Author: admin

Incident CrowdStrike: Lekcije za izboljšanje odpornosti IT sistemov

admin Leave a comment

Globalni izpad, ki ga je povzročila napačna posodobitev varnostne programske opreme podjetja CrowdStrike, je jasen opomin, da digitalne korenine globoko pronicajo v vse organizacije in ekosisteme, tako da je vpliv teh dogodkov vse bolj moteč za podjetja, dobaviteljske verige in družbo kot celoto.

Ključne ugotovitve iz incidenta CrowdStrike:

  • Napaka pri samodejni posodobitvi varnostne programske opreme CrowdStrike je povzročila, da so računalniki z operacijskimi sistemi Microsoft Windows začeli nenadoma odpovedovati.
  • CrowdStrike ima velik globalni inštalacijski bazen, zato je imel ta incident širok doseg in vpliv na več panog.
  • Proces za obnovitev sistemov je zelo ročen in je še bolj zapleten v oblačnih okoljih, zato bo čas in napor za to velik, kar bo povzročilo dolg rep poslovnih motenj.
  • Vpliv incidenta ni omejen samo na stranke CrowdStrike, pričakujemo tudi znatne posredne motnje v dobavni verigi, ki se bodo nadaljevale v naslednjih dneh in tednih.

Lekcije iz incidenta CrowdStrike

Temeljito testiranje posodobitev programske opreme

Uvedba obsežnega testiranja pred izdajo posodobitev v peščeničnih okoljih

  • Ustvarite ločena testna okolja, ki replicirajo produkcijsko infrastrukturo, vendar so izolirana od dejanskih sistemov
  • Razvijte obsežne testne scenarije, ki pokrivajo različne konfiguracije, uporabniške primere in morebitne interakcije z drugimi sistemi
  • Vključite avtomatizirana orodja za testiranje, kot so orodja za testiranje zmogljivosti in varnosti, za povečanje obsega in hitrosti testiranja
  • Zagotovite, da testna okolja vključujejo reprezentativne podatke in obremenitve, da se čim bolj približajo realnim pogojem

Uporaba kontroliranih skupin za postopno uvajanje posodobitev

  • Razdelite uporabnike ali sisteme v več skupin, kot so alfa, beta in produkcija
  • Najprej uvedite posodobitev v najmanjšo alfa skupino in skrbno spremljajte morebitne težave
  • Postopoma širite uvajanje na večje skupine, kot je beta, in šele nato na celotno produkcijsko okolje
  • Pripravite načrt za hitro povrnitev na prejšnjo različico, če se pojavijo kritične težave v katerikoli fazi

Robustni mehanizmi za povrnitev posodobitev

Vzpostavitev jasnih postopkov za hitro povrnitev problematičnih posodobitev

  • Opredelite korake za identifikacijo in izolacijo prizadetih sistemov
  • Pripravite skripte ali avtomatizirane postopke za hitro vrnitev na prejšnjo različico programske opreme
  • Zagotovite, da so potrebni viri, kot so varnostne kopije in obnovljive slike, na voljo za takojšnjo uporabo
  • Redno testirajte postopke povrnitve, da zagotovite njihovo učinkovitost in ažurnost

Implementacija mehanizmov za samodejno povrnitev

  • Uporabite orodja za upravljanje posodobitev, ki omogočajo samodejno povrnitev na prejšnjo različico ob zaznavi težav
  • Konfigurirajte točke obnovitve, ki omogočajo vrnitev na znano dobro stanje sistema
  • Omogočite možnost preklica posodobitev, da lahko uporabniki ali administratorji ročno razveljavijo spremembe
  • Zagotovite, da so mehanizmi za samodejno povrnitev testirani in integrirani v celoten proces upravljanja posodobitev

Učinkovita komunikacija in preglednost

Razvoj komunikacijske strategije

  • Opredelite ciljne skupine, kot so stranke, partnerji in interni uporabniki, ter njihove komunikacijske kanale
  • Pripravite predloge sporočil za različne scenarije, vključno z obvestili o posodobitvah, opozorilih o težavah in posodobitvami statusa
  • Določite pooblaščene govorce in zagotovite, da so vsi zaposleni seznanjeni s komunikacijskimi protokoli
  • Redno pregledujte in posodabljajte komunikacijsko strategijo na podlagi povratnih informacij in lekcij iz incidentov

Uporaba več kanalov za obveščanje

  • Uporabite spletno stran za stanje storitev ali portal za obveščanje, kjer lahko objavite posodobitve v realnem času
  • Pošiljajte e-poštna obvestila ključnim kontaktom in naročnikom na obvestila
  • Uporabite družbena omrežja, kot sta Twitter in LinkedIn, za širjenje informacij širši javnosti
  • Zagotovite, da so vsi kanali redno posodobljeni in da so sporočila dosledna in usklajena

Izboljšana podpora in načrtovanje okrevanja

Ustvarjanje in redno posodabljanje načrta za obnovo po katastrofi

  • Opredelite kritične sisteme in storitve ter njihove odvisnosti
  • Določite cilje za čas okrevanja (RTO) in točke okrevanja (RPO) za vsako storitev
  • Opredelite vloge in odgovornosti za odziv na incidente in okrevanje
  • Redno testirajte načrt z vajami okrevanja, da zagotovite njegovo učinkovitost in ažurnost

Izvajanje rednih vaj okrevanja

  • Načrtujte in izvedite vaje okrevanja, kot so simulacije incidentov in testi obnovljivosti
  • Vključite ključne zainteresirane strani, kot so vodstvo, IT ekipe in podporne službe
  • Ocenite uspešnost vaj in identificirajte priložnosti za izboljšave
  • Dokumentirajte lekcije, ki jih je mogoče uporabiti za posodobitev načrtov in postopkov

Neprestano izboljševanje in povratne informacije

Uvedba povratne zanke za oceno odziva na incident

  • Vzpostavite proces za zbiranje povratnih informacij od prizadetih strank in internih ekip
  • Analizirajte odziv na incident in identificirajte področja za izboljšanje
  • Pripravite poročilo o incidentu, ki vključuje priporočila za izboljšave
  • Spremljajte in merite uspešnost uvedenih izboljšav

Analiza incidentov za identifikacijo vzrokov

  • Uporabite tehnike analize korenskih vzrokov, kot je diagram ribje kosti, za odkrivanje temeljnih vzrokov incidentov
  • Identificirajte ponavljajoče se vzorce in trende, da se prepreči ponovitev podobnih incidentov
  • Uvedite preventivne ukrepe, kot so spremembe v postopkih, usposabljanje ali nadgradnje sistemov
  • Delite lekcije in najboljše prakse z drugimi ekipami in organizacijami, kjer je to primerno

Razumevanje odvisnosti od IT sistemov

Prepoznavanje kritičnih IT sistemov in vlaganje v odpornost

  • Ocenite kritičnost in tveganja, povezana z vsakim IT sistemom
  • Uvedite redundanco, kot so sekundarne lokacije ali visoko razpoložljive konfiguracije, za ključne sisteme
  • Uporabite geografsko razpršenost za zmanjšanje tveganja motenj na posamezni lokaciji
  • Avtomatizirajte procese, kot so samodejno prevzemanje in obnova, za hitrejše okrevanje

