Category: IT security novice

Hunters International, kriminalna računalniška skupina, ki je pričela svojo dejavnost oktobra 2023, je v kratkem času postala ena največjih groženj v svetu računalniške varnosti. Samo v prvih sedmih mesecih leta 2024 je skupina izvedla osupljivih 134 kibernetskih napadov. Ogrožajoče je, da mnogi strokovnjaki menijo, da je skupina naslednik zloglasne grožnje Hive, zaradi podobnosti v njihovi kodi.

Rapidni Razvoj in Uporaba Ransomware-as-a-Service (RaaS) Modela

Hunters International se je razvila v tako imenovani Ransomware-as-a-Service (RaaS) model, kar jim je omogočilo hiter vzpon med največje varnostne grožnje. Njihov napadni modus operandi je sestavljen iz izsiljevanja podatkov in poznejšega šifriranja datotek z naprednim šifriranjem v programskem jeziku Rust.

IpScan Napad: Maskiranje in Certifikacija

Napadi Hunters International običajno se začnejo z uvajanjem zlonamerne programske opreme, imenovane “ipscan-3.9.1-setup.exe”, ki se maskira kot nedolžna 32-bitna prenosna izvršljiva datoteka. Zlonamerna datoteka je zamaskirana kot Nullsoft installer in je opremljena z veljavnim certifikatom izdan od J-Golden Strive Trading Co., Ltd., ki ga je izdala GlobalSign.

Uporaba AngryIP in Vzpostavitev Pristopa

Datoteka “ipscan-3.9.1-setup.exe” izkorišča odprtokodno tehnologijo AngryIP, ki omogoča prehod mimo varnostnih kontrol in vzpostavi začetni pristop k ciljanim sistemom. Ta pristop omogoča uvedbo RAT (Remote Access Trojan) – SharpRhino.

SharpRhino RAT: Implementacija in Analiza

SharpRhino RAT se širi pod masko AngryIP installerja, in vključuje password-zaščiteno arhivo ter drugo izvršljivo datoteko (ipscan-3.9.1-setup.exe). Detonacijska analiza je razkrila geslo za arhiv in pokazala, da NSIS installer vzpostavi trajnost tako, da dodaja registarski ključ, ki vpliva na datoteko “Microsoft.AnyKey.exe”, kar omogoča izvedbo zlonamerne skripte LogUpdate.bat.

Ugotovljeno je bilo, da LogUpdate.bat uporablja obfusiran PowerShell za izvedbo zlonamerne aktivnosti. Daljša analiza nakazuje, da je zlonamerno aktivnost verjetno odgovorna za vzpostavljanje skritega datotekovnega sistema.

Analiza .t datoteke je razkrila večslojno in sofisticirano datoteko za okužbo. Napadalec je uporabil PowerShell za obfuskacijo in izvedbo zlonamerne C# kode neposredno v pomnilniku. Ta metoda vključuje uporabo varnih nizov za dodatno obfusiranje in dinamično konstrukcijo URL-jev, ki vodijo do Cloudflare Serverless Architecture endpoint, kar nakazuje na Command-and-Control (C2) infrastrukturo.

Zloženost Kodiranja in Šifriranja

Podrobna analiza C# izvornega kode iz .t datoteke je bila zahtevna zaradi močne obfuskacije. Vendar pa se je izkazalo, da po naložitvi kode v IDE, nastanejo novi objekti, ki so bili uporabljeni v datoteki .t. Po prevajanju datoteke .t na nadzorovan strežnik je bila odkrita HTTP POST zahteva, ki vsebuje base64-enkodirane in šifrirane podatke. Šifrirna rutina v C# kodi uporablja XOR operacije za skrivanje byte objektov.

SharpRhino je C# malware, ki uporablja šifriranje za skrivno komunikacijo z C2 strežnikom. Po preklicu šifriranja in analizi omrežnega prometa so raziskovalci ugotovili, da malware uporablja podatke o napravah in uporabnikih za registracijo na C2 in prejemanje ukazov, ki jih nato izvrši PowerShell na okuženem sistemu.

Zaključek: Potreba po Povečani Varnosti

Skupina Hunters International predstavlja resno grožnjo in poudarja potrebo po povečani varnosti in pozornosti na kibernetične napade. Uporabniki naj bodo previdni pri izmenjevanju vsebin preko spleta in uporabljajo varne prakse za zaščito pred zlonamernimi aktivnostmi.

URL izvora novice: https://cyberpress.org/ransomware-disguised-as-angry-ip-scanner/

Novo opozorilo: Kibernetski napadi ciljajo na južnokorejski gradbeni in strojni sektor

Južnokorejska varnostna agencija je izdala skupno varnostno svetilo, ki opozarja na porast kibernetskih napadov, namenjenih sektorjema gradbeništva in strojnega inženirstva. Varnostno svetilo dviguje alarm glede sofisticiranih napadov, ki jih naj bi izvajale severnokorejske kibernetske skupine Kimsuky in Andariel, katerih cilj je pridobivanje tajnih podatkov za domačo industrijsko uporabo.

Varnostno svetilo vključuje podrobne informacije o taktikah, tehnikah in postopkih (TTPs), ki jih uporabljata te skupine, ter kazalce kompromitov (IoCs). Višja ogroženost je povezana s Severno Korejo in njeno novo politiko hitrega industrializiranja, kar je privedlo do povečanja kibernetsko obveščevalnih dejavnosti, ki ciljajo na južnokorejske industrijske sektorje.

