12.10.2023 13:02
Dane Fortinet Global Ransomware wskazują na to, że phishing jest najpopularniejszą metodą wśród cyberprzestępców. W ostatnim czasie stały się jeszcze bardziej skuteczne.
Nie jest żadną tajemnicą, że z roku na rok ataki hakerskie są coraz bardziej powszechne. Nie bez powodu przedsiębiorstwa inwestują w zaawansowane systemy zabezpieczeń i zatrudniają wykwalifikowanych specjalistów od cyberbezpieczeństwa. Czasem jednak nawet to nie jest w stanie im pomóc.
Stara metoda jeszcze bardziej skuteczna. Winne jest AI
Phishing nie jest nowym fenomenem, cyberprzestępcy stosują tę taktykę od dziesięcioleci. Manipulują, podając się za godne zaufania osoby bądź instytucje, a następnie kradną poufne informacje. Robią to za pośrednictwem poczty elektronicznej lub wiadomości tekstowych.
– W przeszłości wiadomości phishingowe były stosunkowo łatwe do zidentyfikowania z powodu nieostrożnego redagowania, pełnego błędów ortograficznych i niepoprawnej gramatyki. Jednak wraz ze zwiększeniem się dostępności narzędzi bazujących na sztucznej inteligencji, wzrósł też poziom wykorzystywania tych rozwiązań wśród cyberprzestępców. Dzięki temu mogą oni w łatwiejszy sposób udoskonalać swoje operacje. Robią to, między innymi, wykorzystując sztuczną inteligencję w procesie tworzenia e-maili phishingowych. W efekcie wiadomości te wyglądają bardziej realistycznie niż kiedykolwiek wcześniej. Fakt ten znacznie zwiększa szansę na to, że potencjalna ofiara rzeczywiście otworzy złośliwy link, a atak zostanie zakończony sukcesem
– ostrzega Derek Manky, Chief Security Strategist & VP Global Threat Intelligence w firmie Fortinet.
Wraz z rozwojem rozwiązań bazujących na sztucznej inteligencji na znaczeniu zyskuje też rola pracowników w procedurach obrony przedsiębiorstwa przed cyberatakami. Jak przekonują eksperci Fortinet, znajomość „tradycyjnych” cech wiadomości phishingowych to obecnie zbyt mało, by mówić o przygotowaniu firmy na cyberatak. Oczywiście nadal istotne pozostaje korzystanie z narzędzi technicznych, takich jak filtry antyspamowe, czy uwierzytelnianie wieloskładnikowe. Równocześnie jednak eksperci wzywają do priorytetowego traktowania kwestii odpowiedniego przeszkolenia pracowników.
Zagrożenie ze strony phishingu często bywa bagatelizowane. Cyberprzestępcy są jednak świadomi potencjału tej taktyki – wciąż z niej korzystają i odnoszą sukcesy. Według badań zrealizowanych przez Cybersecurity and Infrastructure Security Agency firmy wciąż mają przed sobą długą drogę, jeśli chodzi o edukację personelu. Podczas przeprowadzonej na potrzeby eksperymentu symulacji ataku phishingowego okazało się, że 80% przedsiębiorstw zatrudnia przynajmniej jednego pracownika, który nie był w stanie zidentyfikować wiadomości od cyberprzestępcy.
Rozprowadzane m.in. za pośrednictwem e-maili phishingowych oprogramowanie ransomware wciąż stanowi znaczne zagrożenie dla firm, bez względu na branżę czy region geograficzny. Według raportu Fortinet Global Ransomware, przedstawiciele 78% przedsiębiorstw uważają, że są one przygotowane na atak ransomware w „znacznym” bądź „całkowitym” stopniu. Połowa z nich padła jednak ofiarą złośliwego oprogramowania na przestrzeni ostatnich 12 miesięcy.
25.09.2023 17:39
Twórcy oprogramowania typu ransomware, grupa Ransomed.vc, włamała się na serwery Sony Group i wykradła ogromną ilość danych. Hakerzy zadeklarowali, że będą sprzedawali wykradzione dane. Jeśli nabywca nie znajdzie się w kilka dni, informacje te zostaną opublikowane w sieci.