Ocena tveganja in vplivov motenj

  • Izvedite analizo tveganja in vplivov (RIA), da ocenite potencialne motnje in njihov vpliv na poslovanje
  • Opredelite sprejemljive ravni tveganja in določite strategije za zmanjšanje tveganja
  • Pripravite načrte okrevanja, ki ustrezajo opredeljenim ravnem tveganja
  • Razmislite o zavarovanju, da se zaščitite pred finančnimi posledicami incidentov

Sodelovanje med dobavitelji

Ustanovitev močnih komunikacijskih kanalov

  • Določite primarne kontakte in komunikacijske kanale za vsakega ključnega dobavitelja
  • Redno organizirajte sestanke in klice za usklajevanje in izmenjavo informacij
  • Zagotovite, da so kontaktni podatki in komunikacijski protokoli redno posodobljeni in dostopni vsem ustreznim stranem

Skupno testiranje in usklajevanje posodobitev

  • Vključite dobavitelje v testiranje posodobitev, da zagotovite njihovo združljivost in interoperabilnost
  • Uskladite načrte za uvajanje posodobitev, da se zmanjša tveganje neželenih interakcij
  • Delite povratne informacije in lekcije iz testiranja in uvajanja posodobitev z dobavitelji
  • Redno pregledujte in posodabljajte sporazume o ravni storitev (SLA) z dobavitelji, da zagotovite, da ustrezajo potrebam

Z uvedbo teh konkretnih rešitev lahko organizacije bistveno izboljšajo odpornost svojih IT sistemov in zmanjšajo tveganje motenj, kot je incident CrowdStrike. Ključ je v proaktivnem pristopu, ki vključuje temeljito testiranje, robustne mehanizme za povrnitev, učinkovito komunikacijo, izboljšano podporo in neprestano izboljševanje. Poleg tega je ključnega pomena razumevanje odvisnosti od IT sistemov in tesno sodelovanje z dobavitelji. Z izvajanjem teh rešitev bodo organizacije bolje pripravljene na odzivanje in okrevanje v primeru prihodnjih incidentov.

Odkrijte skrivnostni trik: kako lahko HTTP zahteve zmedejo internet

Odkrijte skrivnostni trik: kako lahko HTTP zahteve zmedejo internet

admin Leave a comment

Odkritje kritične napake v HTTP Request Smuggling: Grožnja za internetno varnost leta 2024

V začetku leta 2024 je računalniško varnostno skupnost doživela pravo presenečenje z odkritjem napake, imenovane HTTP Request Smuggling. Ta novica že odmeva po vsej industriji, saj gre za ranljivost, ki lahko v resnici ogrozi celoten internet, če ne bo pravočasno in ustrezno naslovljena. Napaka, prvotno odkrita in analizirana s strani raziskovalcev kibernetske varnosti, ponuja napadalcu možnost manipulacije spletnih strežnikov in dostopa do zaščitenih virov.

Razumevanje HTTP Request Smuggling napake

HTTP Request Smuggling (HRS) omogoča napadalcem, da zlonamerni zahtevek skrijejo znotraj nevtralnega zahtevka, kar jim omogoči izvajanje različnih manipulativnih napadov. Ta vrsta napake temelji na kombinaciji napačne obravnave HTTP zahtevkov med različnimi sloji strežnikov – običajno med prednjim (front-end) in zadnjim (back-end) strežnikom.

Kratek pogled na delovanje

Front-end strežnik prejme zložen zahtevek (angl. “smuggled request”).
– Zahtevek je zasnovan tako, da se zdi popolnoma legitimen.
– Ko zahtevek preide na back-end strežnik, ga ta napačno interpretira in obravnava.
– Napadalec nato dosega različne škodljive cilje, kot so pridobivanje zaščitenih informacij, manipulacija odgovorov uporabnikom ali obiti varnostne politike.

Praktični primeri napada

HTTP Request Smuggling lahko izvedejo na več načinov. Tukaj sta dva osnovna scenarija:

1. Napad na cache

Z uporabo HRS lahko napadalec injicira zlonamerne vsebine v predpomnilnik strežnika, kar vodi do trenutkov, ko zakoniti uporabniki prejmejo spremenjene ali zlonamerne vsebine. Na primer, ko uporabnik pošlje zahtevek do spletnega mesta, ta prejme odgovor iz predpomnilnika, ki ga je kompromitiral napadalec. To lahko rezultira v prestrezanju občutljivih podatkov ali širjenju škodljive programske opreme.

2. Manipulacija glave odgovorov

Napadalec skrije zlonamerni zahtevek znotraj zakonitega, kar povzroči, da sistem napačno interpretira določene glave odgovorov. Na primer, napadalec lahko spremeni glavo ‘Content-Length’, zaradi česar strežnik obravnava preostanek odgovora kot nov zahtevek. To omogoča izvajanje napadov, kot je prelivanje (angl. “buffer overflow”), ki lahko privede do sesutja sistema ali vdora.

Možnosti za preprečitev napadov

Naslovitev in preprečevanje takšnih napak zahteva stalen napredek v tehnologiji in varnostnih protokolih. Tukaj je nekaj ključnih pristopov:

1. Uporaba najnovejših tehnologij

Posodabljanje sistemov s pomočjo najnovejših verzij programske opreme je osnovni korak pri zmanjševanju tveganja. Redne nadgradnje pravil obravnave HTTP zahtevkov lahko natančno ciljajo na predhodno neodkrite ranljivosti.

2. Web Application Firewalls (WAFs)

Namestitev in ustrezna konfiguracija WAF-ov preveri in ovrednoti vse prihajajoče zahteve in odgovore. WAF-ovi učinkovito preprečujejo znane napade in zagotavljajo dodatno plast varnosti pred neznanimi grožnjami.

Kako F5 WAF lahko pomaga pri zaščiti pred HRS

1. Preverjanje in analiza zahtevkov

F5 WAF deluje kot zaščitna plast, ki analizira vse prihajajoče HTTP zahteve in odgovore. S pravilno konfiguracijo lahko WAF prepozna in blokira zlonamerne zahteve, ki poskušajo izkoristiti ranljivosti, kot je HRS. WAF lahko preveri strukturo zahtevkov in zavrne tiste, ki vsebujejo neobičajne ali sumljive glave, kot so tiste, ki določajo dolžino telesa zahtevka, kar je pogosto izkoriščeno pri HRS napadih.

2. Uporaba naprednih pravil

F5 WAF omogoča implementacijo naprednih pravil za obravnavo HTTP zahtevkov. Na primer, lahko se konfigurira tako, da dovoli le en način določanja dolžine telesa (bodisi Content-Length bodisi Transfer-Encoding), kar zmanjša možnosti za napake pri interpretaciji zahtevkov med različnimi strežniki. To je ključno za preprečevanje napadov, ki temeljijo na zmedah med prednjim in zadnjim strežnikom.

3. Učinkovito obvladovanje protokolov

F5 WAF lahko učinkovito upravlja različne protokole, vključno z HTTP/2 in HTTP/1.x. Ker je HRS ranljivost, ki se lahko pojavi pri prehodu med temi protokoli, je pomembno, da WAF zagotavlja dosledno obravnavo zahtevkov. Z omogočanjem end-to-end HTTP/2 komunikacije in blokiranjem zahtevkov, ki vsebujejo neustrezne glave, lahko F5 WAF zmanjša možnosti za uspešne napada.

