Știrile săptămânii din cybersecurity (20.05.2021)

2021/05/20
Popularitate 1000

Foto: Apple

Extensie Microsoft Authenticator falsă pentru Chrome

Un add-on „Microsoft Authenticator” a fost publicat pe Chrome Web Store, fără a fi verificat de cei de la Google. În urma cercetărilor, s-a descoperit că extensia avea rol de a fura datele utilizatorilor și de a mina criptomonede.

Microsoft a indicat că nu a avut vreodată o astfel de extensie pentru Chrome. Google nu a comentat situația, însă a eliminat software-ul din Chrome Web Store și l-a dezactivat pentru cei care l-au descărcat.

Opțiunea Apple ‘Find My’ poate fi utilizată pentru exfiltrarea datelor

În urma unor cercetări, s-a demonstrat existența unei metode de încărcare a datelor de pe dispozitive care nu sunt conectate la internet, prin trimiterea unui semnal Find My, către dispozitivele Apple din vecinătate.

După primirea semnalului Find My, dispozitivul Apple trimite un raport către iCloud, conținând locația sa criptată prin intermediul unei chei public-private. Astfel, locația aproximativă a dispozitivului pierdut poate fi accesată de propietar, cu ajutorul unui alt dispozitiv Apple.

Exploatarea procesului poate fi realizată prin atașarea unui mesaj la „broadcast payload”, obținut ulterior printr-o componentă „data fetcher” bazată pe OpenHaystack, pentru decriptarea și extragerea informațiilor transmise de dispozitiv.  

Campanie de smishing printr-o aplicație ce imită Google Chrome pentru Android

O campanie foarte eficientă pentru furtul datelor bancare este inițiată prin intermediul unui SMS trimis în contextul plății livrării unui colet. Mesajul conține un link care, în urma accesării, necesită actualizarea aplicației Chrome, dar instalează defapt un malware. Apoi, victima este redirecționată pentru efectuarea plății solicitate inițial, proces prin intermediul căruia atacatorul obține datele despre cardul victimei.

Ulterior, aplicația falsă trimite peste 2000 de SMS-uri pe săptămână de pe dispozitivul compromis pentru propagarea malware-ului. Acesta reușește să evite detectarea prin intermediul unor tehnici specifice, precum schimbarea semnăturii aplicației în urma identificării comportamentului malițios de către soluțiile de securitate.

Pentru evitarea unor astfel de atacuri, utilizatorii sunt îndemnați să nu ofere datele cardului atunci când sunt solicitate de necunoscuți și să verifice situația coletului pe site-ul oficial al companiei de livrare. În plus, descărcarea și actualizarea aplicațiilor trebuie realizate exclusiv cu ajutorul magazinelor oficiale (Google Play sau Apple store).

Atac cu ransomware împotriva sistemului sanitar irlandez

La 14 mai 2021, multiple servicii au fost afectate la nivelul spitalelor din Irlanda, în urma unui atac cu ransomware. Grupul Conti, responsabil pentru atac, urmărește să obțină $20 milioane în schimbul a 700GB de date necriptate. Prim ministrul Irlandei a declarat că această plată nu va fi efectuată.

În acest context, sistemele IT ale spitalelor au fost oprite temporar, trecându-se la utilizarea sistemului „bazat pe hârtii” pentru a asigura funcționarea normală. Totuși, îngrijirea pacienților a fost realizată mai lent.  

Studiu Microsoft: Peste jumătate dintre companiile din Europa Centrală și de Est nu au o strategie complexă de securitate cibernetică

Raportul Microsoft evidențiază provocările și oportunitățile pe care le-au întâlnit companiile din regiune, inclusiv din România, în ceea ce privește securitatea cibernetică, pe măsură ce se adaptau la “noua realitate” și la mediul de lucru hibrid

Astfel, raportul arată că mai bine de jumătate (58%) dintre companiile din regiune spun că în acest moment nu au o strategie complexă în ceea ce privește securitatea cibernetică. În România, doar 39,5% dintre companiile care au luat parte la cercetare au spus că au o strategie de securitate cibernetică completă, 6% dintre ele nu au o astfel de strategie, dar plănuiesc să conceapă una, iar 8% dintre acestea nu consideră că au nevoie de o strategie IT dedicată.