Kimsuky in sofisticirani napadi na gradbeništvo

Kimsuky je izvedel sofisticiran kibernetski napad na južnokorejski gradbeni sektor januarja 2024. Napadalci so kompromitirali legitimno varnostno programsko opremo, ki se uporablja za prijavo na spletne strani. S tem so distribuirali malware, ki je izbežal opazovanju nekaterih antivirusnih programov. Ko je bil malware nameščen, je zlahka zbiral podatke, kot so sistemske informacije, zaslone, podatke brskalnika, vključno z uporabniškimi imeni in piškoti.

Napad je kombiniral tehniko dodatne verige in vodočrto, ki je izkoriščala napake na spletnih straneh ciljnih organizacij za razdelitev nevarne kode. Skupina Kimsuky je ciljala na gradbeni sektor tako, da je ukradla legitimne digitalne certifikate in jih uporabila za podpis malwareja, ki je bil nato razširjen prek okuženih spletnih strani, ki jih pogosto obiskujejo uporabniki iz gradbeniškega sektorja.

Glavni cilj napada so bile vlade in organizacije v gradbenem sektorju za pridobitev dostopa do zaupnih informacij o velikih gradbenih projektih in tehničnih podatkov od udeležencev. Vključitev funkcije kraje podatkov GPKI (General Public Key Infrastructure) v programski opremi malwareja nakazuje na namerni poskus povečanja obsega napada in ohranitve stalnega dostopa do kompromitiranih sistemov.

Andariel in ciljani napadi na strojni sektor

Skupina Andariel je izkoriščala pomanjkljivosti v domači informacijski varnostni programski opremi (VPN in strežnikih) za izvajanje ciljanih napadov na gradbeni in strojni sektor aprila 2024. Skupina je zamenjala legitimne datoteke za upravljanje z malwarejem, kar je omogočilo razširjanje DoraRAT-ja, remote dostopa trojana. Napadna veriga je uporabila napako v komunikacijskem protokolu med klientom in strežnikom VPN-ja, da bi zaobšla več varnostnih preverjanj in razdelila nevarno kodo.

DoraRAT malware je osnovna, vendar omogoča prenos datotek in izvrševanje nalog in je verjetno bila uporabljena za pridobitev velikih količin načrtov dokumentov, povezanih z mehanično opremo in inženiringom.

Po podatkih KCIC (Korea Cybercrime Investigation Center) so napadalci tudi izkoriščali pomanjkljivosti v programih za upravljanje strežnikov, kar kaže na tveganje, da bi ciljali na IT upravljalno programsko opremo zaradi njihovih privilegiranih dostopov.

Proaktivno pristopanje k varnosti

Severna Koreja usmerja svoje napade na pomanjkljivosti spletnih strani in informacijske varnostne programske opreme. Da bi se zaščitili, naj bi organizacije izvajale osebno varnostno usposabljanje za vse zaposlene, izvajale strožji nadzor nad distribucijo programske opreme in bile na tekočem z varnostnimi svetili vladnih organov.

Organizacije lahko izboljšajo razvoj svoje programske opreme z rednimi varnostnimi ocenami, ki jih nudi KISA (Korea Internet & Security Agency). Proaktivno obravnavanje teh področij lahko organizacijam pomaga zaščititi se pred kibernetskimi napadi.

💡 Namig dneva 💡

Zaključek

Kibernetski napadi, posebej usmerjeni proti sektorjem gradbeništva in strojnega inženirstva, predstavljajo resno grožnjo za varnost in stabilnost južnokorejske industrije. Skupine, kot sta Kimsuky in Andariel, uporabljajo izpopolnjene taktike za dostop do zaupnih informacij. Z rednim nadzorom varnostnih svetil in izvajanjem robustnih varnostnih ukrepov lahko organizacije bolje zaščitijo svoje kritične sisteme in preprečijo morebitne kršitve varnosti.

URL izvora novice: [CyberPress](https://cyberpress.org/vpn-update-flaw-to-breach-networks/)

**Vir: CyberPress**

Odkrivanje ranljivosti v sistemih ogroža podatke

V zadnjih dneh je prišlo do odkritja pomembne ranljivosti v enem izmed najbolj razširjenih informacijskih sistemov na svetu. Ta ranljivost omogoča nepooblaščen dostop do sistemov in podatkov s strani kibernetskih napadalcev, kar pomeni resno grožnjo za varnost osebnih in finančnih informacij uporabnikov. Ranjivost se je pojavila zaradi napake v kodi, ki je bila vključena v sistem, in ta napaka omogoča hackerjem, da pridobijo dostop do zaupnih informacij ter povzročijo potencialno nepopravljivo škodo.

Obseg težave

Ranjivost je bila odkrita v sistemu, ki ga uporabljajo številne organizacije in podjetja po vsem svetu, vključno z bančnimi institucijami, zdravstvenimi organizacijami, trgovinskimi podjetji ter vladnimi agencijami. To pomeni, da je lahko na milijone uporabnikov izpostavljenih zaradi te varnostne pomanjkljivosti. Kadar napadalci izkoristijo tako vrsto ranljivosti, lahko pridobijo dostop do občutljivih podatkov, vključno z gesli, številkami kreditnih kartic, zdravstvenimi zapisi in drugimi osebnimi informacijami.

Kako se je ranljivost pojavila

Vzrok za ranljivost je napaka v kodi, ki je bila vključena v sistem med razvojem programske opreme. Ta napaka omogoča napadalcem, da izvedejo različne vrste napadov, kot so injiciranje zlonamerne kode, dostop do modulov, ki naj bi bili po privzetku varovani, ter exfiltracijo podatkov. Kljub temu, da so razvijalci pozorni na varnostne protokole, je včasih težko zaznati vse možne napake, preden program pride do končnega uporabnika.