21.09.2023 8:37
01.09.2023 16:37
12.08.2023 17:35
Funkcjonariusze CBZC, współpracując z Europolem i FBI, doprowadzili do zamknięcia usługi hostingowej Lolek Hosted.
Usługi hostingowe typu bulletproof, a więc takie, które opierają się skargom na działalność swych klientów, kontrowersje budzą już od chwili pojawienia się na rynku. Nie da się bowiem ukryć, że w lwiej części korzystają z nich przestępcy, którzy zyskują bezpieczną przestrzeń do działania.
Taką właśnie usługą był zamknięty 8 sierpnia Lolek Hosted – czytamy w komunikacie Centralnego Biura Zwalczania Cyberprzestępczości. Firma zapewniała rozbudowaną warstwę anonimowości, nie gromadząc żadnych logów, w dodatku przyjmowała płatności w kryptowalutach. Jednocześnie miała niezwykle liberalną politykę wobec klientów, gdyż jedyny zakaz dotyczył umieszczania pornografii dziecięcej.
Usługa ułatwiła dystrybucję złośliwego oprogramowania kradnącego informacje, a także przeprowadzanie ataków DDoS (rozproszona odmowa usługi), fikcyjnych sklepów internetowych, zarządzanie serwerami botnetów i dystrybucję wiadomości spamowych na całym świecie
– wylicza z kolei Europol.
W każdym razie dzisiaj żadna z jej usług nie jest już dostępna, a 5 osób stojących u sterów całego procederu trafiło w ręce funkcjonariuszy. Najpoważniejsze zarzuty postawiono Arturowi Karolowi G., 36-letniemu liderowi grupy, który domenę LolekHosted[,]net miał zarejestrować jeszcze w 2014 roku.
G. został oskarżony m.in. o umożliwienie klientom rejestracji kont na fałszywe dane osobowe, ignorowanie skarg na nadużycia składanych przez osoby trzecie czy powiadamianie klientów o zapytaniach kierowanych w ich sprawie przez służby. Za to wszystko grozi mu nawet 45 lat więzienia, gdyż z uwagi na globalną skalę działania stanąć ma przed sądem w Stanach Zjednoczonych.
Jak dodaje Departament Sprawiedliwości USA, Lolek Hosted pomógł w przeprowadzeniu około 50 ataków ransomware NetWalker. Serwery firmy były wówczas używane w procesie uzyskania nieautoryzowanego dostępu do sieci docelowych oraz do przechowywania narzędzi hakerskich i danych skradzionych ofiarom.
Co więcej, nie wyklucza się, że hosting jest zamieszany w pranie brudnych pieniędzy, pochodzących z cyberprzestępstw. Ostatecznie służby zgodnie mówią o milionach dolarów strat, a potwierdzeniem jest wydany równolegle nakaz zajęcia majątku, który opiewa na sumę 21,5 mln dol., czyli ponad 87 mln zł.
28.07.2023 13:02
W Rosji zajmowanie siÄ™ cyberbezpieczeÅ„stwem to ryzykowna profesja. Kolejny ze specjalistów wylÄ…dowaÅ‚ w wiÄ™zieniu po niejawnym „procesieâ€.
Założyciel i CEO największej rosyjskiej firmy zajmującej się cyberbezpieczeństwem spędzi 14 lat za kratkami, prawdopodobnie w kolonii karnej. To Ilja Saczkow, który założył Group-IB w 2003 roku. Jego firma już od kilku lat ma siedzibę w Singapurze, ale ostatecznie wyszła z Federacji Rosyjskiej dopiero w kwietniu 2023 roku.
Tajne zarzuty i drakoński wyrok
Saczkow został aresztowany we wrześniu 2021 roku. Zatrzymanie trwało niemal dwa lata, a Kreml nie podał do wiadomości publicznej zarzutów – jedynie, że chodzi o zdradę. Sam Saczkow również nie mógł wyjawić, o co chodzi, ponieważ przez pierwszych kilka miesięcy całkowicie odmawiano mu kontaktów ze światem zewnętrznym. Nie mógł przyjąć listów od rodziny, co dopiero rozmawiać przez telefon, korzystać z internetu albo się z kimś spotkać. O tym wiemy z oświadczenia firmy Group-IB. Kolejne kontakty były zapewne ściśle monitorowane.
W końcu spec od cyberbezpieczeństwa został postawiony przed czymś, co miało udawać sąd i w ciągu trzech tygodni było po wszystkim. Czeka go 14 lat pozbawienia wolności. Oskarżyciele chcieli podobno wyroku 18-letniego. Oczywiście wszystkie materiały dotyczące sprawy są tajne, przesłuchania odbywały się za zamkniętymi drzwiami i pewnie nie było nawet obrońcy, nie mówiąc już o świadkach po stronie oskarżonego.
Czym zasłużył sobie na takie traktowanie? Jak wiele osób w tej branży, chciał dobrze, ale odkrył coś, o czym mówić nie powinien – przynajmniej nie w oczach rządu Federacji Rosyjskiej. Jego firma odkryła i ujawniła operacje cyberprzestępcze prowadzone na wielką skalę, prowadzone na terenie Rosji i wykradające dane rosyjskich przedsiębiorstw oraz obywateli. Saczkow publicznie krytykował Kreml za to, że ignoruje zalew ataków typu ransomware, płynący z Federacji Rosyjskiej.
Było co krytykować. Dość wspomnieć, że tuż przed zatrzymaniem Saczkow opowiadał o tym, jak to znany haker wozi się po Moskwie fluorescencyjnym Lambo z rejestracją „THIEF†(złodziej). Maksim Jakubec, bo o nim mowa, to podobno kierownik dobrze znanej grupy Evil Corp., która według służb z USA ukradła setki milionów dolarów. Grupa ta była prawdopodobnie wspierana przez Kreml w zamian za usługi wymierzone przeciwko Stanom Zjednoczonym.
Saczkow został też oskarżony o to, że przekazał Stanom Zjednoczonym informacje o rosyjskiej grupie Fancy Bear (APT28). To oddział cyberprzestępców, którzy podobno przechylili szalę zwycięstwa na rzecz Donalda Trumpa w wyborach prezydenckich w 2016 roku. Dochodzeniowcy uważają, że ta grupa jest powiązana bezpośrednio z GRU – rosyjskim wywiadem wojskowym. Jeśli rzeczywiście tak było, nic dziwnego, że Kreml stara się pozbyć Saczkowa. Jeśli nie… nadal jest to osoba wysoce niewygodna.
Saczkow, Michajłow, Stojanow i inni
Saczkow dołączył do długiej listy specjalistów ds. cyberbezpieczeństwa, którzy za swoje działania zapłacą, spędzając resztę życia w kolonii karnej. Tak – resztę życia. Mimo wyroków o ograniczonej długości prawdopodobnie nie wyjdą na wolność. Kreml ma sposoby, by ludzie „znikali†i nikogo to nie zdziwi. Rosyjskie więzienia są europejskim liderem w śmiertelności więźniów (The Moscow Times, 2016).
W 2019 roku na 22 lata pozbawienia wolności został skazany Siergiej Michaiłow, były kierownik rosyjskiej jednostki ds. zwalczania cyberprzestępczości. Niedługo potem do więzienia trafili dwaj jego podwładni: Geogij Fomczenkow i Domitri Dokuczajew. Według rosyjskich mediów ci dwaj pomagali FBI w badaniu ataków na amerykańską komisję wyborczą w 2016 roku. Na 14 lat skazany został Rusłan Stojanow, który wcześniej pracował na wysokim stanowisku w Kaspersky Lab.
Wszystkie „procesy†wyglądały tak samo. Do wiadomości publicznej trafiły lakoniczne informacje o zdradzie, dokumenty są tajne, na sali sądowej nie było światków z zewnątrz.
26.07.2023 14:44
Fałszywe reklamy, zamieszczane na popularne hasła, w 2023 roku stały się prawdziwą plagą – podsumowują eksperci z firmy Sophos. By się naciąć, wystarczy wyszukiwać znanej aplikacji czy serwisu.
Malvertising, czyli nowe stare zagrożenie
Malvertising to technika ataku polegajÄ…ca na dystrybucji szkodliwego oprogramowania poprzez faÅ‚szywe reklamy, prowadzÄ…ce rzekomo do powszechnie znanych stron i narzÄ™dzi. Nie jest nowa, ale, jak w najnowszym raporcie dowodzÄ… badacze z firmy Sophos, wÅ‚aÅ›nie przeżywa zauważalny rozkwit.Â
Co ciekawe, przedstawiciele brytyjskiej firmy twierdzą, że powrót malvertisingu to w pewnym sensie zasługa zablokowania przez Microsoft domyślnego wykonywania makr w plikach pakietu Office, co dotąd było ulubioną techniką cyberprzestępców. W każdym razie zagrożenie jest i czyha na nieświadomych użytkowników wyszukiwarek i nie tylko.
Fałszywe reklamy w Google i nie tylko
Fałszywe reklamy pojawiają się głównie w kontekście popularnego oprogramowania, takiego jak ChatGPT czy MS Teams – zauważono. Są przy tym wyświetlane zarówno w organicznych wynikach wyszukiwania Google, jak i na stronach internetowych, co ma wynikać z przejmowania przez przestępców kont reklamowych Google Ads.
Użytkownicy zwabieni przez naciągaczy, zamiast oczekiwanych programów, instalują oprogramowanie szkodliwe, na przykład z rodzin BatLoader oraz IceID. Narzędzia te pozwalają na m.in. infekowanie systemów oprogramowaniem ransomware oraz pozyskiwania danych uwierzytelniających do bankowości internetowej.
Malvertising przynosi oszustom wiele korzyści. Cyberprzestępcy, podobnie jak prawdziwi reklamodawcy, starannie opracowują swoje kampanie tak, aby dotarły one do konkretnych użytkowników, np. przebywających w wybranym miejscu na świecie. Co więcej, tego typu kampanie mogą być również trudne do wyśledzenia i wyeliminowania przez obrońców
– tłumaczy Christopher Budd, dyrektor ds. badań nad zagrożeniami w firmie Sophos.
Niestety zdaniem specjalisty to dopiero początek chaosu. Zwłaszcza, że coraz więcej grup cyberprzestępczych oferuje swoje działania w systemie usługowym (ang. cybercrime-as-a-service) na czarnym rynku, jak dodaje Budd. W rezultacie natężenie ataków wzrasta znacznie szybciej niż liczba grup kompetentnych do ich wykonania.
Jak się przed tym chronić?
Nie będzie to nic odkrywczego, ale sprawdzone strony zawsze należy dodawać do zakładek. Nie tylko te bankowe, ale także chociażby repozytoria z oprogramowaniem. Przy czym samo oprogramowanie najlepiej jest pobierać wprost od producenta, bez gimnastyki z przeszukiwaniem każdego zakamarka internetu.
Wiadomo, że wpisanie frazy w wyszukiwarkę może być niezwykle wygodne. Jest jednak przy tym bardzo ryzykowne – a czasem warto poświęcić parę chwil, by później nie pluć sobie w brodę.
21.07.2023 15:35
Liczba cyberataków rośnie na całym świecie. Polska nadal jest pod tym względem stosunkowo bezpieczna, lecz coraz mniej. W drugim kwartale 2023 roku odnotowano drastyczny wzrost hakerów i oszustów w naszym kraju.
Z danych udostępnionych przez Check Point Research wynika, że w drugim kwartale 2023 roku nastąpił ośmioprocentowy wzrost średniej liczby ataków na świecie. Organizacje atakowane są co tydzień aż 1258 razy i jest to najwyższa wartość odnotowana przez Check Point Research ostatnich dwóch latach.
Kogo atakują cyberprzestępcy?
Wciąż głównym celem jest sektor edukacji/badań, który doświadczył średnio 2179 ataków na organizacje tygodniowo. Oznacza to jednak 6-proc. spadek w porównaniu z drugim kwartałem 2022 roku. Drugim najczęściej atakowanym był sektor rządowy/wojskowy, ze średnio 1772 atakami tygodniowo (+9 proc.), a trzecim sektor opieki zdrowotnej ze średnią 1744 ataków tygodniowo, z aż 30 proc. wzrostem w ujęciu rocznym. Największych przyrostów doświadczył sektor sprzedaży detalicznej i hurtowej oraz consultingowy – dane Check Pointa mówią w obu przypadkach o 38-proc. wzroście w porównaniu z drugim kwartałem 2022 roku.