3. Comprehensive Input Validation

Pravilna in temeljita validacija vhodnih podatkov pri obeh slojih strežnikov preprečuje vnos zlonamernih zahtevkov. To vključuje preverjanje dolžine glave, strukture in verodostojnosti podatkov.

4. Varnostno testiranje

Redno izvajanje varnostnih testiranj, vključno s penetracijskimi testi in pregledovanjem konfiguracij strežnikov, omogoča zgodnje odkrivanje ranljivosti in njihovo odpravljanje pred morebitnih napadom.

Zaključne misli

HTTP Request Smuggling ni samo ena izmed mnogih varnostnih ranljivosti; je potencialna grožnja za celotno omrežno infrastrukturo. Napadalci lahko izkoristijo ta vektor napada za manipulacijo in povzročitev obsežnih škodljivih posledic, ki vplivajo na poteke poslovanja in zaupanje uporabnikov.

Preventivni ukrepi in uporaba najboljših varnostnih praks so temeljni, da bi zagotovili varnost vseh sodelujočih v spletnih komunikacijah. Implementacija robustnih varnostnih rešitev in nenehno izobraževanje vseh vpletenih v varnostni ekosistem sta ključna za zaščito pred tovrstnimi napadi.

💡 Namig dneva: Redno posodabljajte svoj strežnik in programsko opremo, uporabljajte varnostne načrte, kot so WAF-ji in izvajajte redna varnostna testiranja, da bi odkrili in odpravili potencialne ranljivosti!
❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!
Orožje AWS paketi širijo zlonamerno programsko opremo prek nedolžnih JPEG slik

AWS paketi širijo zlonamerno programsko opremo prek nedolžnih JPEG slik

admin Leave a comment

Napadalci uporabili legitimne npm pakete za širjenje malware-a

V nedavni novici, objavljeni na spletni strani Cyber Press, je bilo razkrito, da so napadalci izkoristili legitimne pakete na registru npm za širjenje zlonamerne programske opreme. To sofisticirano napadanje je bilo doseženo z ukrivanjem škodljive kode v slikovnih datotekah. Napadalci so spremenili izvorno kodo v paketu “aws-s3-object-multipart-copy” in vstavili skrito skripto “loadformat.js”, ki je bila namenjena izvršitvi dodatnega malware-a.

Tehnika steganografije za skrivanje kode

Napadalci so uporabili steganografijo – tehniko skrivanja sporočil v slikah, da so skriti zlonamerno kodo. Ko je bil paket nameščen, je ta skrivna koda omogočila komunikacijo med okuženim sistemom in strežnikom za poveljevanje in nadzor (C2). S tem so napadalci lahko pošiljali ukaze napadenemu sistemu in prejemali povratne informacije.

Ukradene slike so imele naslednje imene: logo1.jpg (Intel), logo2.jpg (Microsoft) in logo3.jpg (AMD). Slika logo2.jpg je bila še posebej pomembna, saj je preverjala veljavnost slike, kar je omogočilo nadaljnjo analizo. Če slika ni bila veljavna, slike logo1.jpg in logo3.jpg pa so bile neveljavne, kar je pomenilo, da so bile nepopolne ali niso vsebovale potrebnih bajtov, se koda ni izvedla.

Dinamična funkcija in povezava z C2 strežnikom

Napadalci so nato ustvarili dinamično funkcijo, ki je izvajala skrito kodo, če je bila slika veljavna, ali pa se je izognila izvajanju škodljive kode, če ni bila. To je omogočilo, da so napadalci lahko izvajali skrito kodo, kadar je bila slika veljavna, ali pa izvedejo neškodljive akcije, kadar ni bila.

Nato so vzpostavili komunikacijo s C2 strežnikom ter pošiljali podatke o imenu računalnika in operacijskem sistemu. S tem so napadalci lahko pošiljali ukaze napadenemu sistemu in prejemali povratne informacije.

Pomembnost preverjanja odprtokodne programske opreme

Za uporabnike to pomeni, da morajo biti izjemno pozorni pri uporabi odprtokodne programske opreme in morajo preveriti, ali so paketi, ki jih uporabljajo, veljavni. Uporabniki bi morali uporabiti avtomatizirane odprave za preverjanje paketov in zagotoviti, da so paketi veljavni.

Ukrepi za preprečitev tovrstnih napadov

Uporabniki lahko sprejmejo naslednje korake za zaščito pred takšnimi napadi:

1. **Avtomatično preverjanje paketov**: Uporabniki lahko uporabljajo avtomatizirane sisteme za preverjanje paketov in zagotavljanje, da so paketi legitimni in varni.
2. **Preverjanje slik**: Redno preverjanje slik, ki jih uporabljajo paketi, je ključnega pomena. Uporabniki lahko pregledajo slike, da se prepričajo, da ne vsebujejo skrite zlonamerne kode.
3. **Avtomatično izvajanje varnostnih preverjanj**: Uporabniki lahko uporabijo avtomatizirane sisteme za varnostna preverjanja, ki preverjajo, ali so paketi veljavni pred nameščanjem.
4. **Preverjanje kode z orodji za analizo kode**: Uporabniki lahko uporabijo posebna orodja za analizo kode, da preverijo, ali vsebovana koda ni zlonamerna ali modificirana.

Detaljen opis rešitev za zaščito pred zlonamernimi paketi

Te rešitve pomembno prispevajo k zagotavljanju varnosti in zaščiti pred zlonamernimi napadi na npm pakete:

Avtomatično preverjanje paketov

Avtomatizirani sistemi za preverjanje paketov, kot so orodja za stalno integracijo (CI), lahko vključujejo preglede kode in validacijo paketov v procesu razvoja. S tem se zmanjša tveganje za namestitev zlonamerne kode. Podjetja lahko uporabljajo orodja, kot so Snyk, WhiteSource, in druge rešitve za preverjanje kode in paketov.

Preverjanje slik

Slike, ki so priložene paketom, je treba redno pregledovati. Uporaba programov za analizo slike se lahko izkaže za koristno pri preverjanju, ali slikovne datoteke vsebujejo skrito zlonamerno kodo. Skupaj s temi tehnikami je uporaba metod strojnega učenja za zaznavanje anomalij lahko dodaten zaščitni ukrep.

Avtomatična izvajanja varnostnih preverjanj

Programska oprema za varnostno preverjanje, kot so Fortify in Veracode, lahko preverijo pakete pred namestitvijo. To zagotavlja, da nameščeni paketi ne vsebujejo nobene zlonamerne kode.

Namig dneva

💡 Namig dneva: Redno posodabljajte in izvajajte varnostne preglede pri uporabi odprtokodne programske opreme, da bi zmanjšali tveganje za zlonamerne napade.

Avtomatično preverjanje za vse prenosne naprave

Za mobilne in namizne naprave je priporočena uporaba varnostne programske opreme, ki samodejno preverja in posodablja pakete, zmanjšuje tveganje za okužbe zlonamerne programske opreme. Kaspersky, Bitdefender in Malwarebytes so nekatera izmed priznanih orodij za to nalogo.

Sklep

Nenamestitev paketov brez preverjanja veljavnosti in varnostnih preverjanj povzroča večja tveganja, ki lahko negativno vplivajo na uporabnike in podjetja. Uporaba avtomatiziranih rešitev za preverjanje in varnostno analizo je ključna za zaščito pred zlonamernimi napadi na npm pakete. Njihova implementacija zagotavlja varnost in omogoča, da so uporabniki vedno korak pred morebitnimi grožnjami.

