Noutățile săptămânii din cybersecurity (3.06.2022)
Conturile WhatsApp pot fi deturnate prin redirecționarea apelurilor
Cercetătorii avertizează că un atacator care știe numărul de telefon al victimei poate fura definitiv contul acesteia de WhatsApp. Metoda se bazează pe serviciul automat al operatorilor de telefonie mobilă pentru redirecționarea apelurilor și pe opțiunea WhatsApp de a trimite un cod de verificare a parolei unice prin apel vocal. Prin tehnici de social engineering, persoana rău intenționată poate pacăli victima să efectueze un apel – practic, să redirecționeze apelurile către telefonul atacatorului – moment în care atacatorul poate începe procesul de înregistrare a contului Whatsapp pe dispozitivul său, alegând opțiunea de a primi codul de verificare a parolei unice prin apel vocal. Ulterior, atacatorul poate activa autentificarea 2FA, ceea ce va împiedica recâștigarea accesului asupra contului de către proprietarul de drept.
https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html
FBI a confiscat trei domenii folosite pentru servicii de atac DDoS
Biroul Federal de Investigații (FBI) și Departamentul de Justiție al SUA au anunțat confiscarea a trei domenii utilizate de infractorii cibernetici pentru a vinde informații personale furate în caz de încălcare a datelor și pentru a oferi servicii de atac DDoS. Spre exemplu, unul dintre domenii vindea abonamente, ce le permiteau utilizatorilor să caute într-o bază de date cu informații furate (informații de identificare personală, inclusiv nume, adrese de e-mail, nume de utilizator, numere de telefon și parole pentru conturile online), peste 10.000 de încălcări ale datelor.
Guvernul SUA avertizează că cererilor de răscumpărare făcute de banda „Karakurt” nu opresc scurgerile de date
Mai multe agenții federale din SUA au avertizat peste 40 de organizații, care au căzut victime ale tentativelor de hacking „Karakurt”, să nu admită plăți pentru cererile de răscumpărare, deoarece acest lucru nu va împiedica datele lor furate să fie vândute altora. „Karakurt” este un canal de extorcare de date a bandei de ransomware Conti și a sindicatului criminalității informatice, se concentrează pe furtul de date de la companii și să le oblige să plătească răscumpărări sub amenințarea de a publica informațiile online.
Atacurile ransomware au nevoie de mai puțin de patru zile pentru a cripta sistemele
Cercetătorii echipei X-Force a IBM din incidente cibernetice analizate în anul 2021, au observat că, durata atacurilor ransomware a fost în medie de 92,5 ore, măsurată de la accesul inițial la rețea până la implementarea sarcinii utile. Astfel, actorii de ransomware petrecând, în medie, 230 de ore pentru a-și finaliza atacurile și 1637,6 ore în 2019. De asemenea, cercetătorii au observat, o colaborare mai strânsă între brokerii de acces inițial și operatorii de ransomware. În plus, unele bande de ransomware dețin controlul direct asupra vectorului inițial de infecție, un exemplu fiind Conti preluarea operațiunii malware TrickBot.
Raport referitor la fraudele pe dispozitivele mobile
Un raport al Threat Fabric pentru anul 2022 indică o intensificare a numărului de troieni bancari și a activităților rău intenționate, în care aceștia sunt utilizați împotriva dispozitivelor mobile. Astfel, Spania și Turcia ocupă primele două locuri în topul țărilor vizate pentru campanii malware, fiind urmate de Polonia, Australia, SUA, Germania, Marea Britanie, Italia, Franța și Portugalia. Hydra, Flubot, Cerberus, Octo și ERMAC sunt cei mai activi troieni bancari observați în creșterea de peste 40% a familiilor de malware care au abuzat sistemul de operare Android în primele 5 luni ale anului 2022 și permanent le sunt aduse îmbunătățiri și actualizări. Cercetătorii recomandă utilizatorilor să descarce aplicațiile doar din Google Play Store, să se evite acordarea de permisiuni neobișnuite aplicațiilor care nu au motiv să le solicite și să fie atenți la orice tentative de phishing care vizează instalarea de aplicații frauduloase.