Možne posledice

Posledice takšnih ranljivosti so lahko zelo hude. Če napadalci uspešno izkoristijo ranljivost, lahko pride do kraje identitete, finančne goljufije, izgube zaupnih podatkov in celo motenj v delovanju celotnih organizacij. To lahko privede do resne izgube zaupanja med strankami in javnostjo, kot tudi do velikih finančnih izgub za podjetja, ki ne uspejo pravočasno zavarovati svojih sistemov.

Ukrepi za odpravo ranljivosti

Organizacije in podjetja, ki uporabljajo prizadeti sistem, morajo takoj ukrepati, da zavarujejo svoje podatke. Prvi korak je identificiranje in popravilo napake v kodi, ki omogoča ranljivost. Programerji morajo izvesti podrobno analizo kode, da zagotovijo, da so vse varnostne luknje zaprte. Nato je priporočljivo izvajanje celovitih varnostnih preskusov, da se zagotovi, da popravek dejansko odpravlja problem in ne povzroča novih težav.

Namig dneva:

Preprečevanje bodočih ranljivosti

Najboljša obramba pred podobnimi težavami v prihodnosti je proaktivna varnostna strategija. To vključuje redno posodabljanje programske opreme, uporabo naprednih varnostnih rešitev, kot so požarni zidovi in protivirusni programi, ter stalno izobraževanje osebja o varnostnih grožnjah in najboljših praksah za zaščito podatkov.

Poleg tega, da se organizacije obrnejo na zunanje strokovnjake za kibernetsko varnost, ki lahko pomagajo oceniti trenutne varnostne ukrepe in predlagati izboljšave, lahko pomagajo tudi interne varnostne politike, ki se osredotočajo na večnivojsko varnost, revizijo dostopnih pravic in uporabo kriptografskih metod za zaščito podatkov.

Zaključek

Ranjivosti v informacijskih sistemih predstavljajo resno grožnjo za varnost podatkov. Pomembno je, da organizacije in podjetja, ki uporabljajo te sisteme, strokovno in hitro ukrepajo za odpravo varnostnih lukenj. Z rednim posodabljanjem sistemov, izobraževanjem zaposlenih ter izvajanjem varnostnih ocen in popravkov lahko preprečimo, da bi kibernetski napadalci izkoristili te ranljivosti in povzročili škodo.

Vir: https://cyberpress.org/vulnerability-exposes-systems-to-hackers/

Varnostna napaka razkrila osebne podatke več kot 29 milijard ljudi

V eni od največjih napak računalniške varnosti vseh časov so bili izpostavljeni podatki več kot 29 milijard ljudi. Gre za eno največjih kršitev varnosti doslej, saj so bili izpostavljeni osebni podatki, kot so polna imena, naslovi in številke socialne varnosti. Ta incident predstavlja ogromen udarec za zaščito osebnih podatkov na spletu.

Pomen varnosti osebnih podatkov

Pri tej kršitvi varnosti so bili izpostavljeni podatki, ki omogočajo neposredno identifikacijo posameznikov. Ti podatki vključujejo polna imena posameznikov, njihove stanovanjske naslove in številke socialne varnosti. To je zelo resna situacija, saj se ti podatki lahko uporabijo za krajo identitete, goljufije in druge zlonamerne dejavnosti.

Obseg napada

S skupno več kot 29 milijardami prizadetih ljudi, ta incident predstavlja brez primere zgodovinski dogodek v svetu računalniške varnosti. Ni jasno, kako so napadalci pridobili dostop do tako velikega števila podatkov ali kakšno vrsto ranljivosti so izkoristili. Toda posledice so obsežne in dolgotrajne.

Odziv organizacij in institucij

Organizacije in institucije po vsem svetu se trudijo razumeti obseg kršitve in kako bi lahko bolje zaščitile podatke svojih uporabnikov. Strokovnjaki za kibernetsko varnost opozarjajo, da morajo organizacije okrepiti svoje sisteme za zaščito pred takšnimi incidenti in uvajati strožje varnostne ukrepe.

Posledice za prizadete posameznike

Posamezniki, katerih podatki so bili razkriti, se soočajo z resnimi tveganji za krajo identitete in druge vrste finančnih goljufij. Priporočljivo je, da čim prej spremenijo gesla za svoje spletne račune, spremljajo svoje bančne račune za morebitne sumljive dejavnosti in se obrnejo na ustrezne institucije za dodatne varnostne ukrepe.

Kaj lahko storimo, da zaščitimo svoje podatke?

Medtem ko so tehnične rešitve za izboljšanje varnosti vedno bolj napredne, se morajo tudi uporabniki sami zavedati pomena varovanja svojih osebnih podatkov. Tukaj je nekaj korakov, ki jih lahko vsak od nas sprejme za dodatno zaščito:

• Uporabljajte močna in edinstvena gesla za različne račune.
• Pazite na sumljive e-pošte ali sporočila in ne klikajte na povezave iz neznanih virov.
• Redno posodabljajte svojo programsko opremo in varnostne nastavitve.
• Uporabite dvostopenjsko overjanje pri vseh spletnih storitvah, kjer je to možno.

Podrobnosti incidenta

Podrobnosti o tem, kako je prišlo do te ogromne kršitve varnosti, so še vedno skrite. Strokovnjaki poskušajo določiti izhodiščno točko napada, obseg prizadetih organizacij in uporabljene tehnike. Prvotna preiskava kaže, da je prišlo do večkratnih notranjih in zunanjih ranljivosti, ki so bile izkoriščene za pridobitev dostopa do občutljivih podatkov.