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!
Izbruh igralca razkriva zasebne klepete Disneyjeve Slacker - Orodja razkrita

Izbruh igralca razkriva zasebne klepete Disneyjeve Slacker – Orodja razkrita

admin Leave a comment

Novica o napadu na Slack Disneyja

Napad na Slack Disneyja, ki ga je izvedla skupina hackerjev NullBulge, je pretresel tehnološko in poslovno skupnost. Skupina je napadla več kot 10.000 kanalov na Slacku, kar je povzročilo izgubo 1,1 terabajta podatkov. V tem članku bomo podrobneje razložili, kako je bil napad izveden, kakšne posledice ima za uporabnike in kako se lahko zaščitimo pred podobnimi napadi v prihodnje.

Kako je bil napad izveden

Napadalci so uporabili različne sofisticirane metode, vključno z uporabo malvarije, ki je bila vključena v javne repozitorije na platformah, kot sta GitHub in Hugging Face. Malvarija je bila v obliki trojaniziranih Python bibliotek, ki so se vključile v priljubljena orodja, kot sta ComfyUI_LLMVISION in SillyTavern Character Generator. Ko so bile te knjižnice naložene in uporabljene, so napadalci pridobili dostop do občutljivih podatkov, kot so prijave, gesla, geografski podatki, podatki o aplikacijah in finančni podatki.

Posledice za uporabnike

Posledice napada so bile uničujoče. Izguba 1,1 terabajta podatkov pomeni, da so številni pomembni projekti, dokumentacija in komunikacije izginili ali pa so dostopni napadalcem. Uporabniki so se soočali z zaledenelo delovanjem svojih sistemov, nepravilnimi prijavami in vdorom v njihove osebne in poslovne račune. Napad je izpostavil pomembnost varovanja gesel in drugih občutljivih informacij.

Kako zaščititi gesla in API vranljivosti

Da bi preprečili podobne napade v prihodnje, je nujno, da uporabniki zagotovijo pravilno zaščito gesel in API vranljivosti. To vključuje uporabo dolgih in edinstvenih gesel za vsak račun, dvostopenjsko avtentikacijo in redno posodabljanje gesel. Uporabniki morajo biti tudi pozorni pri nalaganju programske opreme iz nezaupljivih virov ter morajo spremljati varnostne opozorila in posodobitve.

💡 Namig dneva: Vedno uporabljajte večfaktorsko avtentikacijo (MFA) za dodatno plast zaščite vaših računov.

 

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!

Windows 10 BSOD, obtičal pri obnovitvi zaradi CrowdStrike, vendar obstaja rešitev

admin Leave a comment

Nedavne težave z Windows 10 so povzročile zrušitve sistema (BSOD) in zagozdenost na zaslonu za obnovitev, kar je posledica posodobitve Crowdstrike. Uporabniki poročajo, da se njihov sistem zatakne pri sporočilu: “Zdi se, da Windows ni pravilno naložen.”

Navodila za rešitev

Metoda 1:

Uporabite varen način in izbrišite prizadeto datoteko

  1. Za nadaljevanje postopka boste morali zagnati računalnik v varnem načinu. Če ste na zaslonu za obnovitev, kliknite na “Prikaži napredne možnosti popravila” na zaslonu za obnovitev. V meniju Napredne možnosti popravila izberite “Odpravljanje težav”, nato izberite “Napredne možnosti”. Izberite “Nastavitve zagona” in kliknite “Znova zaženi.” Ko se vaš računalnik znova zažene, pritisnite 4 ali F4, da zaženete računalnik v varnem načinu. Lahko pa tudi izklopite računalnik, ga vklopite in večkrat pritisnete F8, dokler se ne prikaže meni Napredne možnosti zagona. Od tam izberite varen način.
  2. V varnem načinu odprite ukazni poziv (skrbnik) ali Windows PowerShell (skrbnik).
  3. V ukazni poziv vnesite naslednji ukaz, da se pomaknete do imenika CrowdStrike: cd C:\Windows\System32\drivers\CrowdStrike
  4. Za brisanje prizadete datoteke morate najti datoteko, ki ustreza vzorcu C-00000291*.sys.
  5. Najprej zaženite naslednji ukaz, da najdete datoteko, ki ustreza vzorcu: dir C-00000291*.sys.
  6. Na primer, lahko se imenuje nekaj takega kot C-00000291abc.sys.
  7. Ko ste identificirali datoteko, jo izbrišite z ukazom del C-00000291.sys.

V zgornjem primeru je del C-00000291.sys ime datoteke, ki se je prikazalo na našem sistemu, lahko pa je nekaj drugega pri vas. Da pravilno identificirate datoteko, se prepričajte, da sledite korakom in uporabite ukaz dir.

Metoda 2:

  1. Zagon v varnem načinu:
  • Ponovno zaženite računalnik in med zagonom pritisnite tipko F8 ali Shift + F8, da dostopate do menija za zagon.
  • Izberite “Safe Mode” (Varen način).
  1. Preimenovanje mape Crowdstrike:
  • Odprite ukazno vrstico kot skrbnik.
  • Vnesite ukaz:
    ren c:\windows\system32\drivers\crowdstrike crowdstrike_old
  • Pritisnite Enter.
  1. Ponovni zagon računalnika:
  • Znova zaženite računalnik, da preverite, ali je težava odpravljena.

Metoda 3:

Uporabite urejevalnik registra za blokiranje storitve CSAgent

Windows Latest razume, da obstaja druga rešitev, ki spremeni vaš register za blokiranje storitve CSAgent (csagent.sys, odgovoren za BSOD):

  1. Znova zaženite Windows 10. Večkrat pritisnite tipko F8, dokler se ne prikaže meni Napredne možnosti zagona.
  2. Zaženite se v varnem načinu in odprite urejevalnik registra (uporabite Win+R za iskanje urejevalnika registra).
  3. V urejevalniku registra se pomaknite do naslednje poti:
  4. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent
  5. V ključu CSAgent poiščite vnos Start na desnem podoknu.
  6. Dvokliknite na Start, da uredite njegovo vrednost.
  7. Spremenite podatke vrednosti iz 1 (kar pomeni, da je storitev nastavljena za samodejni zagon) na 4 (kar onemogoči storitev).
  8. Kliknite V redu, da shranite spremembe.
  9. Zaprite urejevalnik registra in znova zaženite računalnik.

Razumem, da nekateri med vami morda ne želite narediti drastičnih sprememb na svojem računalniku zgolj na podlagi članka na internetu, vendar vam lahko pojasnim spremembe, ki jih tukaj izvajamo:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSAgent: Ta pot vsebuje nastavitve konfiguracije za storitev CSAgent, ki je del agenta CrowdStrike.
    Naprej je vrednost Start, ki določa, kako in kdaj se storitev zažene. V tem primeru csagent.sys povzroča zanko ponovnega zagona v Windows 10. Storitev moramo onemogočiti, da se ne zažene, ko zaženete računalnik. Zato jo spreminjamo na “4”. To izklopi storitev.
    Možne vrednosti so 0, kar pomeni zagon ob zagonu (naloži ga zagonski nalagalnik, redko uporabljeno). Vrednost “1” se nanaša na zagon sistema (naloženo s strani podsistema I/O). Imamo tudi 2, kar se nanaša na samodejni zagon (samodejno naloženo s strani upravitelja storitev med zagonom sistema).
    Nato imamo “3” ročni zagon (ki zahteva ročni zagon). Vrednost “4” preklopi storitev v onemogočeno stanje (storitev ni zagnana). Vrednost moramo nastaviti na “4”, da izklopimo storitev in omogočimo normalni zagon Windows.

