A fost publicată lista auditorilor atestați de securitate cibernetică. Accesați aici lista

Știrile săptămânii din cybersecurity (19.08.2021)

2021/08/19
Popularitate 1000

T-Mobile investighează un presupus atac cibernetic, în urma căruia se bănuiește că au fost compromise datele a peste o sută de milioane de utilizatori

Informațiile furate includ numere de telefon, nume, adrese fizice, numere de securitate socială și informații despre permisele de conducere, conform Vice. Potrivit Motherboard, vânzătorul  menționează în postarea de pe forumul ilegal că datele provin de pe serverele T-mobile și spune că a compromis mai multe servere legate de T-Mobile. “T-Mobile SUA. Informații complete despre clienți”, scrie vânzătorul în postare, potrivit sursei citate.

Pentru o parte a datelor, respectiv 30 de milioane de numere de securitate socială și permise de conducere, cere șase bitcoins, în valoare de aproximativ 274.000 de dolari, iar despre restul datelor, spune că le oferă separat, în mod privat.

Un bug al platformei de gaming Steam putea fi exploatată pentru a aloca fonduri nelimitate în protofelele digitale ale gamerilor

Un cercetător de securitate cibernetică a ajutat Valve, compania care deține platforma Steam, la identificarea unui bug ce implica exploatarea API-ului Valve pentru interceptarea POST request trimisă de Steam către Smart2Pay, o firmă terță de plăți online.

Prin manipularea comunicațiilor dintre cele două părți, atacatorul putea ocoli hash-ul criptografic folosit la protejarea datelor, iar în final putea adăuga suma dorită în portofelul digital de pe Steam. Valve a evaluat bug-ul cu un nivel de severitate critică și l-a reparat.

Semne de întrebare în interiorul companiei Apple referitor la softul care ar urma să scaneze telefoanele pentru indicia legate de pedofilie

Potrivit surselor Reuters, peste 800 de mesaje pro și contra au fost postate pe Apple Slack, forumul intern, aceasta fiind cea mai amplă dezbatere internă, într-o companie care altfel este renumită pentru discreția și cultura păstrării secretului în jurul noilor produse. Slack a fost lansat acum câțiva ani, însă a început să fie folosit tot mai mult de angajații Apple în timpul pandemiei.

Angajații care au comentat decizia nu par să ocupe funcții cheie în cadrul companiei. În timp ce unii dintre ei au spus că soluția Apple este un răspuns rezonabil la presiunea de a contracara materialele ilegale, alții consideră că speră ca scanarea să fie un pas către criptarea completă a iCloud pentru clienții care doresc acest lucru.

Raccoon stealer distribuie malware prin Google SEO

Serviciile Raccoon Stealer au fost actualizate pentru a include instrumente pentru sifonarea criptomonedelor de pe dispozitivul unei victime, dar și funcții suplimentare de acces de la distanță pentru descărcarea de malware și furt de fișiere. În plus, platforma „stealer-as-a-service”, ai cărei clienți sunt în principal hackeri amatori, oferă servicii la cheie pentru furtul parolelor și cookie-urilor de autentificare salvate în browsere.

Potrivit unei cercetări recente publicate marți de Sophos Labs, platforma a făcut recent o actualizare semnificativă care include noi capabilități și rețele de distribuție pentru a ajuta la creșterea numărului de ținte infectate. Pentru început, Raccoon Stealer a trecut de la infecțiile bazate pe inbox la cele bazate pe Google Search. Potrivit Sophos, autorii de amenințări au ajuns să stăpânească arta optimizării paginilor web malițioase pentru a se poziționa la un nivel ridicat în rezultatele căutărilor pe Google.

Campanie de phishing nouă pe DocuSign

În cadrul unei campanii de phishing, observată la începtulul lunii august 2021, atacatorii utilizează conturi autentice compromise de DocuSign pentru a trimite documente .pdf, ce conțin link-uri care conduc la pagini de phishing sau descărcă pe dispozitivul victimei fișiere malițioase.