Odziv javnosti in napotki za naprej

Javnost je upravičeno zaskrbljena zaradi obsega in resnosti tega incidenta. Ljudje se vedno bolj zavedajo pomena svojih osebnih podatkov in pričakujejo od podjetij in institucij, da bodo storila vse, kar je mogoče, za zaščito teh podatkov.

V prihodnje bo potrebno bolj tesno sodelovanje med vladami, podjetji in strokovnjaki za kibernetsko varnost, da se preprečijo podobni incidenti. Uvedba strožjih zakonodajnih ukrepov ter izobraževanje javnosti o pomenu varnosti osebnih podatkov bosta ključna koraka naprej.

Uvedba naprednih varnostnih tehnik, redno posodabljanje programske opreme in spremljanje sumljivih dejavnosti so ključni koraki v boju proti kršitvam varnosti. Kot posamezniki moramo biti pozorni na pomen zaščite naših osebnih podatkov in sprejeti potrebne ukrepe, da se izognemo potencialnim zlorabam.

Tovrstni incidenti nas opominjajo na ranljivosti v digitalnem svetu in na potrebo po neprestanem izboljševanju varnostnih mehanizmov.

[Vir: https://www.tomsguide.com/computing/online-security/29-billion-hit-in-one-of-largest-data-breaches-ever-full-names-addresses-and-ssns-exposed]

Napad TCP Flood Zadel Sisteme Windows 2012

V nedavno objavljeni novici na portalu Cyberpress.org so poročali o intenzivnem napadu TCP Flood, ki je prizadel računalniško infrastrukturo, temelječo na sistemih Windows 2012. Napad, ki je trajal več mesecev, je imel za posledico, da je bila mrežna aplikacija popolnoma nepraktična in skoraj neuporabna. Po navedbah portala z nedovoljeno uporabo funkcij za zaščito pred napadi SYN Flood in TCP Flood so sistemi postali ranljivi za tovrstne napade.

Podrobnosti o Napadu

Napad je izvajal več kot 15.600 klicev iz istega IP naslova v časovnem obdobju od 15. oktobra do 16. oktobra. Zaradi intenzivnosti in dolgotrajnosti napada so uporabniki morali izvesti nujne popravke na svojih sistemih, da bi jih lahko nadaljevali uporabljati.

Izpostavljene Ranljivosti

Izpostavljene so bile naslednje ranljivosti, zaradi katerih so bili sistemi Windows 2012 ranljivi za napad TCP Flood:

• Nedovoljena uporaba funkcij za zaščito pred SYN Flood in TCP Flood: Sistemi niso uporabljali učinkovite zaščite pred tovrstnimi napadi, kar je napadalcem omogočilo prosto izvedbo napada.
• Nedovoljena uporaba DoS Protection rules: Uporabniki niso uporabili pravil za zaščito pred napadi Denial-of-Service (DoS) v načinovih Aggregate ali Classified. To je dodatno olajšalo delo napadalcem.
• Nedovoljena uporaba Zone Protection: Uporabniki niso pravilno nastavili zaščite za svoje cono, kar je omogočilo napade iz različnih IP naslovov.

Posledice Napada

Napad TCP Flood je povzročil resne motnje pri delovanju prizadetih sistemov. Uporabniki so se soočili z zavrnjenimi povezavami, počasnim odzivom sistema in popolno nedostopnostjo nekaterih aplikacij. Zaradi obsežnosti napada so bile nujne takojšnje popravke in nadgradnje zaščitnih mehanizmov.

Potrebni Ukrepi

Da bi preprečili podobne napade v prihodnosti, so strokovnjaki za kibernetsko varnost priporočili upoštevanje naslednjih ukrepov:

1. Aktivacija funkcij za zaščito pred SYN Flood in TCP Flood: Uporabniki morajo zagotoviti, da so vse funkcije za zaščito pravilno nastavljene in aktivirane.
2. Implementacija DoS Protection rules: Pravilno nastavite DoS Protection rules v načinih Aggregate ali Classified, da bi zmanjšali tveganje za napade.
3. Uporaba Zone Protection: Poskrbite, da je zaščita za vaše cone pravilno nastavljena, kar zmanjša možnost napadov iz različnih IP naslovov.

Zaključek

Napad TCP Flood, o katerem je poročal Cyberpress.org, je znova pokazal, kako pomembno je redno spremljanje in posodabljanje varnostnih nastavitev. Sistemi, ki niso ustrezno zaščiteni, predstavljajo resno tveganje za poslovne in osebne podatke. Uporaba naprednih zaščitnih mehanizmov in redno posodabljanje sistemov sta ključna za zagotavljanje varnosti in nemotenega delovanja računalniških sistemov.

Če ste kateri koli od vaših sistemov prizadeti zaradi podobnih napadov ali pa želite zagotoviti, da so vaši sistemi varni, sledite zgornjim priporočilom in redno spremljajte novosti na področju kibernetske varnosti.

“`html

Zgodovina in Opis

Seks ključni skupina je razvila ločeno raširilo za operacijske sisteme Windows in Linux, kar predstavlja pomemben napredek in tudi potencialno tveganje za računalniško varnost uporabnikov. Doslej je bilo običajno, da so bila raširila razvita predvsem za en operacijski sistem, kar je omogočilo določenim uporabnikom, da so bili varni, če so uporabljali raširilo na drugem sistemu. Nova ločena raširila pa lahko potencialno ogrozijo uporabnike na obeh sistemih, saj bodo morali biti tisti, ki uporabljajo oba, še posebej pozorni.