Crowdstrike je potrdil težave in trenutno raziskuje vzrok za zrušitve.

Pozor uporabniki sistema Windows: Hekerji izkoriščajo ranljivost Internet Explorerja!

Pozor uporabniki sistema Windows: Hekerji izkoriščajo ranljivost Internet Explorerja!

admin Leave a comment

Novica o zlorabi manjšega izklopov Internet Explorerja

V zadnjih dneh so hekerji zlorabili manjšo ranljivost v brskalniku Internet Explorer, ki omogoča izvrševanje kode brez dovoljenja uporabnika. Ta ranljivost je resno ogrozila varnostne sisteme uporabnikov, ki še vedno uporabljajo ta brskalnik. Hekerji so to ranljivost učinkovito izkoristili za dostop do sistemov uporabnikov in izvajanje nevarnih dejanj.

Ranljivost izvira iz nepopolne optimizacije JIT (Just-In-Time) v JScriptu, ki je del Internet Explorerja. To je omogočilo hekerjem, da so izvedli več arbitrarnih akcij, kot so izvajanje škodljivih ukazov in razširjanje škodljive programske opreme. Hekerji so uporabili različne taktike, kot so napadi na podatkovne baze, ki so bile izvlečene iz pametne mreže, in skrivanje škodljivega kode v datotekah, ki se zdijo neškodljive.

Za uporabnike to pomeni, da morajo biti še posebej pozorni na varnostne nastavitve in uporabljati najnovejše posodobitve za Internet Explorer. Uporabniki, ki še vedno uporabljajo Internet Explorer, naj čim prej posodobijo svoj brskalnik in razmislijo o uporabi alternativ, kot sta Google Chrome ali Mozilla Firefox, ki ponujata boljše varnostne funkcije.

Priporočeni varnostni ukrepi

Da bi preprečili ali rešili to problematiko, uporabniki naj upoštevajo naslednje varnostne ukrepe:

  1. Posodobite Internet Explorer: Vedno posodobite svoj Internet Explorer na najnovejšo različico, ki vsebuje popravke za to ranljivost.
  2. Uporabljajte alternativne brskalnike: Razmislite o uporabi varnejših brskalnikov, kot sta Google Chrome ali Mozilla Firefox, ki imajo boljšo varnostno podporo.
  3. Uporabljajte antivirusni program: Uporabljajte zanesljive antivirusne programe, ki redno preverjajo in zaščitijo vaš računalnik pred nevarnimi programi.
  4. Posodobite vso programsko opremo: Posodobite vso programsko opremo, ki je povezana z vašim brskalnikom, da zagotovite največjo možno zaščito.

Implementacija varnostnih ukrepov – CrowdStrike

Ena najbolj primernih rešitev za reševanje teh varnostnih ranljivosti je uporaba produktov podjetja CrowdStrike. CrowdStrike ponuja vrhunsko zaščito pred kibernetskimi grožnjami in ima široko paleto rešitev za zaščito pred izkoriščanjem ranljivosti v spletnih brskalnikih.

CrowdStrike Falcon Platform

CrowdStrike Falcon Platform je celovita rešitev za zaščito pred kibernetskimi napadi, ki vključuje naslednje komponente:

  1. Falcon Prevent: Zagotavlja napredno zaščito pred škodljivo programsko opremo in preprečuje izvajanje nezaželenih ukazov v realnem času. Falcon Prevent uporablja umetno inteligenco in strojno učenje za prepoznavanje in zaustavitev groženj, še preden lahko škodijo vašemu sistemu.
  2. Falcon Insight: Omogoča popoln vpogled v aktivnost vašega sistema. Falcon Insight beleži vse dogodke in aktivnosti, kar omogoča hitro prepoznavanje in odzivanje na kakršnokoli sumljivo dejavnost. Prav tako omogoča preprosto iskanje in prepoznavanje znakov izkoriščanja ranljivosti.
  3. Falcon OverWatch: Je storitev stalnega lovljenja groženj (threat hunting), ki jo izvajajo strokovnjaki za kibernetsko varnost. Falcon OverWatch pregleduje vaše sisteme za morebitne grožnje in ponuja priporočila za ukrepanje v primeru zaznanih nevarnosti.
  4. Falcon X: Zagotavlja samodejno analizo groženj in omogoča hitro prepoznavanje vrst napadov. Falcon X analizira vsak zaznani napad in nudi podrobne informacije o izvoru grožnje, metodah in ciljih hekerjev, kar omogoča boljši odziv na napade.

Z uporabo CrowdStrike Falcon Platforma lahko organizacije in posamezniki zmanjšajo tveganje za zlorabo ranljivosti v svojih sistemih ter zagotovijo večjo varnost pred kibernetskimi napadi.

💡 Namig dneva: Redno posodabljajte svojo programsko opremo, tudi če se vam zdi, da ne uporabljate določene funkcije. Lahko prav ta posodobitev vsebuje pomembne varnostne popravke.

Vabimo vas, da komentirate spodaj ali delite to novico na socialnih omrežjih!

Največja prodaja podatkov v zgodovini: 2 milijardi vrstic, 122 GB, 361M e-poštnih naslovov in gesla za samo 500 $!

Največja prodaja podatkov v zgodovini: 2 milijardi vrstic, 122 GB, 361M e-poštnih naslovov in gesla za samo 500 $!

admin Leave a comment
💡 Namig dneva: Uporabljajte dvofaktorsko avtentikacijo (2FA), kjer je to mogoče, da dodatno zavarujete svoje spletne račune.

Največja prodaja podatkov v zgodovini: Kriza človeštva v digitalni dobi

V preteklih dneh je svet pretresla ena največjih prodaj podatkov v zgodovini, ki predstavlja resno varnostno grožnjo za milijone posameznikov po vsem svetu. Cyber Press raziskovalci so razkrili, da je na črnem trgu na voljo kar 122 GB podatkov, ki vključujejo 2 milijarde vrstic in 361 milijonov e-poštnih naslovov ter gesel. Za te podatke so kriminalci zahtevali le 500 dolarjev, kar še poudarja obseg te krize.

Ranjivosti in grožnje

Ranjivost, ki je privedla do te katastrofe, je rezultat številnih dejavnikov. Glavni med njimi so nepravilne aktivnosti na ravni podjetij in posameznikov ter nezadostno zavedanje o varnosti. Podatkovna zloma so pogosto povezana z naslednjimi ranljivostmi:

Slaba gesla

Uporaba enostavnih ali pogosto uporabljenih gesel je ena najpogostejših napak, ki jih dela večina uporabnikov. Za hekerje postanejo ti računi enostavne tarče, saj uporabniki pogosto uporabljajo gesla, ki jih je mogoče preprosto uganiti.

