Vítejte u Security Sunday – Week 46. našeho týdenního shrnutí ze světa cybersecurity (13. 11. – 19. 11. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
BiBi wiper cílí na Windows
Tento wiper, označovaný jako BiBi-Windows Wiper, je alternativa BiBi-Linux Wiper, který byl minulý měsíc v souvislosti s válkou mezi Izraelem a Hamásem použit hacktivistickou skupinou podporující Hamás.
Varianta pro Windows potvrzuje, že útočníci, kteří wiper vytvořili, pokračují v budování malwaru a hrozí rozšíření útoku na počítače koncových uživatelů a aplikační servery.
Slovenská společnost ESET sleduje aktéra stojícího za wiperem pod názvem BiBiGun a poznamenává, že varianta pro Windows (bibi.exe) je navržena tak, aby rekurzivně přepisovala data v adresáři C:\Users nevyžádanými daty a k názvu souboru připojovala „.BiBi“.
Kromě poškození všech souborů s výjimkou těch s příponami .exe, .dll a .sys wiper odstraňuje ze systému stínové kopie, čímž obětem účinně brání v obnovení jejich souborů.
Další zajímavostí je schopnost vícevláknového zpracování. Pro co nejrychlejší destrukční akci spouští malware 12 vláken s osmi procesorovými jádry.
BiBi-Windows Wiper byl údajně zkompilován 21. října 2023, dva týdny po začátku války. Přesný způsob jeho distribuce není v současné době znám.
Dánská infrastruktura čelila největšímu kybernetickému útoku v historii
Dánská kritická infrastruktura čelila v květnu největšímu online útoku v historii země, uvádí SektorCERT, dánská specializovaná organizace pro kybernetickou bezpečnost kritické sady.
Ve své zprávě podrobně popisující vlny útoků odhalila, že během několika málo dní bylo napadeno 22 společností. Některé z nich byly nuceny přejít do ostrovního režimu provozu, kdy se musely odpojit od internetu a přerušit veškerá další nedůležitá síťová spojení
Téměř ve všech případech došlo k zneužití zranitelnosti firewallů Zyxel a v některých případech se ukázalo, že útočníci využívali zero-day exploitu.
Vzhledem k tomu, že zařízení Zyxel nebyla viditelná na veřejných skenovacích službách, jako je Shodan, SektorCERT se domnívá, že cílem byla konkrétně dánská kritická infrastruktura.
První vlna útoků začala 11. května a zaměřila se na 16 energetických organizací, útočníci se snažily zneužít chybu CVE-2023-28771 a u 11 z nich se útok podařil. SektorCERT se domnívá, že se jednalo o úvodní průzkumnou fázi útoku a útočníkům byly pravděpodobně zaslány pouze konfigurace firewallu a přihlašovací údaje.
Po deseti dnech začala druhá vlna útoků – tentokrát již byla jedna organizace napadena.
Ukázalo se, že šlo o útok, který zapojil infrastrukturu organizace do botnetu Mirai. Kompromitace byla využita k provedení DDoS útoků proti dvěma cílům v USA a Hongkongu
Link: https://www.theregister.com/2023/11/13/inside_denmarks_hell_week_as/
Ransomware skupina ALPHV (BlackCat) používá k cílení na oběti reklamy Google
Odborníci na kybernetickou bezpečnost ze společnosti eSentire, zveřejnili podrobnosti o probíhající útočné kampani známého ransomwarového gangu ALPHV (alias BlackCat).
Výzkumníci zjistili, že skupina BlackCat rozšířila své útočné taktiky o malvertising. V rámci této kampaně útočníci umisťují klamavé reklamy Google propagující populární software, jako je Advanced IP Scanner, WinSCP, Slack nebo Cisco AnyConnect, aby přiměli podnikové pracovníky k návštěvě napadených webových stránek a distribuci Nitrogen malware.
Nitrogen je initial-access malware objevený v červnu 2023. Využívá obfuskované knihovny Python a sideloading DLL, aby se vyhnul detekci a skryl další fázi útokui.
Po instalaci mohou útočníci proniknout hlouběji do společnosti a spustit vybraný malware. V probíhající kampani jsou oběti obvykle infikovány ransomwarem.
Zdá se, že tyto kybernetické útoky jsou součástí rozsáhlejší kampaně zahrnující škodlivé reklamy umístěné ve výsledcích vyhledávání Google i Bing.
Link: https://www.hackread.com/alphv-blackcat-ransomware-gang-google-ads/
Zotavení společnosti Royal Mail z ransomwaru útoku bude stát podnik nejméně 12 milionů dolarů
Britský poštovní podnik byl zasažen společnosti LockBit a incident způsobil „vážné narušení služeb“ pro zásilky odesílané do zahraničí. Později se ukázalo, že ransomware skupina požadovala po firmě téměř 80 milionů dolarů, aby nezveřejnili ukradená data.
