Știrile săptămânii din cybersecurity (05.12.2019)

Foto: Unsplash

O platformă românească a British Amercan Tabacco a suferit o scurgere de date și un atac ransomware

O platformă românească deținută de compania British American Tobacco a fost afectată de un atac cu malware de tip ransomware și o scurgere de date.

Datele se aflau într-o bază Elasticsearch nesecurizată, pe un server localizat în Irlanda, iar volumul de date a fost de aproximativ 325 GB. În plus, au descoperit că hackerii au obținut deja accesul la date și au lăsat o notă de răscumpărare în care amenințau cu ștergerea datelor de pe server, dacă nu le sunt îndeplinite condițiile.

Cercetătorii din cadrul vpnMentor, au identificat datele ca aparținând platformei web YOUniverse.ro. Platforma este utilizată pentru distribuirea de materiale promoționale la petreceri și alte tipuri de evenimente ce implică vedete locale sau internaționale. Fapt pentru care în acea bază de date se aflau informații cu caracter personal.

Breșa de securitate a fost raportată de echipa vpnMentor către CERT-RO, iar echipa CERT-RO a făcut demersurile necesare pentru închiderea accesului la baza de date.

Tool-ul 'The Great Cannon', folosit în atacuri DDoS împotriva protestatarilor din Hong-Kong

‘The Great Cannon’, instrument folosit în scopuri malițioase (DDoS), a fost reutilizat recent pentru a lansa atacuri împotriva platformei de socializare LIHKG, una folosită extensiv de către protestatarii din Hong Kong, pentru a coordona în timpul protestelor anti-extrădare.

Atacatorii folosesc ‘The Great Cannon’ pentru a consuma resursele unui site web situat în afara ‘Marelui Firewall din Chinaț (GFW). Traficul web înregistrat provenea de la utilizatori chinezi care aveau conexiunile HTTP nesigure, injectate cu cod JavaScript malițios atunci când probabil victimele au vizitat site-uri nesigure.

Nouă variantă de malware pe macOS atribuită grupării Lazarus

Cercetători din domeniul securității cibernetice au întâlnit o nouă variantă de malware pentru macOS despre care se crede că este activitate adiacentă grupului nord-coreean de hackeri cunoscut sub numele de Lazarus.

Amenințarea are o rată de detectare foarte scăzută și vine cu funcții care îi permit să recupereze un payload dintr-o locație remote și să o ruleze în memorie, ceea ce face analiza forensic mai dificilă. Până acum, la o simplă verificare pe VirusTotal se observă că doar 4 antivirus-uri sunt capabile să detecteze problema.

Clienții STEAM vizați de o campanie de tip phishing

Atacatorii își îndreaptă atenția în ultima vreme către utilizatorii serviciului popular de jocuri Steam. Înșelăciunea, care vizează credențialele clienților Steam, raportată pentru prima dată de cercetătorul de securitate nullcookies pe Twitter, oferă skin-uri noi în fiecare zi, pentru a atrage atenția utilizatorilor. Un skin este o modificare care oferă un aspect nou vizual nou pentru jocurile online Steam. Există o întreagă piață digitală dedicată comercializării acestora.

Bleeping Computer explică faptul că site-ul care oferă aceste schimbări de identitate vizuală a cerut inițial datele de autentificare ale utilizatorului, promițând că, în schimb, termenul STEAM RAIN va apărea într-o fereastră de chat din stânga ecranului.

Fereastra de chat era evident falsă, la fel și întreaga propunere. Victimele care au făcut clic pe link au întâlnit un formular de autentificare fals Steam, care le-a extras informațiile de autentificare. Acest lucru le-a permis ulterior atacatorilor să comită mai multe fraude, prin utilizarea contului victimei pentru a răspândi mai departe același link de phishing.

Datele a peste 20 de milioane de utilizatori Mixcloud se vând pe Darkweb

Datele a peste 20 de milioane de clienți Mixcloud, o platformă populară de streaming audio, au fost expuse pe Darkweb. Acestea conțin nume de utilizator, adrese de e-mail și parole care par a fi criptate cu algoritmul SHA-2, ceea ce face ca parolele să fie aproape imposibil de decriptat.

Totodată, datele conțineau și momentul ultimei autentificări, țara din care s-a înscris utilizatorul, adresa de internet (IP) și link-uri către fotografiile de profil. Cantitatea exactă de date furate nu este cunoscută. Vânzătorul  de pe darkweb care încerca să monetizeze pe urma scurgerii de informații a specificat că există 20 de milioane de conturi afectate.

Compania recomandă schimbarea parolei, pentru orice eventualitate, deși specifică foarte clar faptul că atacatorii nu ar putea ajunge la varianta text a lor, deoarece ar fi criptate corespunzător.