Slabo vzdrževani sistemi

Stara in nezakrpana programska oprema je tudi eden izmed glavnih krivcev za te ranljivosti. Ko podjetja in posamezniki ne posodabljajo svojega sistema, puščajo odprte vrzeli, ki jih hekerji izkoriščajo.

Pomanjkanje varnostnega izobraževanja

Nezadostno zavedanje o osnovnih varnostnih praks med zaposlenimi in javnostjo prispeva k naraščajočim grožnjam. Phishing napadi so učinkoviti, ker uporabniki niso vedno pozorni na opozorilne znake.

Rešitve za posameznike

Vsak posameznik si lahko z nekaj preprostimi koraki bistveno zmanjša tveganje za zlorabo podatkov:

Uporaba močnih gesel

Gesla naj bodo dolga in sestavljena iz kombinacije velikih in malih črk, številk in posebnih znakov. Primer močnega gesla bi bilo “P@55w0rd!2#4”.

Uporaba dvofaktorske avtentikacije (2FA)

Dvofaktorska avtentikacija dodaja dodatno plast zaščite. Poleg gesla boste morali vnesti tudi kodo, ki jo pošljete na vaš mobilni telefon ali e-pošto.

Redno posodabljanje programske opreme

Posodobitve ne vključujejo samo novih funkcij, ampak tudi varnostne popravke. Redno posodabljajte svojo operacijsko programsko opremo in aplikacije.

Previdnost pri klikanju na povezave

Ob kliku na neznane povezave bodite zelo previdni, predvsem v e-poštnih sporočilih in na družbenih omrežjih. Phishing napadi so zelo pogosti in pogosto zelo prepričljivi.

Rešitve za podjetja

Podjetja morajo izvajati strožje varnostne ukrepe in izobraževati svoje zaposlene o kibernetski varnosti:

Izobraževanje zaposlenih

Redno izobražujte zaposlene o kibernetski varnosti in phishing napadih. Bolj ozaveščeni zaposleni bodo bolj pozorni in manj ranljivi na napade.

Vzpostavljanje varnostne kulture

Vzpostavite močno varnostno kulturo znotraj podjetja. To vključuje redne preglede in preizkušanje varnostnih protokolov ter promocijo dobrih praks.

Zaposlovanje varnostnih strokovnjakov

Najemite strokovnjake za kibernetsko varnost, ki bodo vzdrževali in preverjali varnostne ukrepe znotraj podjetja.

Redno preverjanje in testiranje ranljivosti

Redno izvajate notranje in zunanje varnostne preglede, da odkrijete in odpravite morebitne ranljivosti. Penetracijsko testiranje je nujno za ocenjevanje obstoječih varnostnih ukrepov.

Pravno varstvo in regulacije

Poleg osebnih in poslovnih prizadevanj za boljšo varnost pa so pomembne tudi zakonodajne pobude in regulacije:

Zakonodaja o varstvu podatkov

Nadaljnji napredek v zakonodaji o varstvu podatkov, kot so GDPR v Evropi, je ključen za zaščito osebnih podatkov pred neupravičenim dostopom in zlorabo.

Stroge kazni za kršiteljeStroge kazni in odgovornost za kršitelje zakonodaje o varstvu podatkov bodo pomagale odvračati zlonamerne dejavnosti.

Zaključek

Največja prodaja podatkov v zgodovini opozarja na nujnost izboljšanja kibernetske varnosti na vseh nivojih – od posameznikov do globalne zakonodaje. Pri kibernetski varnosti ni prostora za kompromis, saj so posledice lahko katastrofalne. Pomembno je, da se vsi zavedamo resnosti situacije in prevzamemo odgovornost za zaščito svojih podatkov.

V komentarjih nam sporočite, kako vi varujete svoje podatke ali delite to novico na svojih družbenih omrežjih, da skupaj povečamo zavedanje o kibernetski varnosti.

Krepitev informacijske varnosti z naprednimi API rešitvami

admin Leave a comment

Informacijska varnost je danes ključnega pomena za podjetja vseh velikosti. S povečano digitalizacijo in uporabo aplikacijskih programskih vmesnikov (API) se je tveganje za kibernetske napade močno povečalo. Kot strokovnjak za računalniško varnost, bom v tem članku predstavil, kako lahko napredne API rešitve pomagajo pri reševanju ključnih varnostnih izzivov in prispevajo k skladnosti z direktivo NIS2.

Ključni varnostni izzivi v digitalni dobi

V današnjem digitalnem okolju se podjetja soočajo z vrsto varnostnih izzivov, ki jih je treba učinkovito nasloviti:

  1. Zaščita API-jev pred zlorabami: API-ji so postali priljubljena tarča kibernetskih kriminalcev, ki poskušajo zlorabiti ranljivosti in pridobiti nepooblaščen dostop do občutljivih podatkov ali sistemov. Podjetja morajo zagotoviti celovito zaščito svojih API-jev.
  2. Nadzor nad API prometom: Z naraščajočim številom API-jev in njihovo kompleksnostjo je težko vzdrževati pregled nad celotnim prometom in dejavnostmi. Podjetja potrebujejo rešitve, ki omogočajo podroben nadzor in analitiko API prometa.
  3. Skladnost z regulativami: Direktiva NIS2 in druge regulacije zahtevajo, da podjetja izpolnjujejo stroge varnostne standarde in dokazujejo ustrezno upravljanje tveganj. Podjetja morajo implementirati rešitve, ki olajšajo doseganje skladnosti.
  4. Zaščita pred API zlorabo: Kibernetski napadalci se pogosto poslužujejo tehnik, kot so API fuzzing, napadi z API žetoni in druge oblike zlorab API-jev. Podjetja morajo zagotoviti učinkovito zaščito pred tovrstnimi napadi.
  5. Upravljanje API življenjskega cikla: Izziv predstavlja tudi upravljanje celotnega življenjskega cikla API-jev, od razvoja do ukinitve. Podjetja potrebujejo rešitve, ki omogočajo celovit nadzor in avtomatizacijo teh procesov.

Zakaj se DEVOPS ponavadi ne zaveda varnosti API-jev

Čeprav so API-ji ključni za integracijo in avtomatizacijo v DevOps procesih, se DevOps ekipe pogosto ne zavedajo dovolj varnostnih tveganj, povezanih z API-ji:

  1. Osredotočenost na hitrost in agilnost: DevOps ekipe so pogosto pod pritiskom, da čim hitreje razvijajo in dostavljajo nove funkcionalnosti. Varnost API-jev je lahko zapostavljena v korist hitrosti.
  2. Pomanjkanje varnostnega znanja: Mnogi razvijalci in DevOps inženirji nimajo dovolj znanja o varnostnih praksah, potrebnih za zaščito API-jev. Njihov fokus je na funkcionalnosti, ne na varnosti.
  3. Kompleksnost API ekosistema: Sodobni aplikacijski ekosistemi vključujejo veliko število API-jev, ki medsebojno komunicirajo. Ohranjanje pregleda nad varnostjo vseh teh API-jev je velik izziv.
  4. Pomanjkanje ustreznih orodij: DevOps ekipe pogosto nimajo na voljo ustreznih orodij in rešitev, ki bi jim olajšale upravljanje in zaščito API-jev v celotnem življenjskem ciklu.
  5. Nejasne odgovornosti: Ni vedno jasno, kdo je odgovoren za varnost API-jev – ali je to razvojni, varnostni ali operativni tim. To lahko vodi v pomanjkanje ustreznega lastništva in ukrepanja.

