Știrile săptămânii din cybersecurity (27.08.2020)

Foto: The Hacker News

Trei vulnerabilități ale Apache Web Server

Felix Wilhelm, cercetător Google Project Zero, a identificat trei vulnerabilități ale Apache Web Server. Denumite CVE-2020-11984, CVE-2020-11993 și CVE-2020-9490, în prezent remediate prin actualizarea la ultima versiune Apache, reprezintă totuși un risc crescut pentru cei care nu au efectuate actualizările la zi.

Prima dintre cele trei poate permite atacatorilor să execute instrucțiuni la distanță și să altereze informațiile de pe server în funcție de nivelul de permisiuni pe care îl deține aplicația.

A doua vulnerabilitate poate fi exploatată dacă modulul pentru debugging este activat, permițând inundarea log-urilor cu multiple conexiuni eronate, ducând la coruperea memoriei.

A treia, și cea mai severă, se găsește în modulul HTTP/2 și utilizează un header special conceput pentru coruperea memoriei și denial of service.

Conti (Ryuk) se alătură grupărilor ransomware care opereaza site-uri de leak-uri

Nu mai reprezintă o noutate faptul că inițiatorii atacurilor de tip ransomware  acum administrează site-uri pe care fac publice informațiile victimelor care nu plătesc recompensa.

În schimb, reprezintă o noutate faptul ransomware-ul Conti a apelat la această metodă pentru a forța victimele să plătească recompensa.

Din investigațiile efectuate de către Arete, Bleeping Computer și Carbon Black reiese faptul că cei care operează Conti sunt aceiași cu cei au coordonat în trecut atacurile cu ransomware-ul Ryuk, cel mai activ ransomware din ultimii doi ani.

Pe site se găsește deja o listă cu 26 de companii care au refuzat să plătească recompensa, iar pentru fiecare în parte au fost postate și documentele obținute în urma atacurilor.

Un cunoscut kit pentru dezvoltare aplicații iOS acuzat că spionează peste un miliard de utilizatori

Un cunoscut kit pentru dezvoltare (SDK) aplicații iOS utilizat de peste 1200 de aplicații, adunând peste un miliard de utilizatori, este acuzat că include un cod malițios ce are ca scop fraudarea utilizatorilor prin accesarea de reclame false și prin colectarea de informații sensibile.

Conform raportului publicat de către compania Snyk, platforma de publicitate Mintegral ce este deținută de compania chineză Mobvista, include o componentă SDK ce permite colectarea de URL-uri, ID-ul dispozitivelor, adrese IP, versiuni ale sistemelor de operare cât și alte informații sensibile prin intermediul aplicațiilor compromise și stocarea acestora pentru server.

Deși compania chineză neagă acuzațiile și lista aplicațiilor nu a fost făcută publică, totuși a fost descoperit codul malițios în versiunea 6.3.5.0 a SKD-ului Mintegral, iar prima versiune ce conținea codul malițios a apărut pe 17 iulie 2019, cu versiunea 5.5.1. Versiunea de Android a acelui SDK nu pare să fie afectată.

Un grup de hackeri utilizează un plugin malițios pentru o aplicație populară de grafică

Compania de securitate cibernetică Bitdefender susține că un nou grup de hackeri folosește un plugin malițios, numit „PhysXPluginMfx”, pentru a lansa atacuri, la nivel global, asupra companiilor. Plugin-ul este specific aplicației de proiectare grafică 3Ds MAX, dezvoltată de Autodesk.

Conform Bitdefender, odată ce plugin-ul este încărcat în 3Ds MAX, acesta inițiază operațiuni malițioase ce urmăresc propagarea malware-ului la nivelul mai multor utilizatori. Principalul scop este acela de a infecta cât mai multe sisteme cu troieni, ce ar putea fi întrebuințați de hackeri pentru a extrage fișiere sau documente importante.

Până acum, malware-ul ar fi afectat cel puțin o țintă, fiind vorba despre o companie mare de arhitectură, cu proiecte pe 4 continente. În plus, există suspiciuni că grupul de hackeri ar fi atacat companii din Coreea de Sud, SUA, Japonia și Africa de Sud.

Hackerii DarkSide lansează atacuri ransomware personalizate

A fost identificat un nou ransomware numit DarkSide, ce lansează atacuri personalizate și solicită recompense de milioane de dolari.

Noul ransomware atacă diverse companii, încercând să obțină acces la un cont de administrator și la controller-ul domeniului Windows. După ce se infiltrează și fură fișiere, programul elimină baze de date și aplicații office, iar apoi criptează datele de pe mașina atacată. Recompensele cerute de atacatori variază între 200.000$ și 2.000.000$. De asemenea, aparent, hackerii dețin și un website unde publică numele companiilor victime, informații furate și dovezi ale infiltrării, prin screenshot-uri.

Codul sursă al DarkSide prezintă similarități cu cel al ransomware-urilor REvil și GandCrab, iar mesajul ce solicită recompensa folosește aproape același format cu cel al REvil.