Ranljivosti

Ranljivosti, ki so bile opažene, so v večini primerov posledica uporabe nevarnih programov ali obiska nevarnih spletnih strani. Uporabniki, ki so naleteli na nevarne datoteke prek raširil, so bili ogroženi zaradi škodljivih datotek, ki so prišle z raširilom. Tako so uporabniki Windows operacijskega sistema bili ogroženi zaradi datotek, ki so bile del raširil olajšajo uporabo Linux sistema, in obratno.

Najpogosteje opaženo je bilo, da so uporabniki naleteli na zlonamerne datoteke zaradi pomanjkanja pozornosti pri prenosu in nameščanju raširil ter zaradi obiska nezaupljivih spletnih strani. Ranljivosti, ki so bile zabeležene, vključujejo zlonamerne programe, ki so lahko povzročili izgube podatkov, krajo osebnih informacij oziroma omogočili oddaljeni dostop do sistema.

Pomen za Uporabnike

Uporabniki morajo biti zdaj še posebej pozorni pri izbiri in uporabi raširil na svojih računalnikih. Medtem ko so prej lahko izbirali raširila, ki so bila razvita za en operacijski sistem, brez skrbi za drugega, zdaj morajo zagotoviti, da uporabljajo ustrezna raširila za svoj sistem, da bi se izognili nevarnostim.

Seks ključni skupina je razvila raširila, ki so specifična za en sistem, kar pomeni, da mora uporabnik Linux sistema uporabljati raširila, razvita za Linux in uporabnik Windows mora uporabljati raširila, specifična za Windows. Neskladnost teh raširil lahko poveča tveganje za varnostne težave, zato je pomembno, da uporabniki skrbno preverijo legitimnost in zanesljivost raširila pred njegovo uporabo.

Zavest Uporabnikov

Uporabniki morajo, poleg pazljivosti pri izbiri raširil, uporabljati tudi zaščitne ukrepe, kot so antivirusni programi, ki so specifični za njihov operacijski sistem. Pomembno je redno posodabljanje antivirusnih programov, da bi lahko prepoznali in odstranili najnovejše grožnje.

Prav tako je priporočljivo, da uporabniki ne prenašajo raširil iz nezaupljivih virov, saj lahko ta vsebujejo zlonamerne kode. Vedno je bolje izbrati preverjene in priznane vire za prenos programske opreme. Poleg tega je pomembno, da redno pregledujejo svoje sisteme in poudarjajo potrebo po izobraževanju o varnostnih vprašanjih.

Zaključek

Seks ključni skupina je ustvarila ločena raširila za Windows in Linux, kar predstavlja novo preizkušnjo za uporabnike na obeh operacijskih sistemih. Omenjenemu pristopu so ranljivosti posledica uporabe nevarnih programov in obiska nevarnih spletnih strani. Uporabniki morajo biti zdaj še bolj pozorni pri izbiri in uporabi raširil, ki so specifična za njihov sistem, da bi izboljšali svojo varnost.

Seks ključni skupina je razvila inovativna orodja, ki so specifična za posamezne operacijske sisteme, kar zahteva večjo pozornost uporabnikov pri prenosu in uporabi raširil. Redno posodabljanje antivirusnih programov in izogibanje nezaupljivim virom za prenos programske opreme je bistvenega pomena za zagotavljanje varnosti sistema.

“`

Opazili smo znatno povečanje skeniranja za ranljivost CVE-2017-9841, nadaljnje povečanje skeniranja za CVE-2023-1389 in skeniranje za novo odkrito ranljivost v PHP – CVE-2024-4577. V tem blogu bomo podrobneje raziskali te ranljivosti, njihovo zgodovino, vpliv ter kako se lahko zaščitimo pred njimi. Poleg tega bomo obravnavali, kako lahko F5 WAF (Web Application Firewall) uporabimo kot zaščito pred temi ranljivostmi.

Uvod v ranljivosti

Ranljivosti v programski opremi so pomanjkljivosti ali napake v kodi, ki jih lahko zlonamerni napadalci izkoristijo za dostop do sistemov, podatkov ali za izvajanje zlonamernih dejanj. Razumevanje teh ranljivosti in njihovih posledic je ključno za zaščito informacijskih sistemov. V zadnjih mesecih smo opazili znatno povečanje zanimanja za določene ranljivosti, kar nakazuje na aktivno iskanje tarč s strani napadalcev.

CVE-2017-9841

Opis ranljivosti

CVE-2017-9841 je ranljivost, ki se nanaša na PHPUnit, priljubljen okvir za testiranje v PHP. Gre za ranljivost izvajanja oddaljenega kode (RCE), ki omogoča napadalcem, da izvedejo poljubno kodo na strežniku, ki uporablja ranljive različice PHPUnit. Ta ranljivost izkorišča datoteko eval-stdin.php, ki je prisotna v različicah PHPUnit pred 4.8.28 in 5.x pred 5.6.3.

Zgodovina in izkoriščanje

Ranljivost je bila prvič odkrita leta 2017 in je bila odpravljena v različicah PHPUnit, ki so izšle novembra 2016. Kljub temu pa je bila ranljivost še vedno aktivno izkoriščena, kar je povzročilo znatno povečanje skeniranja v zadnjih mesecih. V zadnjem poročilu je bilo ugotovljeno, da je skeniranje za to ranljivost naraslo za 33% v primerjavi s prejšnjim mesecem, kar jo je postavilo na vrh seznama najbolj skeniranih ranljivosti.