Potrivit raportului companiile spun că tranziția la munca de la distanță a crescut riscul de apariție a potențialelor vulnerabilități. Astfel, 79% dintre respondenți au indicat faptul că securizarea accesului la resursele organizaționale, de la domiciliu sau din alte locații, reprezintă principala lor arie de interes, depășind tradiționala securizare a dispozitivelor (clasicul antivirus/antimalware).

Listă IP-uri compromise România – Cobalt, Scythe, Mythic, Posh

Prietenii de la ProDefence scriu despre o listă de IP-uri din România, care sunt, sau au fost compromise, prin intermediul agenților de exploatare Cobalt Strike, Scythe, Mythic și Posh. Acestea ar fi servere sau dispozitive care au intrat în legătură cu agenți de exploatare, deoarece au/au avut vulnerabilități exploatabile. Unele adrese IP apar în mai multe liste, ceea ce denotă că au fost testate/exploatate din mai multe direcții.

Divizia Toshiba din Franța confirmă că a fost atacată informatic de DarkSide

Atacul cibernetic a avut loc pe 4 mai și a vizat Toshiba Tec France Imaging System, iar compania spune că a pierdut ”doar o cantitate minimă de date de lucru”. Atacul a venit însă în momentul în care compania urma să anunțe o revizuire a strategiei și o prognoză optimistă a profitului.

Reuters notează că atacurile de tip ransomware au crescut ca număr, iar sumele cerute în criptomonede sunt tot mai mari. Numai în acest an, în Franța, au mai fost ținta hackerilor și compania de șampanie Laurent Perrier, producătorul de bărci Beneteau și producătorul de echipamente pentru camping și autoutilitare Trigano. Vineri dimineață, și Serviciul de Sănătate al Irlandei (HSE) a fost ținta unui atac de tip ransomware ”sofisticat”, fiind nevoit să închidă întreg sistemul informatic ca ”măsură de precauție”.

Alertă a Microsoft cu privire la un Remote Access Trojan

Microsoft atrage atenția cu privire la RevengeRAT, cunoscut și sub denumirea AsyncRAT. Malware-ul este distribuit prin intermediul unor email-uri de spear-phishing ce par a proveni de la organizații legitime. Mesajele conțin un fișier mascat ca .pdf, prin intermediul căruia este descărcat un script VB (visual basic). Troianul este utilizat pentru a fura date și pentru a descărca alte malware-uri.

Campania vizează în special domeniul aerospațial și pe cel al turismului.

RESURSE

Astăzi vă supunem atenției un nou articol din partea experților în cybersecurity de la ISACA România: ‘Handling electronic health data – main security and privacy guidelines’ (Utilizarea datelor privind sănătatea in forma electronic – principale recomandări privind securitatea și protecția datelor).

Acest articol conține recomandări privind modalitatea în care datele să fie comunicate, atât în cadrul organizației medicale, cât și în exterior (către alte organizații medicale sau către pacienți). Recomandările au în vedere o abordare bazată pe risc, precum și existența aplicațiilor de tip legacy.

Primul pas este cel al cunoașterii cerințelor privind transferul de date, precum și a fluxurilor interne și externe existente. Articolul conține recomandări în legătură cu acest pas, împreună cu sfaturi utile privind securitatea rețelei interne și gestionarea autentificării și autorizării utilizatorilor.

În continuare sunt prezentate aspecte practice privind construirea unei soluții ușor de utilizat și de replicat pentru comunicarea internă a datelor, în special între departamente.

Următoarele secțiuni oferă sfaturi privind transmiterea datelor către pacienți în funcție de serviciile organizației medicale, precum și accesarea datelor medicale de la distanță de către personalul organizației medicale.

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar CERT-RO


Vizualizat de 796 ori