău intenționate împotriva infrastructurii critice din SUA. Această recompensă este oferită ca parte a programului Rewards for Justice al Departamentului de Stat, ce recompensează informatorii pentru detaliile care conduc la identificarea sau localizarea actorilor de amenințări guvernamentale străine, ce efectuează operațiuni cibernetice rău intenționate împotriva infrastructurii critice din SUA.
Un grup de hacking, implicat în furtul identității unei agenții guvernamentale din Rusia, a lansat o campanie de tip phishing asupra companiilor de telecomunicații din țările est-europene
Un grup de hacking, necunoscut anterior și motivat financiar a uzurpat identitatea unei agenții ruse și a lansat o campanie de phishing asupra entităților din țările est-europene. E-mailurile de phishing erau scrise în limba rusă, pretindeau că provin de la Serviciul Federal al Executorilor Judecătorești al Guvernului Rusiei și au fost transmise furnizorilor de servicii de telecomunicații și firme industriale din Lituania, Estonia și Rusia. Scopul final al e-mailurilor rău intenționate era instalarea unei copii de malware DarkWatchman pe computerele victimei, un JavaScript RAT (instrument de acces la distanță) ușor și ascuns, cu un keylogger C#.
Malware-ul Emotet a reînceput campania de infectarea utilizatorilor după înlăturarea unei probleme de instalare
Campania de phishing malware Emotet este din nou în funcțiune, după ce atacatorii au rezolvat o eroare, ce împiedică utilizatorii să se infecteze atunci când deschid atașamente de e-mail rău intenționate. Emotet este o infecție malware distribuită prin campanii spam cu atașamente malițioase. Dacă un utilizator deschide atașamentul, macrocomenzile sau scripturile rău intenționate vor descărca Emotet DLL și îl vor încărca în memorie. Odată încărcat, malware-ul fură e-mailuri pentru a le utiliza în campaniile de spam viitoare și va renunța la sarcini utile suplimentare, cum ar fi Cobalt Strike sau alte programe malware care duc în mod obișnuit la atacuri ransomware.
Microsoft susține că Rusia a lovit Ucraina cu sute de atacuri cibernetice
Microsoft a dezvăluit adevărata amploare a atacurilor cibernetice susținute de Rusia împotriva Ucrainei de la invazie, cu sute de încercări din partea mai multor grupuri de hacking rusești, care vizează infrastructura țării și cetățenii ucraineni. Atacurile incluzând, de asemenea, utilizarea de programe malware distructive concepute pentru a distruge sistemele critice și a perturba accesul civililor la servicii vitale critice și la informații de încredere.
Ucraina vizată de atacuri DDoS de la site-uri WordPress compromise
Echipa ucraineană de răspuns la situații de urgență informatică (CERT-UA) a publicat un anunț de avertizare privind atacurile DDoS (denegare distribuită a serviciului) în curs de desfășurare ce atacau site-uri pro-Ucraina și portalul web guvernamental. Actorii amenințărilor, compromit site-urile WordPress și injectează cod JavaScript rău intenționat pentru a efectua atacurile. Aceste scripturi sunt plasate în structura HTML a fișierelor principale ale site-ului web și sunt codificate în baza 64 pentru a evita detectarea.
Activați Windows 11 pentru a accesa toate setările într-un singur ecran
Spre deosebire de Windows 10, Windows 11 vine cu o nouă aplicație Setări. Folosește o bară laterală și breadcrumbs pentru a ajuta utilizatorii să navigheze cu ușurință între diferite pagini și oferă, de asemenea, noi comenzi pentru personalizare, gestionarea rețelei, consumul de energie, gestionarea discurilor și multe altele.
