Bezpečnostné agentúry varujú ako sa chrániť pred kyberšpionážou
Agentúra pre kybernetickú bezpečnosť CISA a FBI zverejnili usmernenie na pomoc telekomunikačným infraštruktúram pri obrane proti zistenému pokračujúcemu prístupu čínskej pobočky Salt Typhoon do amerických systémov. Útoky umožnili skupine napojenej na čínsky štát exfiltrovať rozsiahle metadáta a zachytávať zvukové záznamy hovorov a textové správy, pričom sa zameriavali najmä na osoby spojené s vládou USA.
Tím Check Point Research analyzoval variant ransomvéru Akira, napísaný v jazyku Rust, ktorý sa začiatkom roka 2024 zameriaval predovšetkým na servery ESXi. Cieľom bolo pochopiť konštrukčné stratégie použité autormi škodlivého softvéru a priniesť pohľad na jeho správanie. Zistenia poukazujú na dôležitosť pochopenia procesu kompilácie jazyka Rust a jeho vplyvu na binárnu analýzu, najmä keď sa jazyk Rust stáva čoraz rozšírenejším pri vývoji malvéru. Tieto poznatky sú kľúčové pre vývoj účinných obranných stratégií proti takýmto hrozbám.
ÚTOKY A ÚNIKY ÚDAJOV
⚠ Ransomvérový gang Brain Cipher, ktorého payload je založený na LockBit 3.0, sa prihlásil k zodpovednosti za narušenie systémov konzultačnej spoločnosti Deloitte UK a tvrdí, že došlo k odcudzeniu 1 TB komprimovaných údajov vrátane citlivých informácií. Deloitte tieto tvrdenia poprel a tvrdí, že útok sa pravdepodobne týkal systému jedného klienta mimo siete spoločnosti.
⚠ Rumunský ústavný súd zrušil prvé kolo prezidentských volieb po tom, ako odtajnené spravodajské informácie odhalili zasahovanie Ruska v prospech pravicového kandidáta Călina Georgesca. Zasahovanie zahŕňalo sofistikovanú kampaň na sociálnych sieťach TikTok, pričom na podporu Georgesca použili 381-tisíc amerických dolárov, a kybernetické útoky zamerané na volebnú infraštruktúru, čo viedlo k prepočítaniu hlasov. Zrušenie hlasovania odložilo druhé kolo volieb.
⚠ ENGlobal Corporation, dodávateľ energetického priemyslu pre vládu USA, oznámil ransomvérový útok zistený v novembri, ktorý viedol k zašifrovaniu niektorých dátových súborov a obmedzeniu prístupu k IT systémom. K útoku sa neprihlásila žiadna ransomvérová skupina a potenciálny vplyv na finančné výsledky sa vyhodnocuje.
⚠ Konferenčná divízia telekomunikačného gigantu BT Group zažila pokus o ransomvérový útok. Skupina Black Basta tvrdila, že ukradla približne 500 GB údajov vrátane finančných záznamov, zmlúv o mlčanlivosti a osobných dokumentov.
⚠ Ukrajinská spravodajská služba HUR potvrdila vykonanie DDoS útoku na ruskú Gazprombank, jednu z najväčších ruských bánk. Klienti banky mali problémy s prístupom k službám, pričom cieľom tohto zásahu bolo narušiť finančné operácie spojené s vojnovým úsilím Ruska na Ukrajine.
⚠ Spoločnosť Stoli Group USA požiadala o vyhlásenie konkurzu po tom, ako ransomvérový útok z augusta 2024 vážne narušil jej IT infraštruktúru, vynútil si manuálne operácie a sťažil finančné vykazovanie. Spoločnosť čelí dlhu vo výške približne 84 miliónov amerických dolárov, pričom sa očakáva, že systémy plne obnovia najskôr v prvom štvrťroku 2025.
⚠ Refinadora Costarricense de Petróleo (RECOPE), kostarický štátny subjekt dohliadajúci na dodávky pohonných hmôt, utrpel v novembri ransomvérový útok. Prinútil spoločnosť prejsť na manuálne operácie, čím narušil digitálne platobné systémy a skomplikoval distribúciu pohonných hmôt. Napriek týmto problémom RECOPE ubezpečila verejnosť o dostatočných zásobách paliva.
ZRANITEĽNOSTI A ZÁPLATY
❗️ Windows má 0-day zraniteľnosť, ktorá umožňuje útočníkom získať poverovacie údaje NTLM tak, že používateľ zobrazí škodlivý súbor v Prieskumníkovi systému Windows. Chyba sa týka všetkých verzií systému Windows od Windows 7 a Server 2008 R2 až po najnovšie Windows 11 24H2 a Server 2022. Microsoft zatiaľ nevydal oficiálnu opravu. Platforma 0patch zdieľala neoficiálnu mikropatch.
❗️ Progress WhatsUp Gold má kritickú zraniteľnosť (CVE-2024-8785) vo verziách Progress WhatsUp Gold 2023.1.0 a starších. Umožňuje neautentifikovaným útočníkom modifikovať kľúče registra systému Windows, čo môže viesť k spusteniu ľubovoľného kódu. Dôrazne sa odporúča aktualizovať na verziu 24.0.1, aby sa toto riziko znížilo.
❗️ Veeam vydal aktualizácie zabezpečenia na opravu dvoch zraniteľností v konzole Service Provider Console (VSPC) vrátane kritickej chyby vzdialeného spustenia kódu (CVE-2024-42448) so stupňom závažnosti 9,9 z 10. Zraniteľnosť umožňuje útočníkom spustiť ľubovoľný kód na neopravených serveroch prostredníctvom agenta správy VSPC. Ďalšia chyba s vysokou závažnosťou (CVE-2024-42449) umožňuje útočníkom ukradnúť NTLM hashe a odstrániť súbory na serveri VSPC.
Pravidelný týždenný prehľad THREAT INTELLIGENCE REPORT môžete sledovať cez sieť LinkedIn
Výskumný tím Check Point Research už viacej ako tri desiatky rokov sleduje bezpečnostné trendy, vyhodnocuje anomálie a prináša komunite aktuálne varovania a správy o kybernetických hrozbách. Odborníci kontinuálne zhromažďujú a analyzujú dáta o globálnych kybernetických útokoch z monitoringu sietí, ktoré spravujú, open source platforiem, siete ThreatCloud a spravodajstva z dark webu.