Kako se zaščititi

Za zaščito pred to ranljivostjo je priporočljivo:

• Posodobitev PHPUnit: Preverite, ali uporabljate najnovejšo različico PHPUnit, ki vključuje popravke za to ranljivost.
• Odstranitev ranljivih datotek: Prepričajte se, da na strežniku ni preostalih ranljivih datotek, kot je eval-stdin.php.
• Redno skeniranje: Uporabite orodja za skeniranje ranljivosti, da redno preverjate svoje sisteme.

CVE-2023-1389

Opis ranljivosti

CVE-2023-1389 je ranljivost RCE, ki vpliva na potrošniške usmerjevalnike TP-Link Archer AX21. Ta ranljivost omogoča napadalcem, da izvedejo poljubno kodo na prizadetih napravah, kar predstavlja resno grožnjo za uporabnike. Ranljivost je bila odkrita v različicah programske opreme, ki so starejše od 1.1.4 Build 20230219.

Povečanje skeniranja

V zadnjem mesecu je skeniranje za to ranljivost naraslo za 33%. To je povzročilo, da je postala ena izmed najbolj skeniranih ranljivosti od marca 2023. Napadalci se zavedajo ranljivosti in aktivno iščejo tarče, kar pomeni, da je nujno, da uporabniki teh usmerjevalnikov posodobijo svoje naprave in uporabijo varnostne ukrepe.

Kako se zaščititi

Za zaščito pred to ranljivostjo priporočamo:

• Posodobitev programske opreme: Redno preverjajte in posodabljajte programsko opremo usmerjevalnika.
• Sprememba privzetih gesel: Uporabite močna in edinstvena gesla za dostop do usmerjevalnika.
• Omogočanje požarnega zidu: Prepričajte se, da je požarni zid usmerjevalnika omogočen.

CVE-2024-4577

Opis ranljivosti

CVE-2024-4577 je nova ranljivost, odkrita v PHP, ko se izvaja na sistemih Windows z uporabo Apache in PHP-CGI. Ta ranljivost predstavlja potencialno grožnjo za številne aplikacije, ki temeljijo na PHP, in je še v fazi raziskovanja.

Potencialne posledice

Ker gre za novo odkrito ranljivost, so informacije o njenih posledicah še omejene. Vendar pa je pomembno, da se razvijalci in skrbniki sistemov zavedajo te ranljivosti in začnejo izvajati potrebne ukrepe za zaščito svojih aplikacij.

Kako se zaščititi

Za zaščito pred to ranljivostjo priporočamo:

• Redno posodabljanje PHP: Uporabite najnovejšo različico PHP, ki vključuje varnostne popravke.
• Spremljanje varnostnih obvestil: Bodite pozorni na varnostna obvestila in priporočila, povezana s PHP.

Uporaba F5 WAF za zaščito

F5 WAF (Web Application Firewall) je zmogljivo orodje, ki lahko pomaga zaščititi spletne aplikacije pred različnimi ranljivostmi, vključno z RCE ranljivostmi, kot so CVE-2017-9841, CVE-2023-1389 in CVE-2024-4577. F5 WAF deluje kot zaščitni zid, ki analizira in filtrira promet, ki prihaja do aplikacij, in preprečuje zlonamerne napade.

Ključne funkcionalnosti F5 WAF

1. Preprečevanje napadov: F5 WAF lahko zazna in blokira poskuse izkoriščanja znanih ranljivosti, kar zmanjšuje tveganje za uspešne napade na vaše aplikacije.
2. Upravljanje s prometom: F5 WAF omogoča napredno upravljanje s prometom, kar pomeni, da lahko prilagodite pravila in politike glede na specifične potrebe vaše aplikacije.
3. Poročanje in analitika: F5 WAF ponuja obsežna poročila in analitične funkcionalnosti, ki vam omogočajo spremljanje in analizo prometa ter odkrivanje morebitnih groženj.
4. Zaščita pred DDoS napadi: F5 WAF vključuje zaščito pred DDoS napadi, kar je še posebej pomembno za potrošniške usmerjevalnike in druge naprave, ki so lahko tarče za tovrstne napade.
5. Integracija z obstoječimi sistemi: F5 WAF se lahko enostavno integrira z obstoječimi varnostnimi rešitvami in infrastrukturo, kar omogoča enostavno upravljanje in zaščito.

Kako implementirati F5 WAF

Za učinkovito zaščito pred ranljivostmi, kot so CVE-2017-9841, CVE-2023-1389 in CVE-2024-4577, je priporočljivo, da:

• Namestite F5 WAF: Namestite F5 WAF na vašo infrastrukturo in ga konfigurirajte za zaščito vaših aplikacij.
• Konfigurirajte pravila: Prilagodite pravila in politike F5 WAF, da ustrezajo potrebam vaše aplikacije in zaščitite pred specifičnimi ranljivostmi.
• Redno spremljajte in posodabljajte: Redno spremljajte delovanje F5 WAF in ga posodabljajte, da zagotovite zaščito pred novimi grožnjami.

Sklep

Ranljivosti, kot so CVE-2017-9841, CVE-2023-1389 in CVE-2024-4577, predstavljajo resne grožnje za informacijske sisteme in aplikacije. F5 WAF je učinkovito orodje, ki lahko pomaga zaščititi vaše aplikacije pred temi ranljivostmi in drugimi grožnjami. Pomembno je, da se organizacije in posamezniki zavedajo teh ranljivosti ter sprejmejo ustrezne varnostne ukrepe, da zaščitijo svoje podatke in sisteme. Redno posodabljanje programske opreme, skeniranje ranljivosti in izobraževanje o najboljših praksah so ključni elementi za ohranjanje varnosti v digitalnem svetu.