Atacatorii utilizează tehnici de ascundere a naturii reale a link-urilor sau documentelor trimise, precum steganografia, prin care sunt falsificate extensiile fișierelor pentru a le transforma în tipurile de fișiere acceptate de DocuSign, evitând măsurile de securitate. Astfel, mail-ul primit de țintă pare „curat”, link-ul de phising fiind găzduit de serverele DocuSign.

În acest context, măsurile de securitate și evitare a atacurilor sunt limitate, însă sfaturile oferite de specialiști sunt:

  • contactarea colegului care a trimis mail-ul, pentru confirmarea autenticității sale;
  • trecerea cursorului mouse-ului peste link-urile din mail, pentru a verifica daca acestea par familiar;
  • trecerea curosrului peste adresa de mail a expeditorului pentru asigurarea că adresa afișată coincide cu cea reală.

Un malware de Android fură credențiale din peste 100 de aplicații bancare și de criptomonede

Programele malware pentru Android se prezintă într-o varietate de forme, fiecare cu diferite niveluri de complexitate a atacului. Acestea pot face orice, de la furtul unor informații specifice până la preluarea completă a computerului sau a dispozitivului dvs. mobil. Cu toate acestea, un nou troian Android, denumit „Vultur” de către cercetătorii din Amsterdam, are o abordare mult mai dură față de țintele sale.

Acest software malițios înregistrează tot ceea ce se întâmplă pe ecranul telefonului dumneavoastră. Una dintre consecințe este că a urmări aplicații precum cele bancare și de socializare devine o joacă de copii. Cercetătorii de la compania de securitate informatică ThreatFabric au observat că:

„Pentru prima dată, vedem un troian bancar pentru Android care are ca strategie principală înregistrarea ecranului și keylogging-ul pentru a colecta credențiale de autentificare într-un mod automat și scalabil. În plus, actorii au ales să se îndepărteze de strategia comună de suprapunere HTML pe care o vedem de obicei în alți troieni bancari Android.”

Informații sensibile ale MAE din Lituania, de vânzare pe un forum de hacking

O arhivă de 300GB, cu 102 fișiere Outlook .pst, conținând informații clasificate ce aparțin Ministerului Afacerilor Externe din Lituania, este de vânzare pe forumul de hacking RaidForums.

Vânzătorul a pus la dispoziția publicului mail-uri și documente pentru indicarea autenticității arhivei și a distribuit o listă cu angajați ai Ministerului. Prețul arhivei nu a fost stabilit, însă vânzătorul a menționat că există o cerere ridicată.

Ministerul de Externe lituanian a indicat că nu a putut confirma autenticitatea arhivei și că situția reprezintă un atac informațional al unor țări neprietenoase. În noiembrie 2020, ministerul a fost victima unui atac cibernetic atribuit unor atacatori ce ar avea legături cu Rusia, însă nu este clar dacă cele două stiuații au legătură.

3 spitale din Ohio și West Virginia, afectate de ransomware-ul Hive

La 15 august 2021, Computerele Memorial Health System, o rețea non-profit din care fac parte 3 spitale din Ohio și West Virginia, au fost atacate de către grupul de ransomware Hive. Atacul cibernetic a perturbat operațiile clinice și financiare ale spitalelor. Cel mai porbabil, datele celor aproximativ 3.000 de angajați și 200.000 de pacienți ale spitalelor au fost compromise.

Campanii de phishing protejate prin CAPTCHA

Cercetătorii de securitate din cadrul Unit 42 (Paloalto Networks) au publicat un studiu cu privire la paginile de phishing protejate prin servicii tip CAPTCHA legitime sau false, în contextul în care această tehnică devine din ce în ce mai populară pentru atacatori. Conținutul tip phishing, ascuns în spatele CAPTCHA, poate duce la evitarea măsurilor de securitate și poate oferi o imagine legitimă site-urilor malițioase. Detalii compete din studiu, în limba engleză, la accesarea link-ului din titlu.

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar CERT-RO