EmoCheck detectează acum noi versiuni pe 64 de biți ale programelor malware Emotet
CERT-ul Japoniei a lansat o nouă versiune a utilitarului EmoCheck pentru a detecta noi versiuni pe 64 de biți ale programului malware Emotet care a început să infecteze utilizatorii luna aceasta. Emotet este unul dintre programele malware, cel mai activ distribuit prin e-mailuri, care utilizează e-mailuri de phishing cu atașamente rău intenționate, inclusiv documente Word/Excel, comenzi rapide Windows, fișiere ISO și fișiere zip protejate cu parolă. E-mailurile de phishing folosesc momeli creative pentru a păcăli utilizatorii să deschidă atașamentele, inclusiv e-mailuri cu lanț de răspunsuri, notificări de expediere, documente fiscale, rapoarte contabile sau chiar invitații la petreceri de vacanță.
Microsoft remediază erori ExtraReplica Azure care au expus bazele de date ale utilizatorilor
Microsoft a abordat un lanț de vulnerabilități critice găsite în baza de date Azure pentru serverul flexibil PostgreSQL, care ar putea permite utilizatorilor rău intenționați să escaladeze privilegiile și să obțină acces la bazele de date ale altor clienți după ocolirea autentificării. Opțiunea de implementare Flexible Server pentru Azure Database pentru PostgreSQL oferă clienților controlul maxim posibil asupra bazelor lor de date, inclusiv reglarea fină și parametrii de configurare multipli. „Prin exploatarea unei erori de permisiuni ridicate în procesul de autentificare Flexible Server pentru un utilizator de replicare, un utilizator rău intenționat ar putea folosi o expresie regulată ancorată incorect pentru a ocoli autentificarea pentru a obține acces la bazele de date ale altor clienți”, a explicat echipa Microsoft Security Response Center.
O firmă Software medical franceză a fost amendată cu 1,5 milioane de euro pentru scurgeri de date despre de pacienți
Autoritatea franceză pentru protecția datelor (CNIL) a amendat furnizorul de software medical Dedalus Biology cu 1,5 milioane de euro pentru încălcarea a trei articole din Regulamentul general privind protecția datelor. Firma Software medical oferă servicii la mii de laboratoare medicale din țară și a fost amendată pentru expunerea detaliilor sensibile a circa 490. 000 de pacienți. Baza de date a scurs online și a dezvăluit detalii despre numele complet și codul numeric al pacienților, numele medicului prescriptor, data examinării, inclusiv, informații medicale precum statusul HIV, cancerul, bolile genetice, sarcinile, tratamentele etc., iar în unele cazuri chiar și informații genetice. Aceste informații au fost partajate pe scară largă pe internet, astfel încât clienții riscă să fie manipulați prin inginerie socială, phishing, înșelați și chiar șantajați.
Cheltuielile pentru restabilirea după un atac ransomware reprezintă circa 15% din costul total al atacurilor de acest tip
Cercetătorii care analizează consecințele colaterale ale unui atac ransomware, informează că, cheltuielile pentru restabilirea după un atac ransomware sunt de șapte ori mai mari decât răscumpărarea cerută de actorii amenințărilor. Acestea incluzând povara financiară impusă de efortul de răspuns la incident, restaurarea sistemului, taxele legale, costurile de monitorizare și impactul general al întreruperii afacerii. Atacurile ransomware implică de obicei furtul de date de la companie și sistemele de criptare pentru a forța victima să plătească pentru a decripta fișierele și pentru a evita o scurgere de date.
Atenție: ransomware-ul Onyx distruge fișierele în loc să le cripteze
O nouă operațiune de ransomware Onyx distruge fișierele mai mari de 2 MB în loc să le cripteze, împiedicând decriptarea acelor fișiere chiar dacă se plătește o răscumpărare. Săptămâna trecută, cercetătorul de securitate MalwareHunterTeam a descoperit că a fost lansată o nouă operațiune de ransomware numită Onyx. La fel ca majoritatea operațiunilor de ransomware, actorii amenințărilor Onyx fură date dintr-o rețea, înainte de a cripta dispozitivele. Aceste date sunt apoi folosite în scheme de dublă extorcare, în care amenință că vor elibera public datele dacă nu se achită răscumpărare.
Referințe:
