Cracknuté hry a falošné aplikácie. Takto útočili hackeri
Aktuálny Globálny index hrozieb tímu Check Point Research varuje pred výrazným nárastom kybernetických hrozieb v podobe infostealeru Lumma Stealer a mobilného malvéru Necro.
Lumma Stealer sa v rebríčku TOP malvérov vyšvihol na štvrté miesto. Na exfiltráciu citlivých údajov využíva falošné stránky CAPTCHA a inovatívne vektory infekcie vrátane stiahnutia cracknutých hier a phishingových e-mailov zameraných na používateľov GitHubu.
Necro sa umiestnil na druhom mieste medzi mobilným malvérom, pričom infikoval viacej ako 11 miliónov zariadení so systémom Android prostredníctvom populárnych aplikácií a herných módov v službe Google Play. Využíva pokročilé únikové techniky, ako je obfuskácia a steganografia. Po aktivácii môže zobrazovať reklamy v neviditeľných oknách, komunikovať s nimi a dokonca predplatiť obetiam platené služby.
K najrozšírenejším malvérom vo svete patrí downloader FakeUpdates s podielom šesť percent, nasleduje botnet Androxgh0st a infostealer AgentTesla.
Trojicu najrozšírenejších mobilných malvérov tvorí spyvér Joker, Necro a bankový trojan Anubis.
ÚTOKY A ÚNIKY ÚDAJOV
⚠ Maďarská agentúra pre obranné obstarávanie potvrdila kybernetický útok skupiny INC Ransomware. Skupina tvrdí, že získala prístup k údajom vrátane dokumentov o vojenských zákazkách, ktoré zašifrovala a požaduje výkupné vo výške 5 miliónov dolárov. Ministerstvo národnej obrany uviedlo, že agentúra neukladá citlivé vojenské údaje a incident vyšetruje.
⚠ FBI a CISA vydali spoločné vyhlásenie, v ktorom podrobne opisujú rozsiahlu čínsku kybernetickú špionážnu kampaň zameranú na telekomunikačnú infraštruktúru USA, ktorú vedie skupina APT Salt Typhoon. Operácia kompromitovala siete s cieľom ukradnúť záznamy o hovoroch, zachytiť komunikáciu zahŕňajúcu vládne a politické osobnosti a získať prístup k údajom súvisiacim s právnymi požiadavkami USA. Vyhlásenie nasleduje po potvrdení narušení viacerých telekomunikačných spoločností vrátane AT&T, Verizon a Lumen Technologies.
⚠ Spoločnosť T-Mobile tiež potvrdila, že sa stala obeťou špionážnej kampane a uviedla, že Salt Typhoon prenikol do jej siete, aby špehoval vysokopostavených vládnych predstaviteľov a predstaviteľov národnej bezpečnosti. T-Mobile nehlásil žiadne významné poškodenie svojich systémov ani kompromitáciu údajov zákazníkov.
⚠ Sheboygan, mesto v štáte Wisconsin informovalo o neoprávnenom prístupe do svojej siete. V reakcii na ransomvérový útok mesto zabezpečilo svoje systémy a spolu s odborníkmi na kybernetickú bezpečnosť vykonáva dôkladné forenzné vyšetrovanie. Neexistujú dôkazy o ohrození citlivých osobných údajov, mesto však od konca októbra rieši výpadky technológií.
⚠ American Associated Pharmacies (AAP), ktorá spravuje viac ako 2000 lekární v USA, bola údajne terčom útoku ransomvérovej skupiny Embargo. Gang tvrdí, že odcudzil 1,469 TB údajov a zašifroval súbory. Embargo tvrdí, že AAP zaplatila 1,3 milióna dolárov za dešifrovanie a teraz čelí ďalšej požiadavke na 1,3 milióna dolárov. Hoci spoločnosť AAP útok nepotvrdila, obnovila heslá používateľov a odporučila aktualizáciu poverení.
⚠ Fungovanie čítačiek kreditných kariet na izraelských čerpacích staniciach a v supermarketoch narušil DDoS útok. Incident spôsobil rozsiahle problémy so spracovaním platieb. Spoločnosť Credit Guard zodpovedá za kybernetickú bezpečnosť čítačiek, útok identifikovala a približne po jednej hodine služby obnovila. Útok je spojený s hacktivistickou skupinou Anonymous for Justice.
ZRANITEĽNOSTI A ZÁPLATY
❗️ Microsoft opravil 89 zraniteľností vrátane štyroch 0-day. Dve z týchto zraniteľností CVE-2024-43451 (NTLM Hash Disclosure Spoofing Vulnerability) a CVE-2024-49039 (Windows Task Scheduler Elevation of Privilege Vulnerability) sú aktívne zneužívané.
❗️ Palo Alto Networks identifikoval kritickú 0-day zraniteľnosť (PAN-SA-2024-0015) v rozhraní na správu svojich firewallov novej generácie (NGFW). Táto chyba, ktorá umožňuje neautentifikované vzdialené spustenie kódu, sa v súčasnosti zneužíva pri útokoch zameraných na rozhrania správy vystavené internetu. Spoločnosť nateraz odporučila viaceré bezpečnostné opatrenia vrátane obmedzenia prístupu k týmto rozhraniam povolením pripojení len z dôveryhodných interných IP adries.
❗️ WordFence identifikoval kritickú zraniteľnosť obchádzania autentifikácie v doplnku Really Simple Security. Chyba umožňuje neautentifikovaným útočníkom získať administratívny prístup k webom WordPress, keď je zapnutá funkcia dvojfaktorového overovania doplnku.
Pravidelný týždenný prehľad THREAT INTELLIGENCE REPORT môžete sledovať cez sieť LinkedIn
Výskumný tím Check Point Research už viacej ako tri desiatky rokov sleduje bezpečnostné trendy, vyhodnocuje anomálie a prináša komunite aktuálne varovania a správy o kybernetických hrozbách. Odborníci kontinuálne zhromažďujú a analyzujú dáta o globálnych kybernetických útokoch z monitoringu sietí, ktoré spravujú, open source platforiem, siete ThreatCloud a spravodajstva z dark webu.
