Ransomvérové gangy sa rozpadávajú, premenujú aj špecializujú. Ich agresivita stále rastie
Aktuálny Globálny index hrozieb tímu Check Point Research varuje najmä pred ransomvérom. Na čele ransomvérových gangov je RansomHub, ktorý pracuje ako Ransomware-as-a-Service. Od svojho rebrandingu (aka Knight) masívne rastie a na zozname má viac ako 210 obetí po celom svete. Agresívne útočí na systémy Windows, macOS a Linux, zvlášť v prostredí VMware ESXi a je známy sofistikovanými šifrovacími metódami.
Pozoruhodný vzostup v auguste zaznamenal ransomvér Meow, pozostatok zlikvidovanej skupiny Conti. Od šifrovania prešiel k vytvoreniu trhoviska kradnutých údajov, ktoré ponúka na ďalšie zneužitie.
K najrozšírenejším malvérom vo svete patrí downloader FakeUpdates s osempercentým podielom, nasledujú botnety Androxgh0st a Phorpiex.
ÚTOKY A ÚNIKY ÚDAJOV
⚠ Prístav Port of Seattle potvrdil, že ransomvérový gang Rhysida nesie zodpovednosť za kybernetický útok z augusta 2024. Útok spôsobil narušenie služieb aj na medzinárodnom letisku Seattle -Tacoma, vrátane výpadkov webovej stránky a systémov na odbavenie a manipuláciu s batožinou. Port of Seattle odmietol zaplatiť výkupné.
⚠ Kyberbezpečnostná firma Fortinet potvrdila únik 440 GB súborov zo servera Microsoft SharePoint. Hoci útočník nezašifroval údaje, ani sa nepokúsil o prístup do siete spoločnosti, požadoval výkupné. Fortinet odmietol zaplatiť. Údajne sa porušenie týkalo malého množstva zákazníckych údajov uložených v cloudovom zdieľanom úložisku tretej strany.
⚠ Francúzske maloobchodné reťazce, vrátane Boulanger a Cultura, potvrdili únik údajov o zákazníkoch - mená, adresy a kontaktné údaje. Zraniteľnosť, ktorá bola zneužitá pri útoku, už bola odstránená.
⚠ Kadokawa, japonská mediálna spoločnosť zaoberajúca sa anime a videohrami, rieši ďalší únik údajov po údajnom útoku ransomvérového gangu BlackSuit. Unikli citlivé firemné dáta vrátane zmlúv a informácií o zamestnancoch.
⚠ Verejné školy Highline v štáte Washington zaevidovali kybernetický útok, ktorý mal za dôsledok zatvorenie zariadení a zrušenie aktivít. Vyšetrovanie za účasti federálnych a štátnych orgánov činných v trestnom konaní má za cieľ riešiť neoprávnené sieťové aktivity ovplyvňujúce kritické systémy.
⚠ Free Russia Foundation, nezisková organizácia so sídlom v USA, vyšetruje únik údajov, za ktorým stojí hackerský gang Coldriver napojený na Kremeľ. Tisíce e-mailov a dokumentov, pravdepodobne vrátane citlivých strategických a finančných údajov, boli zverejnené online.
ZRANITEĽNOSTI A ZÁPLATY
❗️ Microsoft záplata zo septembra 2024 riešila 79 nedostatkov, vrátane štyroch 0-day zraniteľností, z ktorých tri boli aktívne využívané. Hlavnou prioritou bolo odstránenie dvoch kritických/vysokých zraniteľností, chyba vzdialeného spustenia kódu vo Windows Update (CVE-2024-43491) a chyba eskalácie privilégií vo Windows Installer (CVE-2024-38014). Aktualizácia rieši aj viacnásobné zvýšenie privilégií a chyby vzdialeného spúšťania kódu v niekoľkých komponentoch a produktoch Microsoft.
❗️ Worpress Post Grid a Gutenberg Blocks disponujú chybou umožňujúcou eskaláciu privilégií (CVE-2024-8253), ktorá ovplyvňuje viac ako 40 000 stránok. Táto už opravená chyba umožňuje overeným používateľom s minimálnymi oprávneniami zvýšiť si privilégiá na administrátora.
❗️ Ivanti oprava pre kritickú zraniteľnosť Remote Code Execution (RCE) (CVE-2024-29847) v softvéri Endpoint Manager (EPM) je k dispozícii. Chyba je spôsobená nesprávnou deserializáciou nedôveryhodných údajov a predstavuje potenciálne riziko.
❗️ Ivanti Cloud Services Appliance (CSA) má veľmi závažnú zraniteľnosť (CVE-2024-8190), ktorá umožňuje vzdialené spúšťanie kódu. Táto chyba ovplyvňuje CSA verzie 4.6 a organizácia CISA ju pridala do svojho katalógu známych zneužitých zraniteľností, čo vyžaduje, aby ju federálne agentúry odstránili do 4. októbra.
Pravidelný týždenný prehľad THREAT INTELLIGENCE REPORT môžete sledovať cez sieť LinkedIn
Výskumný tím Check Point Research už viacej ako tri desiatky rokov sleduje bezpečnostné trendy, vyhodnocuje anomálie a prináša komunite aktuálne varovania a správy o kybernetických hrozbách. Odborníci kontinuálne zhromažďujú a analyzujú dáta o globálnych kybernetických útokoch z monitoringu sietí, ktoré spravujú, open source platforiem, siete ThreatCloud a spravodajstva z dark webu.