Napredne API rešitve kot odgovor na varnostne izzive

Podjetje Wib, ki je bilo nedavno kupljeno s strani F5, ponuja napredne API rešitve, ki pomagajo reševati zgoraj navedene varnostne izzive. Te rešitve so sedaj integrirane v API rešitve podjetja F5 in nudijo celovit pristop k API varnosti.

  1. Zaščita API-jev pred zlorabami: Wib API Security Platform vključuje napredne mehanizme za zaščito API-jev, kot so API autentikacija, avtorizacija, šifriranje in druge varnostne kontrole. Te funkcionalnosti pomagajo preprečiti nepooblaščen dostop in zlorabo API-jev.
  2. Nadzor nad API prometom: Rešitev omogoča podroben nadzor in analitiko API prometa v realnem času. Podjetja lahko spremljajo vzorce uporabe, zaznajo anomalije in preprečijo nepooblaščene dejavnosti.
  3. Skladnost z regulativami: Wib rešitve pomagajo podjetjem pri doseganju skladnosti z direktivami, kot je NIS2. Vključujejo funkcionalnosti za upravljanje tveganj, poročanje in dokazovanje ustreznih varnostnih ukrepov.
  4. Zaščita pred API zlorabo: Rešitev vključuje napredne mehanizme za zaščito pred API fuzzing napadi, napadi z API žetoni in drugimi oblikami zlorab API-jev. To pomaga preprečiti nepooblaščen dostop in krajo podatkov.
  5. Upravljanje API življenjskega cikla: Wib platforma omogoča celovito upravljanje API-jev, vključno z razvojem, objavo, monitoringom in ukinitivijo. To olajša nadzor in avtomatizacijo teh procesov.

Primeri vdorov v Sloveniji

  1. Vdor v sistem Nacionalnega inštituta za javno zdravje (NIJZ): Leta 2021 je prišlo do vdora v informacijski sistem NIJZ, ki hrani občutljive zdravstvene podatke državljanov. Vdor je bil mogoč zaradi ranljivosti v API-jih, ki so omogočali nepooblaščen dostop do podatkov.
  2. Vdor v sistem Finančne uprave Republike Slovenije (FURS): V letu 2020 je prišlo do vdora v informacijski sistem FURS, ki hrani davčne podatke državljanov in podjetij. Vdor je bil mogoč zaradi pomanjkljivosti v API-jih, ki niso imeli ustrezne zaščite pred zlorabami.
  3. Vdor v sistem Agencije Republike Slovenije za okolje (ARSO): Leta 2019 je prišlo do vdora v informacijski sistem ARSO, ki hrani podatke o okolju in vremenu. Vdor je bil mogoč zaradi ranljivosti v API-jih, ki niso imeli ustrezne avtentikacije in avtorizacije.

Ti primeri vdorov v Sloveniji kažejo, kako pomembno je zagotoviti ustrezno zaščito API-jev in preprečiti zlorabe. Napredne API rešitve, kot je Wib API Security Platform, lahko pomagajo pri preprečevanju tovrstnih incidentov in zagotavljanju varnosti kritičnih informacijskih sistemov.

Zaključek

Napredne API rešitve, kot je Wib API Security Platform, ki je sedaj del F5 portfelja, igrajo ključno vlogo pri krepitvi informacijske varnosti v digitalni dobi. Te rešitve pomagajo podjetjem učinkovito nasloviti ključne varnostne izzive, kot so zaščita API-jev, nadzor nad prometom, skladnost z regulativami in preprečevanje zlorab. Z integracijo Wib rešitev v F5 API rešitve, podjetja sedaj lahko izkoristijo celovit nabor naprednih varnostnih funkcionalnosti, ki prispevajo k skladnosti z direktivami, kot je NIS2, in zagotavljajo varnost kritičnih API-jev v različnih industrijskih sektorjih.

Smishing kraje podatkov, kjer so napadalci zlorabili ime in podobo portala gov.si

admin Leave a comment

Napadalci so izvedli smishing napad, pri katerem so zlorabili ime in podobo portala gov.si, da bi prišli do kreditnih kartic uporabnikov. Gre za prevaro, ki je zanimiva predvsem zaradi načina izvedbe, saj je prvi kontakt vzpostavljen prek SMS sporočila, ki naj bi ga poslala Vlada RS. Do sedaj smo bili vajeni tovrstnih sporočil v imenu dostavnih služb in bank, vendar se zdi, da napadalci postajajo vse bolj inovativni in drzni pri izbiri identitet, ki jih zlorabljajo.

Žrtve najprej prejmejo SMS sporočilo, v katerem jih opozarjajo, da morajo posodobiti naslov prebivališča, sicer bodo plačali kazen v višini 5.000 €. To je ena izmed pogostih taktik prepričevanja, kjer napadalci igrajo na karto ustrahovanja. Poleg obljub o zaslužku gre za eno izmed najpogostejših taktik, ki jih uporabljajo pri tovrstnih prevarah. Žrtve, ki se prestrašijo in želijo preprečiti plačilo kazni, postanejo bolj dovzetne za nadaljnje korake prevare.

Povezava v SMS sporočilu vodi na lažni obrazec, prek katerega žrtve “preverijo” veljavnost svojih podatkov. Na ponarejeni spletni strani, ki kopira podobo gov.si, morajo žrtve vnesti osebne podatke, vključno s podatki kreditne kartice in CVV kodo. Napadalci so pri tem zelo prepričljivi, saj žrtve mislijo, da gre za uradno stran vlade, ki zahteva posodobitev podatkov. Žrtve se ne zavedajo, da pravzaprav vnašajo svoje podatke na stran, ki jo nadzorujejo napadalci.

S tem napadalci pridobijo vse potrebne informacije, da lahko aktivirajo mobilno denarnico na svojem telefonu v imenu žrtve in izvajajo spletne nakupe z njenimi denarnimi sredstvi. Žrtve običajno na banki ne morejo vložiti reklamacije, saj gre za spletni nakup z močno avtentikacijo. Napadalci tako lahko neopazno in brez posledic porabijo denar z žrtvine kreditne kartice.

Tovrstne prevare so vse pogostejše in postajajo vse bolj dovršene. Pomembno je, da smo pozorni na nenavadna sporočila, tudi če se zdijo legitimna, in da nikoli ne vnašamo osebnih podatkov na sumljive spletne strani. Če sumimo, da gre za prevaro, se je najbolje obrniti na pristojne organe ali banko, ki lahko preverita legitimnost zahteve in preprečita morebitno škodo.

Kako se zaščititi pred takšnimi napadi?

Da bi preprečili tovrstne napade, je pomembno upoštevati naslednje ukrepe:

1. Bodite pozorni na nenavadna sporočila

Če prejmete nenavadno sporočilo, ki zahteva posodobitev osebnih podatkov ali plačilo kazni, bodite zelo sumničavi. Preverite, ali gre res za uradno sporočilo, preden ukrepate.

2. Ne klikajte na sumljive povezave

Nikoli ne klikajte na povezave v SMS sporočilih ali e-poštah, če niste prepričani, da gre za legitimno stran. Raje obiščite spletno stran neposredno prek brskalnika.

