A fost publicată lista auditorilor atestați de securitate cibernetică. Accesați aici lista

Știrile săptămânii din cybersecurity (12.08.2021)

2021/08/12
Popularitate 931

Foto: Forbes

Cheia universală pentru decriptarea Revil, disponibilă clienților Kaseya afectați de atac

Prin exploatarea unei vulnerabilități a Kaseya VSA, grupul de ransomware REvil a lansat un atac masiv la 2 iulie 2021, iar apoi a dispărut misterios, lăsând victimele fără potențialul de a obține o modalitate de decriptare.

La 22 iulie 2021, Kaseya a obținut dintr-o „sursă terță de încredere” o cheie universală pentru decriptare, pe care a distribuit-o victimelor. În plus, la 10 august 2021, un utilizator a publicat pe un forum de hacking o cheie de decriptare (OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=) funcțională în contextul atacului indicat.

Bitdefender: Noi mesaje înșelătoare care pretind că sunt trimise de către Poșta Română urmăresc golirea conturilor bancare ale oamenilor

O nouă campanie de mesaje înșelătoare care pretind a veni de la Poșta Română, trimise de către atacatori cu scopul de a convinge destinatarii să plătească o taxă suplimentară pentru a primi un colet. 

Potrivit Bitdefender, au fost detectate mii de emailuri frauduloase. În ele, oamenii sunt notificați că pachetul lor nu a putut fi livrat din cauza neachitării unei taxe vamale de 3,54 lei. Emailurile au fost trimise începând de duminică către ținte din România de pe IP-uri care aparent provin din Statele Unite ale Americii.

Mesajul primit îndeamnă țintele să acceseze un link pentru a finaliza plata și a li se confirma expedierea coletului. După accesarea link-ului, victimele le oferă atacatorilor datele lor bancare, care pot fi folosite mai apoi de către hackeri pentru a goli conturile compromise.

Dispozitive NAS vizate de ransomware

Producătorul de dispozitive NAS, Synology, a trimis clienților săi o atenționare conform căreia dispozitivele pot fi vizate de malware-ul StealthWorker, un botnet care ar conduce la infecții cu ransomware și la compromiterea altor dispozitive Linux.

Compania recomandă utilizatorilor să parcurgă următorii pași pentru evitarea atacurilor: utilizarea unei parole puternice; crearea unui cont nou în „administrator group” și dezactivarea contului standard „admin”; activarea Auto Block din Control Panel pentru blocarea adreselor de IP cu multe încercări de logare eșuate; rularea Security Advisor pentru verificarea existenței parolelor slabe în sistem.

O grupare a încercat evitarea detectării Cobalt Strike, prin utilizarea unei versiuni modificate

Gruparea de spionaj cibernetic TIN WOODLAWN, a cărei activitate sugerează legături cu Guvernul Vietnamez, a încercat să evite măsurile de detecție configuration-based pentru malware-ul Cobalt Strike, prin utilizarea unui stager modificat.

Activitatea grupării a fost detectată de cercetătorii de la Secureworks Counter Threat Unit, care au indicat că principala modalitate de livrare a malware-ului sunt email-urile de spearphishing, ce conțin documente malițioase în atașament.

Escorcii de pe Instagram au identificat o metodă de a obține bani din blocarea conturilor

Conform unui raport al Motherboard, escorcii de pe Instagram utilizează o metodă de blocare a conturilor diferitelor ținte, proces în schimbul căruia primesc aproximativ $60. Escrocii utilizează un cont verificat de Intagram pentru a imita ținta, iar apoi raportează contul-țintă pentru a-i bloca accesul. După blocarea contului, victimele primesc un mail cu o ofertă de deblocare, care costă aproximativ $3.500-4.000.

Atacul BlackMatter afectează mai multe instituții financiare

Operatorii de ransomware BlackMatter au reușit să compromită compania indiană Pine Labs, un furnizor de tehnologie în domeniul financiar. La 10 august 2021, hackerii au publicat pe site-ul lor o listă cu un număr semnificativ de victime afectate de atac.

În urma unor analize, cercetătorii de la Cyble Research Lab au descoperit multiple detalii expuse în urma atacului: acorduri între instituții sau bănci din India și Pine Labs, rapoarte financiare, peste 500.000 de „dosare” unice cu informații de contact (nume, email, telefon).

Studiu al noului malware utilizat de APT31

Specialiștii de la PT Expert Security Center au analizat activitatea grupului de hackeri APT31, care desfășoară acțiuni de spionaj cibernetic și care ar avea legături cu Guvernul Chinez. În perioada ianuarie – iulie 2021, APT31 a fost observat utilizând un nou tip de malware și vizând în special Rusia și Mongolia, dar și alte țări precum Belarus, Canada sau Statele Unite.

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar CERT-RO