Raport al impactului spamului și al escrocheriilor telefonice în SUA
Truecaller și The Harris Pool au realizat o cercetare ale cărei concluzii dezvăluie tendințele privind impactul spamului și al escrocheriilor telefonice ce au pătruns tot mai mult în SUA. Studiul estimează că în ultimele 12 luni s-au pierdut, doar pe teritoriul SUA, aproximativ 39,5 miliarde USD, cea mai mare sumă din ultimii opt ani, de când Truecaller a început să cerceteze apelurile rău intenționate și spam-ul pe teritoriul Statelor Unite. Potrivit raportului, aproximativ 68,4 milioane de americani au declarat că au pierdut bani din escrocherii telefonice și unul din trei americani a declarat că a căzut victimă acestor înșelătorii.
Vulnerabilitate zero-day a Microsoft Office
Cercetătorii în domeniul securității cibernetice au observat o vulnerabilitate de tip zero-day a Microsoft Office, numită „Follina”, ce ar fi putut fi exploatată activ. Un cercetător a indicat pe Twitter că a găsit pe VirusTotal un document Word, încărcat din Belarus, proiectat pentru a executa cod PowerShell arbitrar atunci când este deschis, chiar dacă macrocomenzile sunt dezactivate - documentele Word rău intenționate sunt de obicei utilizate pentru executarea codului prin macrocomenzi. DNSC a publicat la vremea respectivă o alertă despre această problemă, care poate fi accesat și descarcată aici: https://dnsc.ro/vezi/document/dnsc-alert-v20220530-zero-day-vulnerability-msf-word-pdf
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
Vulnerabilitățile aplicațiilor Android pot expune utilizatorii la atacuri cibernetice
Microsoft a dezvăluit public o serie de vulnerabilități ale aplicațiilor Android, ce ar fi putut expune utilizatorii la atacuri cibernetice, însă nu a dezvăluit lista completă a aplicațiilor ce utilizează cadrul vulnerabil în cauză. Vulnerabilitățile au fost identificate ca CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, CVE-2021-42601, au primit scoruri CVSS între 7,0 – 8,9 din 10 și nu a fost identificată o exploatare activă a acestor defecte. Microsoft a informat Google cu privire la aceste vulnerabilități de securitate. În replică, Google a actualizat Google Play Protect care execută o verificare de siguranță a aplicațiilor înainte de a le descărca din Google Play.
https://thehackernews.com/2022/05/microsoft-finds-critical-bugs-in-pre.html
Italia avertizează organizațiile să se pregătească pentru atacurile DDoS
Echipa italiană de răspuns la incidente de securitate informatică (CSIRT) a emis o alertă urgentă pentru a crește gradul de conștientizare cu privire la riscul ridicat de atacuri cibernetice împotriva entităților naționale. CSIRT informează că, există semne și amenințări de posibile atacuri iminente împotriva entităților publice naționale, a entităților private ce furnizează un serviciu de utilitate publică sau a entităților private a căror imagine este identificată cu țara Italiei. Tipul de atac este DDoS (denial-of-service distribuit), ce poate provoca daune financiare sau de altă natură, din cauza întreruperilor și întreruperilor serviciului.
Programul de recompense LinkedIn devine public
LinkedIn a decis să facă public programul său de recompense pentru erori și astfel să extindă aria pasionaților, care doresc să cerceteze și să raporteze potențialele vulnerabilități de securitate ale platformei. Sumele oferite drept recompensă variază între 500 și 15.000 USD. Până în prezent fiind acordate recompense în valoare de mai mult de 250.000 USD.
Avertisment FBI – campanii frauduloase de strângere de fonduri pentru Ucraina
FBI a emis un avertisment către publicul larg în contextul fraudelor financiare deghizate în strângeri de fonduri pentru Ucraina. Escrocii pretind că sunt entități ucrainene ce au nevoie de ajutor umanitar sau entități ce dezvoltă campanii de strângere de fonduri.
Referințe bibliografice: www.dnsc.ro; www.bleepingcomputer.com.
