Ransomware

Międzynarodowa operacja policyjna doprowadziła do likwidacji usługi VPN, która służyła przestępcom do ukrywania tożsamości podczas ataków ransomware, kradzieży danych i innych cyberprzestępstw. Akcja, koordynowana przez Francję i Holandię, objęła przesłuchanie administratora, przeszukanie w Ukrainie, zajęcie 33 serwerów i przejęcie infrastruktury, co było wynikiem śledztwa prowadzonego od grudnia 2021 roku przy udziale kilkunastu krajów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Microsoft zablokował działalność grupy Fox Tempest, która wykorzystywała jego usługę podpisywania kodu Artifact Signing do rozpowszechniania złośliwego oprogramowania, podszywając się pod legalne aplikacje. Działania te, znane jako OpFauxSign, doprowadziły do infekcji tysięcy maszyn i sieci na całym świecie, w tym ransomware Rhysida, a także innych narzędzi takich jak Oyster, Lumma Stealer i Vidar. Grupa oferowała tę usługę za opłatą od 5000 do 9000 dolarów, wykorzystując skradzione tożsamości do uzyskania fałszywych certyfikatów, co podważało zaufanie do cyfrowych podpisów i utrudniało ochronę przed cyberatakami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Tygodnik “ThreatsDay Bulletin” omawia bieżące zagrożenia cybernetyczne, w tym wykorzystanie luki RCE w PAN-OS przez hakerów do instalacji złośliwego oprogramowania, odkrycie luki w bibliotece cURL, ataki na modele AI manipulujące tokenizacją oraz nowe kampanie phishingowe i ransomware wykorzystujące nieznane dotąd metody, jak NATS jako C2. Artykuł podkreśla powtarzalność starych błędów i efektywność prostych metod ataku, apelując o podstawowe praktyki bezpieczeństwa.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Irański grup hakerski MuddyWater, działający pod przykrywką ataku ransomware, wykorzystuje techniki inżynierii społecznej przez Microsoft Teams do kradzieży danych uwierzytelniających i obejścia uwierzytelniania wieloskładnikowego (MFA). Atak ten, maskujący się jako typowy ransomware, ma na celu przede wszystkim eksfiltrację danych i długoterminowe utrzymanie obecności w sieci, a nie tylko szyfrowanie plików, co stanowi próbę zatarcia śladów przez atakujących.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Nowe zagrożenie VECT 2.0, działające bardziej jak niszczyciel danych niż typowe ransomware, nieodwracalnie usuwa pliki większe niż 131KB na systemach Windows, Linux i ESXi, uniemożliwiając odzyskanie danych nawet po zapłaceniu okupu. Program oparty na modelu RaaS z opłatą wejściową i partnerstwem z BreachForums oraz TeamPCP, pomimo ambitnego profilu, cierpi na krytyczną wadę techniczną uniemożliwiającą odzyskanie zaszyfrowanych danych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Tydzień przyniósł odświeżone zagrożenia i nowe metody ataków, w tym malware Fast16 z lat sprzed Stuxneta, które manipuluje wynikami obliczeń, oraz kampanię UNC6692 podszywającą się pod pomoc techniczną Teams. Władze USA wykryły nowy backdoor FIRESTARTER w systemie federalnym, a na Wenezueli zastosowano niszczycielskie malware Lotus Wiper. Zaobserwowano również szybki rozwój grup ransomware, takich jak The Gentlemen, oraz ataki na łańcuchy dostaw, czego przykładem jest skompromitowanie pakietu Bitwarden CLI.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Angelo Martino, negocjator ds. ransomware, przyznał się do winy za współpracę z grupą BlackCat w celu maksymalizacji okupów od amerykańskich firm w 2023 roku, przekazując poufne informacje klientów i pracodawcy. Współpracował z innymi byłymi pracownikami branży cyberbezpieczeństwa, w tym z Kevinem Martinem i Ryanem Goldbergem, w ramach ataków, z których jeden przyniósł 1,2 miliona dolarów w Bitcoin. Martino grozi maksymalnie 20 lat więzienia, a podobne kary czekają jego wspólników, którzy już przyznali się do winy.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

W tym tygodniu pojawiły się liczne zagrożenia cybernetyczne, w tym nieznany wcześniej exploit na Microsoft Defender, atak typu brute-force na urządzenia SonicWall oraz długo istniejąca luka w zabezpieczeniach programu Excel. Zidentyfikowano nowe kampanie phishingowe, złośliwe oprogramowanie typu ransomware oraz dystrybucję szkodliwych aplikacji w sklepach z aplikacjami, co podkreśla ciągłe potrzeby aktualizacji systemów i zwiększonej czujności użytkowników.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Chińska grupa hakerska Storm-1175 wykorzystuje kombinację luk typu zero-day i N-day do przeprowadzania błyskawicznych ataków na systemy wystawione w Internecie, co prowadzi do infekcji ransomware Medusa w ciągu kilku dni, a nawet 24 godzin od przełamania zabezpieczeń. Grupa szybko rotuje wykorzystywane luki, wykorzystując okres między ich ujawnieniem a wprowadzeniem poprawek, a jej działania znacząco wpłynęły na sektory takie jak opieka zdrowotna, edukacja, usługi profesjonalne i finanse w Australii, Wielkiej Brytanii i Stanach Zjednoczonych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Niemiecka policja federalna (BKA) zidentyfikowała liderów grupy REvil, odpowiedzialnych za około 130 ataków ransomware na niemieckie firmy, które spowodowały straty przekraczające 35,4 miliona euro. Głównym sprawcą jest Daniil Maksimovich Shchukin, znany jako UNKN, a Anatoly Sergeevitsch Kravchuk jest podejrzewany o rolę dewelopera.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)