Noutățile săptămânale din cybersecurity (25.02.2022)
LockBit, cel mai activ ransomware Conti ce vizează sectorul industrial
Atacurile ransomware au devenit amenințarea numărul unu în sectorul industrial în anul trecut, mai frecventă în sectorul de producție reprezentând 65%, urmate de 35% în domeniul alimentar și băuturi, etc. Două grupuri de ransomware, LockBit și Conti, au fost cele mai active cu un sistem de control industrial (ICS)/tehnologie operațională (OT) în 2021.
O nouă metodă abuzivă de phishing ocolește MFA folosind software-ul de acces la distanță
O nouă tehnică de phishing le permite adversarilor să ocolească autentificarea cu mai mulți factori (MFA), punând victimele să se conecteze în secret la conturile lor direct pe serverele controlate de atacator, folosind sistemul de partajare a ecranului VNC. Unul dintre cele mai mari obstacole în calea atacurilor de phishing de succes este ocolirea autentificării cu mai mulți factori (MFA) configurată pe conturile de e-mail ale victimei vizate. Chiar dacă actorii amenințărilor pot convinge utilizatorii să-și introducă acreditările pe un site de phishing, dacă MFA protejează contul, compromiterea completă a contului necesită totuși parola unică trimisă victimei.
Google Chrome pentru permite utilizatorilor să adauge note la parolele salvate
Google testează o nouă funcție Chrome ce permite utilizatorilor să adauge note despre parolele salvate în browserul web. Noua caracteristică a fost depistată de un utilizator Reddit (u/Leopeva64-2) pe Google Chrome Canary (versiunea 101), ce este o versiune experimentală viitoare la trei versiuni distanță de ramura stabilă, în prezent la versiunea 98. Această caracteristică va permite utilizatorilor să editeze o parolă salvată existentă pentru a adăuga informații suplimentare, cum ar fi adrese de e-mail asociate contului, întrebări/răspunsuri de securitate sau alte informații care pot fi necesare la conectarea sau utilizarea site-ului.
Serverele Microsoft SQL vulnerabile au fost vizate de Cobalt Strike
Analiștii amenințărilor au observat un nou val de atacuri ce instalează balize Cobalt Strike pe serverele Microsoft SQL vulnerabile, ceea ce duce la infiltrații profunde și la infecții ulterioare cu malware. MS-SQL Server fiind un sistem popular de gestionare a bazelor de date ce alimentează aplicații mari de internet către aplicații mici cu un singur sistem. Cu toate acestea, multe dintre aceste implementări nu sunt securizate în mod adecvat, deoarece sunt expuse public la Internet cu parole slabe și, potrivit unui raport al ASEC de la Ahn Lab, un actor necunoscut de amenințări profită de acest lucru.
Poliția cibernetică ucraineană a deconspirat un grup de atacatori de phishing care a folosit 40 de site-uri pentru a fura carduri bancare
Poliția cibernetică ucraineană a arestat un grup de actori de phishing care au reușit să fure datele cardurilor de plată de la cel puțin 70.000 de persoane, după ce i-au atras pe site-uri false de reîncărcare a serviciilor mobile. Potrivit anunțului forțelor de ordine, actorii au folosit informațiile furate pentru a goli conturile bancare ale victimelor. Cinci persoane au fost arestate pentru că au desfășurat o operațiune de phishing bine pusă la punct, ce se baza pe servicii de marketing și publicitate pentru a crește vizibilitatea pe motoarele de căutare și platformele de social media.
O nouă versiune a malware CryptBot răspândită de site-uri de software piratate
O nouă versiune a furtului de informații CryptBot a fost distribuită prin mai multe site-uri web ce oferă descărcări gratuite de crackuri pentru jocuri și software de calitate. CryptBot este un program malware Windows ce fură informații de pe dispozitivele infectate, inclusiv acreditările salvate de browser, cookie-uri, istoricul browserului, portofelele criptomonede, cardurile de credit și fișierele. Cea mai recentă versiune prezintă noi capabilități și optimizări, în timp ce autorii de programe malware au șters și câteva funcții mai vechi pentru a face instrumentul lor mai simplu și mai eficient.