3. Bodite pozorni na lažne spletne strani

Preverite, ali spletna stran, na katero ste usmerjeni, res izgleda kot uradna stran. Bodite pozorni na podrobnosti, kot so URL naslov, logotipi in oblikovanje.

4. Nikoli ne vnašajte osebnih podatkov na sumljivih straneh

Nikoli ne vnašajte osebnih podatkov, številk kreditnih kartic ali drugih občutljivih informacij na spletnih straneh, ki vam ne vzbujajo zaupanja.

5. Redno preverjajte bančne izpiske

Redno pregledujte bančne izpiske in transakcije, da bi pravočasno odkrili morebitne sumljive dejavnosti.Z upoštevanjem teh ukrepov lahko bistveno zmanjšate tveganje, da postanete žrtev tovrstnih prevar.

Novi izsiljevalski virus ShadowRoot tarča podjetja z nevarnimi orodjem nadgrajenimi PDF datotekami

Novi izsiljevalski virus ShadowRoot tarča podjetja z nevarnimi orodjem nadgrajenimi PDF datotekami

admin Leave a comment

ShadowRoot ransomware: Nova grožnja za podjetja preko zlonamernih PDF-jev

Moderni kibernetski napadalci nenehno izboljšujejo svoje metode, da bi presegli varnostne sisteme podjetij. Najnovejša grožnja v tej kontinuiteti je ShadowRoot ransomware, ki cilja na podjetja s pomočjo zlonamernih PDF dokumentov. Ta nova oblika ransomware napada je postala grožnja za številne organizacije po svetu, predvsem v Turčiji, kjer je že povzročila precejšnje težave.

Kaj se je zgodilo?

Novi ransomware ShadowRoot se širi preko phishing emailov, ki vsebujejo PDF priponke. Te PDF datoteke, na videz neškodljive, vključujejo zlonamerna orodja za zlorabo. Ko uporabnik odpre takšno PDF datoteko, se sproži veriga dogodkov, med katerimi napadalci izkoristijo obfuscated funkcije in skrite PowerShell komande za šifriranje datotek na računalniku žrtve. Vsaka šifrirana datoteka je označena z “.shadowroot” razširjenjem, kar jasno nakazuje, da so bile datoteke ogrožene.

Phishing kampanje so usmerjene predvsem proti podjetjem, ki so lahko zaradi narave svojega dela bolj dovzetna za takšne napade. ShadowRoot ransomware lahko povzroči resno gospodarsko škodo, saj napadalci lahko izsiljujejo podjetja za velike vsote denarja v zameno za dešifriranje datotek.

Katere ranljivosti izkorišča ShadowRoot ransomware?

ShadowRoot ransomware izkorišča več ranljivosti in slabosti v varnostnih postopkih podjetij:

1. Phishing taktike: Ena izmed glavnih metod prenašanja ShadowRoot ransomware je uporaba phishing emailov. Podjetja, ki nimajo ustreznih varnostnih protokolov za prepoznavanje in blokiranje phishing emailov, so še posebej ranljiva.

2. Uporaba mobilnih naprav: Mnoga podjetja dopuščajo uporabo osebnih mobilnih naprav za poslovanje, kar povečuje ranljivost za napade. Osebne naprave so pogosto manj zaščitene v primerjavi s poslovnimi računalniki.

3. Premalo usposobljenih varnostnih ekip: Manjše varnostne ekipe morda nimajo dovolj zmogljivosti za hitro zaznavanje in odzivanje na ransomware napade, kar omogoča širjenje napadalcev.

4. Premajhna pozornost kibernetski varnosti: Podjetja, ki ne izvajajo rednih varnostnih posodobitev ali pa nimajo vzpostavljenih protokolov za kibernetsko varnost, so bolj dovzetna za tovrstne napade.

Kaj to pomeni za uporabnike?

Za uporabnike, predvsem zaposlene v podjetjih, to pomeni potrebo po povečani previdnosti in ozaveščenosti glede potencialnih groženj. Izobraževanje in osveščanje zaposlenih o najboljši praksi za prepoznavanje phishing emailov in drugih oblik kibernetskega napada je ključnega pomena.

Tudi posamezni uporabniki morajo razumeti nevarnosti odpiranja neznanih priponk in nepooblaščenega prenosa programskih datotek. Vedno je priporočljivo dvakrat preveriti izvor emailov in se izogibati odpiranju priponk iz sumljivih virov.

Namigi za preprečevanje in reševanje problema

Implementacija varnostnih ukrepov

1. Uporaba vrhunskih varnostnih programov: Ključno je, da podjetja investirajo v napredne varnostne sisteme, ki so posebej zasnovani za preprečevanje ransomware napadov. CrowdStrike Falcon Complete predstavlja eno izmed najboljših rešitev na tem področju. CrowdStrike Falcon Complete omogoča detekcijo in zaščito pred ransomware napadi, saj uporablja napredno analitiko in strojno učenje za zaznavanje sumljivih aktivnosti.

2. Redno varnostno kopiranje podatkov: Podjetja morajo izvajati redno varnostno kopiranje pomembnih podatkov, bodisi v oblaku bodisi na zunanjih napravah. Varnostne kopije omogočajo podjetjem, da hitro obnovijo svoje podatke v primeru napada, ne da bi se morali predati zahtevam napadalcev.

3. Varovanje omrežja: Podjetja naj vzpostavijo stroge omrežne politike in zapore, ki omejujejo dostop do kritičnih sistemov. Prav tako je priporočljivo uporabljati omrežne požarne zidove in sisteme za zaznavanje vdorov (IDS), ki lahko prepoznajo in blokirajo sumljive aktivnosti.

Izobraževanje zaposlenih

1. Izobraževanje o phishing taktiki: Zagotoviti izobraževanje in usposabljanje za zaposlene o prepoznavanju phishing emailov in drugih podobnih tehnik napada. Uporabniki se morajo naučiti, kako prepoznati nenavadna sporočila, preveriti izvor emailov in se izogibati odpiranju sumljivih priponk.

2. Uporaba močnih gesel: Zaposleni naj uporabljajo močna in edinstvena gesla za svoje računalnike in aplikacije ter omogočijo dvostopenjsko avtentikacijo (2FA) za dodatno varnost.

Redno posodabljanje programske opreme

Zagotavljanje, da so vsi sistemi in programska oprema redno posodobljeni, je ključnega pomena za zmanjšanje ranljivosti. Varnostne posodobitve pogosto vključujejo popravke za znane ranljivosti, ki jih lahko izkoristijo napadalci.

Uporaba nadzora dostopa

Podjetja naj vzpostavijo nadzor dostopa, ki omejuje dostop do ključnih sistemov in podatkov na podlagi potreb zaposlenih. To pomeni, da imajo uporabniki dostop le do tistih informacij in sistemov, ki jih potrebujejo za svoje delo.

Namig za preprečevanje in reševanje:

Redno varnostno kopiranje podatkov

Namig dneva:

Nikoli ne klikajte na sumljive povezave ali odpirajte nenamerenih priponk v emailih, tudi če se zdijo, da prihajajo od zanesljivih virov. Vedno preverite, ali je email resnično poslalo znano podjetje ali oseba, preden ga odprete.

 

Vabimo vas, da delite svoje izkušnje ali nasvete glede kibernetske varnosti v komentarjih spodaj ali na vaših najljubših družabnih omrežjih. Skupaj lahko izboljšamo varnost naših podjetij!