Știrile săptămânii din cybersecurity (12.09.2019)

2019/09/12
Popularitate 938

Servere bazate pe Linux atacate de ransomware-ul Lilocked

În ultimele două săptămâni a fost detectată o creștere a frecvenței atacurilor care utilizează ransomware-ul Lilocked asupra sistemelor bazate pe sistemul de operare Linux. Este estimat că mai multe mii de sisteme au fost infectate începând din luna iulie 2019 și că serverele sunt infectate prin intermediul unei versiuni neactualizate a aplicației server de email Exim.

După infectare, fișierele sunt criptate cu extensia .lilocked iar utilizatorii sunt direcționați către un site ONION pentru realizarea plății.

Spre deosebire de alte tipuri de ransomware, cum ar fi WannaCry, Lilocked nu criptează și fișiere ale sistemului de operare, singurele fișiere afectate fiind HTML, JS, CSS și PHP.

 

ESET descoperă un backdoor utilizat de grupul Stealth Falcon

Grupul Stealth Falcon este activ încă din 2012 și țintește activiști politici și jurnaliști din Orientul Mijlociu. Acest grup a fost urmărit de organizația non-profit Citizen Lab, care a publicat o analiză detaliată a unui atac cibernetic al acestui grup, în anul 2016.

Conform ESET, backdoor-ul, denumit Win32/StealthFalcon, a fost creat în 2015 și permite atacatorului să controleze computerul compromis. Au fost identificate ținte din Emiratele Arabe Unite, Arabia Saudită, Tailanda și Olanda.

Pentru comunicația cu centrul de comandă și control, malware-ul folosește componenta BITS (Background Intelligent Transfer Service) din Windows, folosită de obicei de către sistemele de update, acest aspect permițând evitarea aplicațiilor de firewall instalate pe computerul utilizatorului.

Printre capabilitățile malware-ului se numără execuția de aplicații, update-ul datelor de configurare, exfiltrare și ștergere de fișiere, precum și posibilitatea de a se șterge atunci când nu poate realiza comunicația cu sistemul de comandă și control.

 

Vulnerabilități multiple ale routerelor Comba și D-Link

Cercetătorul Simon Kenin din cadrul Trustwave SpiderLabs Security a descoperit un total de 5 vulnerabilități care pot fi exploatate în vederea obținerii credențialelor pentru acces neautorizat. Două dintre acestea aparțin modemului D-Link DSL, utilizat de regulă pentru conectarea la Internet a utilizatorilor casnici. Celelalte trei vulnerabilități au fost identificate pentru mai multe dispozitive wireless ale Comba Telecom.

Toate vulnerabilitățile descoperite includ problema modului de stocare a credențialelor de autentificare, iar pentru trei dintre acestea, orice utilizator poate obține datele de autentificare în text în clar.

La momentul scrierii articolului, niciuna dintre vulnerabilitățile menționate nu a fost remediată.

 

NetCAT: Un nou atac ce le permite hackerilor să extragă date de pe procesoarele Intel

Spre deosebire de vulnerabilitățile dezvăluite anterior pentru procesoarele Intel, cercetătorii au descoperit o noua vulnerabilitate ce poate fi exploatată de la distanță, prin intermediul rețelei, fără ca atacatorul să dețină acces fizic sau aplicații malițioase instalate pe stația victimei.

Denumită NetCAT, prescurtarea de la Network Cache ATtack, această vulnerabilitate le permite atacatorilor să intercepteze date sensibile, de la distanță, precum parola SSH, din memoria cache a procesoarelor Intel.

 

Aplicații pentru funcția de lanternă de pe dispozitivele cu Android ce necesită un număr ridicat de permisiuni

Luis Corrons, din partea Avast Security, a declarat că prin testarea tuturor aplicațiilor lanternă ce au fost urcate până în prezent pe Play Store a identificat 937 de aplicații de acest tip, dintre care un număr de 7 erau malițioase.

Cu excepția celor 7, acesta a mai identificat o mulțime de astfel de aplicații ce necesitau în medie 25 de permisiuni per aplicație. Tot el declară că a identificat alte 77 de aplicații lanternă ce solicitau peste 50 de permisiuni la instalare.

Printre permisiunile solicitate se numără: înregistrarea audio, citirea contactelor din agendă, efectuarea de apeluri, accesul la mesajele SMS și accesul la informații privind geo-locația.

Dat fiind că o mare parte din noile telefoane vin cu această funcție din fabrică, se recomandă eliminarea lor din telefon, iar în cazul în care dispozitivul nu are funcția pre-setată acordați mai multă atenție permisiunilor solicitate.

 


Vizualizat de 531 ori