Un nou program malware atacă dispozitivele Android pentru a fura informații bancare, au fost vizați clienții a 56 de bănci
Un nou malware numit Xenomorph distribuit prin Google Play Store a infectat peste 50.000 de dispozitive Android pentru a fura informații bancare. Încă din stadiu incipient de dezvoltare, Xenomorph vizează utilizatorii a zeci de instituții financiare din Spania, Portugalia, Italia și Belgia. Cercetătorii de la compania de prevenire a fraudei și a Criminalității Cibernetice ThreatFabric, care analizează Xenomorph, au găsit un cod similar cu troianul bancar Alien. Acest lucru sugerează că cele două amenințări sunt într-un fel conectate: fie Xenomorph este succesorul lui Alien, fie un dezvoltator a lucrat la ambele.
O nouă campanie de phishing afectează clienții platformei Monzo - online-banking
Utilizatorii celei mai populare platforme bancare digitale din Marea Britanie, Monzo, sunt vizați de mesaje de phishing susținute de o rețea în creștere de site-uri web rău intenționate. Monzo este o platformă bancară online 100% cu peste patru milioane de clienți și printre primii care provoacă sistemul tradițional de management financiar. Platforma numai pentru mobil oferă o aplicație bogată în funcții, carduri de debit Mastercard și un sistem cuprinzător, dar nu complet impecabil de detectare a fraudei.
CISA a întocmit o listă de instrumente și servicii gratuite de securitate cibernetică
Agenția pentru Securitatea Cibernetică și Securitatea Infrastructurii (CISA) din SUA a publicat o listă de servicii și instrumente gratuite de securitate cibernetică pentru a ajuta organizațiile să-și sporească capacitățile de securitate și de apărare împotriva atacurilor cibernetice. Setul de instrumente propus are rolul de a dezvolta managementul riscului de securitate cibernetică a unei entități, atunci când este combinat cu practici de securitate de bază pentru un program puternic de securitate cibernetică.
SUA și Marea Britanie expun noile programe malware folosite de hackerii MuddyWater
Agențiile de securitate cibernetică din SUA și Marea Britanie au distribuiti informații despre noile programe malware implementate de grupul de hacking MuddyWatter, susținut de Iran, în atacuri ce vizează infrastructura critică din întreaga lume.
Servere Microsoft Exchange piratate pentru a implementa ransomware-ul Cuba
Operațiunea de ransomware Cuba exploatează vulnerabilitățile Microsoft Exchange pentru a obține acces inițial la rețelele corporative și pentru a cripta dispozitivele.
Ransomware folosit ca momeală în atacurile de ștergere a datelor asupra Ucrainei
Noul program malware de ștergere a datelor desfășurat pe rețelele ucrainene în atacuri distructive a fost, în unele cazuri, însoțit de o momeală ransomware bazată pe GoLang.
Programele malware se infiltrează în Microsoft Store prin clone de jocuri populare
Un malware numit Electron Bot și-a găsit drumul în Magazinul oficial al Microsoft prin clone de jocuri populare precum Subway Surfer și Temple Run, ducând la infectarea a circa 5.000 de computere în Suedia, Israel, Spania și Bermude.
Malware-ul, detectat reprezintă o intrare “pe ușa din spate” ce oferă adversarilor control complet asupra mașinilor compromise, susținând execuția comenzilor de la distanță și interacțiunile în timp real.
Microsoft Defender pentru Cloud poate proteja acum resursele Google Cloud
Microsoft a anunțat că, Microsoft Defender pentru Cloud vine acum și cu protecție nativă pentru mediile Google Cloud Platform (GCP), oferind recomandări de securitate și amenințărilor în cloud. Defender for Cloud (cunoscut anterior ca Azure Security Center și Azure Defender) este o soluție de securitate ce monitorizează serviciile cloud pentru amenințări, face recomandări pentru a întări postura de securitate și detectează și avertizează asupra vulnerabilităților în medii protejate multi-cloud și hibride.
Ransomware Entropy legat de programul malware Dridex de la Evil Corp
Analiza ransomware-ului Entropy care a apărut recent dezvăluie asemănări la nivel de cod cu malware-ul general Dridex care a început ca un troian bancar. Două atacuri ransomware Entropy împotriva diferitelor organizații au permis cercetătorilor să conecteze punctele și să stabilească o conexiune între cele două componente de malware.
