Ruský hacker Dmitry Khoroshev odhalen jako správce ransomwaru LockBit
Britská Národní kriminální agentura (NCA) odhalila správce a vývojáře ransomwaru LockBit. Jedná se o 31letého ruského občana jménem Dmitrij Jurjevič Chorošev.
Europol v tiskovém prohlášení uvedl, že úřady mají k dispozici více než 2 500 dešifrovacích klíčů a pokračují v kontaktování obětí ransomwaru LockBit s nabídkou podpory.
Khoroshev, který vystupoval pod přezdívkami LockBitSupp a putinkrab, se stal také předmětem zmrazení majetku a zákazu cestování, přičemž americké ministerstvo zahraničí nabízí odměnu až 10 milionů dolarů za informace vedoucí k jeho zatčení a/nebo odsouzení.
Za všechna obvinění hrozí Khoroshevovi trest 185 let vězení. Za každé z obvinění dále hrozí peněžitý trest 250 000 dolarů.
„Dnešní oznámení je dalším velkým hřebíčkem do rakve společnosti LockBit a naše vyšetřování této společnosti pokračuje,“ uvedl generální ředitel NCA Graeme Biggar.
Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?
Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.
Bezpečnostní chyby v oblíbeném nástroji pgAdmin pro správu databází PostgreSQL
Nástroj pgAdmin, nedávno řešil dvě významné bezpečnostní chyby. Tyto zranitelnosti, identifikované až do verze 8.5 včetně, představovaly pro uživatele vážné riziko, protože potenciálně umožňovaly neoprávněné akce a spouštění skriptů
Chyby, sledované jako CVE-2024-4215 a CVE-2024-4216, měly v systému CVSS hodnocení závažnosti 7,4.
CVE-2024-4215: Chyba v obcházení ověřování
Útočníci mohli tuto chybu zneužít k úplnému obejití vícefaktorového ověřování (MFA). I když jste pečlivě implementovali MFA, starší verze aplikace pgAdmin byly vystaveny riziku. S pouhými přihlašovacími údaji uživatele mohou útočníci získat kontrolu nad instancí pgAdmin, manipulovat s daty, vynášet citlivé informace a potenciálně provádět další útoky.
CVE-2024-4216: Zranitelnost XSS (Cross-Site Scripting)
Tato zranitelnost se nachází v API rozhraní pro nastavení aplikace pgAdmin. V případě zneužití by útočník mohl injektovat škodlivý kód, který by se spustil v prohlížeči oběti.
Obě zranitelnosti byly vyřešeny vydáním verze 8.6 aplikace pgAdmin. Uživatelům aplikace pgAdmin se důrazně doporučuje aktualizovat na nejnovější verzi.
V populárním pluginu Yoast SEO nalezena bezpečnostní chyba
V Yoast SEO, nejoblíbenějším pluginu pro optimalizaci pro vyhledávače ve WordPressu, byla objevena bezpečnostní chyba identifikovaná jako CVE-2024-4041 se skóre 6,1
Problém s XSS (Cross-Site Scripting) vyplývá z nedostatečných mechanismů pro sanitizaci vstupu a escapování výstupu v rámci pluginu, zejména ve způsobu zpracování adres URL. Chyba je lokalizována ve funkci add_premium_link() třídy WPSEO_Admin_Bar_Menu, která přidává propagační odkaz na panel správce WordPressu.
Tato mezera v zabezpečení umožňuje neautentifikovaným útočníkům injektovat do stránek libovolné webové skripty. Škodlivý skript může potenciálně umožnit útočníkovi vytvořit nové uživatele správce, injektovat zadní vrátka nebo přesměrovat návštěvníky na škodlivé webové stránky.
Zranitelné jsou všechny verze Yoast SEO až do verze 22.5.
Chyba v DHCP s názvem „TunnelVision“ umožňuje útočníkům obejít VPN a přesměrovat provoz
Nová technika nazvaná „TunnelVision“, která využívá konstrukční chybu v DHCP, umožňuje útočníkům manipulovat se směrovacími tabulkami tak, že mohou zcela obejít provoz určený pro VPN a následně jej přesměrovat do vlastní sítě.
„Uživatelé VPN, kteří očekávají, že je VPN ochrání v nedůvěryhodných sítích, jsou stejně náchylní k útokům, jako kdyby VPN nepoužívali,“ napsali výzkumníci ze skupiny Leviathan Security Group
Výzkumníci vysvětlili, že TunnelVision využívá CVE-2024-3661, vysoce závažnou chybu v návrhu DHCP, kdy zprávy, jako je statická trasa bez třídy – Option 121 – nejsou ověřovány, což je vystavuje manipulaci.
Hackeři z FIN7 používají podepsaný malware a falešné reklamy Google
Výzkumníci z oddělení Threat Response Unit společnosti eSentire odhalili znepokojivý trend v útocích skupiny FIN7. Kampaň skupiny FIN7 se zaměřuje na uživatele pomocí škodlivých webových stránek maskovaných jako legitimní značky, které šíří NetSupport RAT a výkonný malware DiceLoader.
V sérii incidentů zaznamenaných v dubnu 2024 vytvořila skupina FIN7 škodlivé webové stránky, které se přesvědčivě vydávaly za renomované společnosti, jako jsou AnyDesk, WinSCP, BlackRock, Asana, Concur, The Wall Street Journal, Workable a Google Meet.
Návštěvníci těchto stránek se setkávali s vyskakovacími oznámeními, která je vyzývala ke stažení zdánlivě neškodných rozšíření prohlížeče. Tato vyskakovací okna však byla zástěrkou pro iniciaci stahování souborů MSIX, což je formát balíčků používaný aplikacemi pro systém Windows, které se tvářily jako legitimní, ale obsahovaly škodlivý payload.
Při návštěvě škodlivých stránek prostřednictvím sponzorovaných reklam Google uživatelé nevědomky spustili stahování těchto souborů MSIX, které byly důmyslně vytvořeny tak, aby nasadily trojského koně NetSupport Remote Access (RAT) a následně DiceLoader
Bylo zjištěno, že soubory MSIX použité při těchto útocích jsou podepsány společnostmi „SOFTWARE SP Z O O“ a „SOFTWARE BYTES LTD“, což jim dodává zdání legitimity. eSentire od kontaktovala společnost GlobalSign, aby tyto certifikáty zrušila, čímž se zmírní rizika spojená s těmito soubory.
