Știrile săptămânii din cybersecurity (20.03.2019)

2019/03/20
Popularitate 889

Foto: ENISA

ENISA, Agenția UE pentru Cybersecurity, sărbătorește cea de-a 15-a aniversare cu mandat consolidat

Ieri, ENISA - agenția UE pentru securitate cibernetică a celebrat cea de-a 15-a aniversare. Începând cu anul 2004, Agenția Europeană pentru Securitate a Rețelelor și a Informațiilor a contribuit la formarea unui cadru necesar răspunsului coordonat al UE la amenințările cibernetice, care erau în creștere.

Principala sarcină a ENISA este de a ajuta UE și statele membre să-și îmbunătățească reziliența în ceea ce privește atacurile și să crească încrederea în piața unică digitală. Legea privind securitatea informatică, adoptată recent de Parlamentul European și de Consiliu va consolida rolul ENISA prin acordarea unui mandat permanent și prin majorarea personalului și a bugetului său.

ENISA a sărbătorit cea de-a 15-a aniversare la Bruxelles, în prezența președinției românești a Consiliului UE și a altor instituții europene.

O nouă campanie de șantaj sexual folosește mesaje transmise în numele CIA

Campania de scamming a început în weekend-ul trecut, iar email-urile sunt transmise astfel încât să se înțeleagă că destinatarul face parte dintr-o investigație în desfășurare a CIA, fiind atașat și un număr de caz aferent respectivei investigații.

În email, destinatarului i se solicită plata a 10 000 de dolari în bitcoin, pentru înlăturarea informațiilor personale ale acestuia, prin care este legat de investigație.

Pentru sporirea credibilității, email-urile sunt transmise de la adrese care conțin ‘cia’, ‘gov’ sau ‘ml’ în numele domeniului.

Spre deosebire de alte campanii de scamming care au generat venituri considerabile pentru atacatori, nu au fost înregistrate încă plăți efectuate de către cei care au primit acest tip de email, unul din motive fiind valoarea mare a sumei solicitate și probabiliteatea redusă ca CIA să trimită asemenea mesaje.

Ransomware-ul LockerGoga afectează un mare producător de aluminiu din Norvegia

Compania norvegiană producătoare de aluminiu, Norsk Hydro, a anunțat ieri 19 martie că a fost ținta unui atac cibernetic de amploare care a condus la dezactivarea sistemelor automate utilizate în procesul  de producție.

Atacul a avut la bază ransomware-ul LockerGoga combinat cu un atac asupra Active Directory. LockerGoga este un ransomware semnalat prima oară în luna ianuarie, într-un atac asupra Altran Technologies, o companie din Franța.

Odată instalat, LockerGoga schimbă parola utilizatorului și criptează fișierele de pe sisteme desktop, laptop și server. Deasemenea, acesta șterge backup-urile găsite pe respectivele sisteme. Ransomware-ul criptează fișierele cu următoarele extensii: doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py

După criptarea fișierelor, acesta generează textul de șantaj în directorul Desktop al respectivului sistem.

În cazul Norsk Hydro au fost afectate și sisteme care controlează procesul de producție, astfel că s-a trecut la operarea manuală a acestuia, iar unde nu a fost posibil, sistemele au fost oprite complet.

Norsk Hydro a anunțat că nu va plăti suma solicitată în textul de șantaj, aceștia având intenția re a restaura sistemele din backup-uri. 

Vulnerabilite într-o librărie PHP de generare a fișierelor PDF

Librăria TCPDF este utilizată pe platformele bazate pe limbajul PHP. Aceasta este utilizată pentru exportul codului HTML în format PDF, pe platforme CMS de management al documentelor, de generare a rapoartelor sau a facturilor.

Vulnerabilitatea semnalată permite rularea de cod malițios pe website-urile care utilizează librăria TCPDF prin două modalități.

Prima dintre ele este posibilă pe site-urile care incorporează date introduse de utilizator în documentul PDF, cum ar fi adăugarea numelui sau a altor date.

O doua modalitate de atac este posibilă pe site-urile care au deja o vulnerabilitate de tip Cross-Site Scripting (XSS) prin intermediul căruia utilizatorul poate plasa cod malițion în codul sursă al paginii care va fi exportată în format PDF.

Versiunea TCPDF care elimină vulnerabilitatea menționată este 6.2.22. 

Microsoft a fost ținta a 8 din 10 vulnerabilități majore în anul 2018

Structurile de gestionare a riscurilor de securitate informatică se confruntă cu sarcina descurajatoare de prioritizare a vulnerabilităților fără o înțelegere adecvată a modului și a mecanismelor prin care acestea sunt exploatate activ de actori din spațiul cibernetic.

Specialiștii din domeniu au realizat un top al primelor 10 vulnerabilități utilizare în instrumente de exploatare de distribuție a trojanilor de tip RAT și a mesajelor de tip phishing din 2018, pentru a oferi o perspectivă asupra modului prin care acestea influențează stiva de tehnologii actuale. În acest clasament s-a constatat o tendință de exploatare a produselor Microsoft, față de cele Adobe. Astfel, opt din zece vulnerabilități exploatate prin atacurile de tip phishing, sau RAT vizează produse Microsoft.

De asemenea s-a constatat ca și în anii trecuți, o diminuare a numărului de kituri de exploatare dezvoltate pe fondul trecerii la atacuri mai bine direcționate și a disponibilității reduse de vulnerabilități zero-day.

Conform studiului, Adobe are doar o vulnerabilitate în clasament, datorită noi strategii de patching adoptate și diminuarea utilizării aplicației Flash Player.


Vizualizat de 472 ori