V svetu kibernetske varnosti je nedavno prišlo do pomembnega dogodka, ki je pritegnil pozornost medijev in strokovnjakov. Podjetje je namreč plačalo rekordno odkupnino v višini 75 milijonov dolarjev skupini Dark Angels, kar je največja zabeležena odkupnina doslej. Ta dogodek ne le da postavlja nove mejnike v svetu izsiljevalske programske opreme (ransomware), temveč tudi odpira vprašanja o učinkovitosti trenutnih varnostnih ukrepov in strategij obrambe pred kibernetskimi napadi.

Kdo so Dark Angels?

Skupina Dark Angels se je prvič pojavila maja 2022 kot preimenovanje družine Babuk, ki je bila znana po svojih napadih z izsiljevalsko programsko opremo. Ta skupina je hitro pridobila sloves zaradi svoje ciljno usmerjene strategije, ki se osredotoča na omejeno število visoko vrednih organizacij. Namesto da bi napadali širok spekter žrtev, kar je značilno za mnoge druge skupine, Dark Angels izberejo svoje tarče skrbno, kar povečuje njihove možnosti za uspeh.

Rekordna odkupnina

Nedavna plačila odkupnine so pokazala, da so napadalci sposobni izsiliti ogromne zneske denarja. Predhodni rekord je bil postavljen leta 2021, ko je podjetje CNA Financial plačalo 40 milijonov dolarjev. Vendar pa je nova odkupnina v višini 75 milijonov dolarjev postavila nov standard, kar kaže na to, da so napadalci postali bolj ambiciozni in iznajdljivi. Ta višina odkupnine je posledica skrbnega raziskovanja žrtev, pri čemer napadalci pogosto določijo znesek, ki ga lahko podjetje plača, a je hkrati nekoliko nižji od stroškov, ki bi jih podjetje imelo v primeru izpada delovanja.

Strategija napadalcev

Dark Angels so znani po svoji sposobnosti, da izvedejo napade, ki so izjemno usmerjeni in dobro načrtovani. V septembru 2023 so napadli podjetje Johnson Controls, pri čemer so zahtevali odkupnino v višini 51 milijonov dolarjev, potem ko so ukradli 27 terabajtov podatkov. Ta napad je bil eden najbolj poročenih v zgodovini skupine in je pokazal, kako resno jemljejo svoje cilje.Ena od ključnih značilnosti napadov Dark Angels je, da ne šifrirajo vedno vseh datotek. Vendar pa vedno ukradejo ogromne količine podatkov, kar lahko podjetjem povzroči velike težave. Raziščemo lahko, da so podatki, ki jih ukradejo, pogosto v obsegu od 10 do 100 terabajtov, kar lahko traja dni ali tedne, da se prenesejo.

Vpliv na podjetja

Plačilo odkupnine v višini 75 milijonov dolarjev ima lahko dramatične posledice za podjetje, ki je postalo žrtev. Ne glede na to, kako veliko je podjetje, je takšna izguba denarja lahko uničujoča. Strokovnjaki opozarjajo, da se lahko podjetja, ki plačajo takšne odkupnine, znajdejo v težavah, saj ni nikoli zagotovila, da bodo po plačilu lahko povrnila svoje sisteme v prvotno stanje.Poleg tega se postavlja vprašanje, ali bo to plačilo spodbudilo druge kibernetske kriminalce, da sprejmejo podobne prakse. S tem, ko so Dark Angels uspeli izsiliti tako velik znesek, bi lahko postali vzor drugim skupinam, kar bi lahko privedlo do povečanja števila napadov in višjih odkupnin.

Pomen obrambe pred izsiljevalsko programsko opremo

Zaradi naraščajočih napadov izsiljevalske programske opreme postaja obramba pred takšnimi napadi ključna prioriteta za podjetja. Strokovnjaki opozarjajo, da je potrebna celovita in večplastna strategija za zaščito pred tovrstnimi grožnjami. To vključuje izobraževanje zaposlenih, redno posodabljanje programske opreme in uporabo naprednih varnostnih rešitev.Ransomware-as-a-service modeli, ki omogočajo tudi manj izkušenim kriminalcem, da izvedejo napade, dodatno otežujejo situacijo. S povečanjem števila napadov, ki izkoriščajo ranljivosti v zastarelih sistemih, in pojavom napadov, ki jih poganja umetna inteligenca, je nujno, da podjetja ostanejo na preži in se nenehno prilagajajo novim grožnjam.

Ozaveščenost o izsiljevanju

Julij je bil razglašen za mesec ozaveščenosti o izsiljevanju, kar je priložnost za podjetja, da pregledajo svoje varnostne ukrepe in se pripravijo na morebitne grožnje. Strokovnjaki menijo, da bi morala podjetja ves čas, ne le v določenih mesecih, biti pozorna na grožnje izsiljevanja. Vsak dan se morajo zavedati, kako pomembno je zaščititi svoje podatke in sisteme.Zaradi nenehnega razvoja kibernetskih groženj je nujno, da podjetja vlagajo v varnostne rešitve in se zavedajo, da je preprečevanje ključnega pomena. Le tako se lahko izognejo situacijam, kot je bila ta, kjer so morali plačati ogromno odkupnino.

Zaključek

Dogodek, ki je privedel do plačila 75 milijonov dolarjev odkupnine, je le še en opomnik o resnosti grožnje izsiljevanja. Skupina Dark Angels je s svojim ciljno usmerjenim pristopom pokazala, kako lahko kibernetski kriminalci izkoristijo ranljivosti podjetij in dosežejo ogromne dobičke.Podjetja morajo biti pripravljena na to, da se takšni napadi lahko zgodijo, in morajo sprejeti ustrezne ukrepe za zaščito svojih podatkov. Kibernetska varnost ne bi smela biti le mesečna naloga, temveč stalna prednost, ki zahteva nenehno pozornost in prilagoditev. S tem, ko se podjetja zavedajo groženj in vlagajo v varnostne rešitve, lahko zmanjšajo tveganje in zaščitijo svoje poslovanje pred uničujočimi napadi izsiljevalske programske opreme.

