Noutățile săptămânii din cybersecurity (4.03.2022)
CISA și FBI avertizează asupra potențialelor atacuri de ștergere a datelor
Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) și Biroul Federal de Investigații (FBI) au avertizat organizațiile americane că atacurile de ștergere a datelor ce vizează Ucraina s-ar putea răspândi asupra țintelor din alte țări.
Campanie de phishing împotriva membrilor guvernelor europene implicați în asistența refugiaților ucraineni
Conform experților de la Proofpoint, o campanie de phishing, vizează personalul guvernamental european însărcinat cu gestionarea transportului și mișcării refugiaților în Europa. Campania ar avea legătură cu un grup de atacatori numit „TA445” sau „Ghostwriter”. Proofpoint a indicat că atacatorii au utilizat o adresă de email compromisă, aparținând unui membru al forțelor militare ucrainene, pentru lansarea campaniei. Email-ul conține un alt atașament care încearcă descărcarea unui malware Lua, numit SunSeed.
Tentativă de fraudă cu donații false pentru refugiații din Ucraina
Directoratul Național de Securitate Cibernetică din România a fost notificat despre apariția unei campanii de tip fraudă distribuită prin e-mail care este lansată de la adresa ukrarelief[@]unations[.]com. Domenul unations.com apare în acest moment ca fiind de vânzare. Textul mesajului face apel la strângerea de fonduri pentru refugiații care fug din calea războiului din Ucraina prin Ukraine Crisis Relief Fund, iar metoda propusă de transmitere a banilor este un portofel de Bitcoin. Desigur, informațiile prezentate sunt false, dacă facem o minimă documentare.
https://dnsc.ro/citeste/alerta-frauda-donatii-ucraina
Lista site-uri fake news și fraude cu activitate cu referire la criza Ucraina – Rusia
În contextul conflictului din Ucraina, Directoratul Național de Securitate Cibernetică (DNSC) a publicat o listă de site-uri cu activitate în contextul crizei Ucraina – Rusia, plus adrese IP specifice utilizate în atacuri malware.
Rețeaua europeană a Viasat suferă întreruperi de funcționare
Începând cu 24 februarie 2022, aproximativ șase furnizori de servicii de internet din Europa sunt afectați de întreruperea serviciilor. Situația ar avea legături cu atac cibernetic împotriva infrastructurii terestre a satelitului Ka-SAT, aparținând Viasat. Conform unui raport al companiei cehe INTV, afectată de situație, impactul a fost inițiat în Ucraina, de unde s-a extins la nivelul restului acoperirii satelitului. Totuși, segmentul european al Viasat pentru mobilitate aeriană comercială nu este afectat.
https://paxex.aero/viasat-kasat-outage-europe/
Ghid realizat de CISA și FBI care oferă informații despre familiile de malware WhisperGate și HermeticWhiper
Agenția pentru Securitatea Cibernetică și Infrastructură a SUA (CISA) și Biroul de Investigații Federale (FBI) au lansat împreună un ghid comun care oferă informații despre familiile de malware distructiv WhisperGate și HermeticWhiper, indicatorii de compromitere open-source, pentru a ajuta organizațiile să detecteze și să prevină aceste atacuri, dar și un set de recomandări și bune practici cu privire la măsurile de securitate cibernetică, arhitectura de rețea, monitorizarea continuă și strategii/metode de răspuns la incidente.
https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
TeaBot se răspândește din nou prin aplicații din Google Play
Conform cercetătorilor de la Cleafy, versiunea din februarie 2022 a troianului bancar TeaBot a evitat măsurile de securitate ale Google Play Store, fiind distrbuit printr-o aplicație numită „QR Code & Barcode - Scanner”. TeaBot vizează utilizatori ai peste 400 de aplicații bancare, de asigurări sau pentru cryptomonede, din mai multe țări, inclusiv SUA, Rusia sau China. De obicei, TeaBot este răspândit prin aplicații dropper din categoriile „PDF document” sau „QR code scanner”, care sunt plasate pe Google Play Store. Cercetătorii de la Bitdefender au indicat în ianuarie 2022 că o astfel de aplicație a fost descărcată de peste 100,000 de ori înainte de a fi eliminată din magazinul de aplicații. În urma descărcării, o astfel de aplicație solicită aplicarea unei actualizări false, care duce la instalarea unei alte aplicații găzduită pe GitHub, acesta fiind cea care conține malware-ul TeaBot. Succesul atacului depinde de faptul că utilizatorii trebuie să permită instalări din surse necunoscute.
https://thehackernews.com/2022/03/teabot-android-banking-malware-spreads.html
Decriptor gratuit lansat pentru victimele HermeticRansom din Ucraina
Avast a lansat un decriptor pentru tulpina de ransomware HermeticRansom folosită în atacurile direcționate împotriva sistemelor ucrainene în ultimele zece zile. Decriptorul este oferit ca instrument de descărcare gratuită de pe site-ul Avast și îi poate ajuta pe ucraineni să-și restaureze datele rapid și fiabil. Primele semne ale distribuției HermeticRansom au fost observate de cercetătorii ESET pe 23 februarie, cu doar câteva ore înainte ca invazia trupelor rusești să se desfășoare în Ucraina. Tulpina ransomware a fost livrată împreună cu un vierme de computer numit HermeticWizard și a servit mai mult ca o momeală în atacurile ștergătoare, decât ca un instrument pentru a sprijini extorcarea financiară.
https://faisalonline.com/free-decryptor-released-for-hermeticransom-victims-in-ukraine.html
Încălcarea datelor NVIDIA a expus acreditările a peste 71.000 de angajați
Peste 71.000 de acreditări ale angajaților au fost furate și s-au scurs online în urma unei breșe de date suferite de gigantul american Nvidia, producător de cipuri, luna trecută. Serviciul de notificare a încălcării datelor Have I Been Pwned a adăugat miercuri în baza sa de date ce aparțin a 71.335 de conturi compromise.
Referințe:
www.dnsc.ro
www.bleepingcomputer.com/