Přestože společnost Royal Mail v souladu s doporučením orgánů činných v trestním řízení odmítla zaplatit, začínají se objevovat provozní náklady spojené s tímto incidentem.
Z podání hlášení pro regulační orgány vyplynulo, že mezinárodní tržby společnosti se meziročně snížily o 6,5 %, což představuje pokles o 22 milionů liber (27 milionů USD), částečně v důsledku kybernetického útoku, který utrpěla. Náklady na zvýšení odolnosti systémů jsou ve výši 10 milionů liber.
Link: https://www.theregister.com/2023/11/16/royal_mail_recovery_from_ransomware/
Únik dat společnosti Samsung odhalil osobní údaje britských zákazníků
V e-mailu zákazníkům, který na sociálních sítích sdílel konzultant v oblasti webové bezpečnosti a tvůrce projektu Have I Been Pwned Troy Hunt, se uvádí, že narušení, které odhalilo údaje zákazníků, kteří nakupovali v období od 1. Jula 2019 do 30. juna 2020, bylo zjištěno 13. novembra.
Společnost Samsung Electronics UK uvedla, že neoprávněná osoba zneužila zranitelnost v obchodní aplikaci třetí strany, kterou firma používala. Odhalené informace zahrnovaly jména, telefonní čísla a navíc fyzické a e-mailové adresy.
Nebyly zasaženy žádné finanční údaje, jako jsou údaje o bankovních a kreditních kartách nebo hesla zákazníků. Podnikli jsme všechny nezbytné kroky k vyřešení tohoto bezpečnostního problému. Uvedl Samsung
Link: https://www.theregister.com/2023/11/17/uk_samsung_electronics_discloses_yearlong/
Toyota potvrdila narušení poté, co ransomware gang Medusa pohrozil únikem dat
Společnost Toyota Financial Services Europe & Africa nedávno zjistila neoprávněnou aktivitu v systémech svých poboček.
„Vyřadili jsme některé systémy z provozu, abychom tuto aktivitu prošetřili a snížili riziko. Také jsme začali spolupracovat s orgány činnými v trestním řízení. Ve většině zemí již probíhá proces opětovného uvedení systémů do provozu.” uvedla Toyota
Dříve než společnost Medusa zveřejnila, že se její obětí stala společnost TFS, bezpečnostní analytik Kevin Beaumont upozornil na to, že německá pobočka této firmy měla do internetu vystavený koncový bod Citrix Gateway, který nebyl aktualizován od srpna 2023, což naznačuje, že byl zranitelný kritickým bezpečnostním problémem Citrix Bleed sledovaným jako CVE-2023-4966.
Na Citrix Bleed se zaměřuje čím dál více ransomware skupin. 10 000 serverů vystavených do internetu jsou aktuálně zranitelné a správcům se doporučuje provést aktualizaci co nejdříve.
Šifrovací algoritmy TETRA se stanou veřejné
V polovině roku 2023 nizozemská bezpečnostní firma Midnight Blue odhalila pět zranitelností ovlivňujících všechny sítě TETRA, které by umožnily zločincům dešifrovat a odposlouchávat komunikaci v reálném čase.
Tyto zranitelnosti, společně s utajením samotných algoritmů, vyvolaly pobouření v bezpečnostní komunitě, protože proprietární šifrovací algoritmy bránily nezávislým výzkumníkům v testování kódu, což ztěžovalo detekci chyb a obranu sítí.
V říjnu se technický výbor odpovědný za standard TETRA sešel a jednomyslně rozhodl, že všechny kryptografické algoritmy rozhraní TETRA budou uvolněny jako open source.
Tento krok umožní akademickým výzkumům nezávislé recenze, což je v souladu s trendem transparentnosti a zajišťování bezpečnosti.
Link: https://www.theregister.com/2023/11/14/tetra_encryption_algorithms_open_sourced/
63 000 neaktualizovaných serverů Microsoft Exchange, jsou ohroženy RCE útoky
Více než 63 000 serverů Microsoft Exchange zůstává vystaveno zranitelnost CVE-2023-36439, která způsobuje vzdálené spuštění kódu (RCE). Tato zranitelnost, která patří mezi čtyři bezpečnostní chyby řešené v listopadové aktualizaci Microsoft 2023 Patch Tuesday, představuje pro organizace významnou hrozbu vzhledem k možnosti jejího zneužití.
Analýza společnosti Microsoft ukazuje, že zneužití vyžaduje, aby byl útočník ověřen jako platný uživatel serveru Exchange. Tato zranitelnost by v případě zneužití mohla útočníkovi poskytnout práva ke vzdálenému spuštění kódu na backendu poštovních schránek serveru jako uživatel NT AUTHORITY\SYSTEM.
Tato zranitelnost je doprovázena třemi dalšími chybami systému Exchange, které společnost Microsoft označila jako „zneužití s vyšší pravděpodobností“: CVE-2023-36050, CVE-2023-36039 a CVE-2023-36035. Společně tvoří kvarteto bezpečnostních problémů, které musí organizace urychleně řešit.