“`html

Masivna phishing kampanja prizadela uporabnike po vsem svetu

V zadnjih dneh je bilo odkrito, da je v veliki meri napadalec izvedel masivno kampanjo phishinga, ki je vplivala na veliko število uporabnikov po vsem svetu. Napadalec je uporabljal podatke o uporabnikih, ki so bili zbirani s pomočjo nevarnih spletnih strani in e-poštnih napadov, da bi pridobil dostop do osebnih podatkov in finančnih informacij.

Načini napada

Ranljivosti, ki so se pojavile, vključujejo:

1. Nedovoljena uporaba spletnih strani:

Napadalci so uporabljali lažne spletne strani, da bi uporabnike prepričali, da so na pravi spletni strani. Tako so napadalci pridobili podatke, kot so uporabniška imena in gesla, kar jim je omogočilo dostop do računov uporabnikov.

2. Nedovoljena uporaba e-pošte:

Uporabniki so prejeli e-pošte, ki so izgledale zelo zanesljivo in verodostojno. Te e-pošte so pogosto ponarejane, da bi izgledale, kot da prihajajo od znanih podjetij ali zaupanja vrednih virov. Vsebujejo povezave ali priloge, ki lahko vodijo do kraje podatkov.

3. Nedovoljena uporaba gesel:

Mnogi uporabniki uporabljajo enaka gesla za različne račune. To je velika varnostna grožnja, saj lahko napadalec z enim samim geslom dostopa do več računov in tako pridobi še več osebnih podatkov.

Nevarnosti phishing kampanje

Takšne kampanje lahko pomenijo veliko nevarnost za uporabnike. Napadalci lahko pridobijo dostop do osebnih podatkov, finančnih informacij in drugih zasebnih podatkov, kar lahko vodi do identitetske kraje, finančnih izgub in drugih negativnih posledic.

Identitetska kraja omogoča napadalcem, da uporabijo vaše osebne podatke za odprtje novih računov, sprejemanje posojil ali celo izvajanje kaznivih dejanj v vašem imenu. Poleg finančnih izgub pa lahko napadalci povzročijo tudi resno škodo vaši osebni integriteti in omogočijo dostop do zasebnih informacij, kot so e-poštna sporočila in fotografije.

Kako se zaščititi?

Za zaščito pred takšnimi napadi je izredno pomembno, da uporabniki upoštevajo naslednje varnostne ukrepe:

1. Uporabljajte različna gesla za vsak račun:

Nikoli ne uporabljajte enakega gesla za več računov. Uporabite zapletena gesla, ki vsebujejo črke, številke in posebne znake. Prav tako je priporočljivo, da redno menjujete svoja gesla.

2. Uporabljajte spletno varnostno programsko opremo:

Posodabljajte antivirusno programsko opremo in uporabite firewall, da zaščitite vaše naprave pred morebitnimi napadi. Prav tako razmislite o uporabi geslovnika (password manager), ki lahko varno shrani vaša gesla in vam pomaga ustvariti močna gesla.

3. Preverjajte zanesljivost spletnih strani in e-pošt:

Preden vnesete osebne podatke na spletni strani, preverite legitimnost strani. Preverite, ali se URL začne s “https” in ali je na strani prikazana ikona zaklenjene ključavnice. Bodite previdni pri odpiranju e-pošte in ne klikajte na povezave ali priloge iz neznanih virov.

4. Uporabniško ime in geslo naj bosta različna:

Ne uporabljajte enakega uporabniškega imena in gesla za različne račune. To lahko olajša delo napadalcem.

5. Posodabljajte varnostno programsko opremo:

Posodabljajte svoje antivirusne programe in firewallje, saj lahko dodatne funkcije zaščite preprečijo škodljive napade.

Sodelovanje uporabnikov in podjetij

Za uspešen boj proti phishing napadom je nujno, da uporabniki in podjetja tesno sodelujejo. Uporabniki morajo biti osveščeni o najnovejših grožnjah in se drzno držati varnostnih ukrepov. Podjetja pa morajo zagotavljati, da so njihovi varnostni sistemi v koraku z najnovejšimi tehnologijami in prenosljivi z napadalcev.

Poleg tega je pomembno, da podjetja izobražujejo svoje zaposlene o varnostnih praksah in kako prepoznati lažne e-pošte ali sumljive spletne strani. Usposabljanje, ki poudarja pomen varstva podatkov, lahko bistveno zmanjša tveganje za napade phishinga znotraj podjetja.

Vlada in druge organizacije bi morale tudi sodelovati v prizadevanjih za izobraževanje prebivalstva o kibernetski varnosti. Z akcijami ozaveščanja, smernicami in podporo podjetjem pri izboljšanju varnostnih ukrepov lahko zmanjšamo uspešnost napadov phishinga.

Zaključek

Masivna kampanja phishinga je resen opomnik, da je kibernetska varnost vedno večji izziv. Z ustreznimi ukrepi in osveščenostjo lahko uporabniki in podjetja zmanjšajo tveganje, da postanejo žrtve tovrstnih napadov. Vsi smo odgovorni za zaščito svojih osebnih podatkov in moramo biti stalno pozorni na varnostne smernice. Sodelovanje je ključno pri boju proti phishing napadom in zaščiti našega digitalnega sveta.

“`