Polska na celowniku cyberprzestępców
Hakerzy coraz częściej atakują kraje afrykańskie (+23 proc.), które doświadczają średnio 2164 ataki tygodniowo. Region Azji i Pacyficu (APAC), atakowany jest równie chętnie – 2046 ataków w tygodniu oznacza 22 proc. wzrost względem tego samego okresu 2022 roku. Najmniej ataków obserwowanych jest w Ameryce Północnej, średnio 1011 (+18 proc.).
Europa w drugim kwartale roku doświadczyła 1013 ataków (+5 proc.) Więcej ataków niż wynosi średnia europejska odnotowano w Polsce - 1108. Zatrważający jest jednak przyrost ataków na polskie organizacje, który wynosi aż 33%. Szczególnie niepokojącym faktem jest rosnące znaczenie ataków ransomware na Polskie organizacje. W 2022 roku przeciętny okup za odszyfrowanie danych kosztował polskie przedsiębiorstwa średnio 670 tys. zł. W skrajnych przypadkach straty przedsiębiorstw szacowane były nawet na blisko 30 mln złotych.
Â
Â
11.07.2023 16:16
Oczywiście nie chodzi o aktualizacje wydane przez Microsoft. Istnieje jednak wirus, który udaje aktualizację.
Chodzi o Big Head. To zagrożenie typu ransomware (żądające okupu za Twoje dane), podszywające się pod aktualizacje systemu Windows lub instalator edytora tekstu Word. Można na niego trafić na przykład za pośrednictwem fałszywej reklamy z informacją o dostępnej aktualizacji.
Big Head został pierwszy raz udokumentowany w czerwcu 2023 roku i specjaliści od razu opisali kilka wariantów zagrożenia. Szkodliwy program szyfruje dane na zainfekowanym komputerze i domaga się wpłaty w kryptowalucie w zamian za ich przywrócenie. Zakres jego działania jest jednak szerszy.
Big Head szyfruje, kradnie i oszukuje
Wtedy też pierwszy raz pojawiła się wzmianka o fałszywej aktualizacji Windowsa. Szkodliwy program po uruchomieniu wyświetlał nawet komunikaty podobne do tych, jakie prezentują prawdziwe aktualizacje oraz postęp w procentach. Wszystko po to, by użytkownik nie denerwował się, gdy na jego komputerze coś trwa dłuższy czas. Dzięki temu ransomware jest w stanie spokojnie zaszyfrować sporo danych. Ten sam raport mów też o podrobionym instalatorze Worda.
Najwięcej próbek zagrożenia Big Head zostało zebranych we Francji, Hiszpanii, Turcji i Stanach Zjednoczonych.
Malware został przeanalizowany przez specjalistów z Trend Micro. Szkodliwy program został napisany z użyciem frameworka .NET i uruchamia trzy zaszyfrowane programy:
- 1.exe odpowiada za rozprowadzanie szkodliwego programu dalej,
- archive.exe wbrew pozorom odpowiada za komunikacjÄ™ przez Telegram,
- Xarch.exe zaś wyświetla fałszywe okienko aktualizacji systemu i szyfruje dane.
Â
Widać, że żądający okupu uczą się na błędach. Big Head nie tylko skutecznie szyfruje dane, ale też utrudnia ich odtworzenie bez płacenia. Ransomware jest bowiem w stanie kasować kopie zapasowe plików, jeśli tylko je znajdzie. Część danych może też wysłać do atakujących, korzystając z otwartoźródłowego modułu WorldWind Stealer. Cyberprzestępcy polują na historię przeglądarki, klucze produktu, zapamiętane sieci, listę plików i listę uruchomionych procesów.
Znaleziono też wariant wyposażony w injector Neshta, zdolny infekować pliki obecne już na komputerze. Specjaliści zaznaczają, że może to być kamuflarz. W ten sposób antywirus zajmie się najpierw injectorem, a ransomware zyska na czasie.
Ponadto Big Head kończy pracę różnych procesów i wyłącza dostęp do Menedżera zadań, by nie było możliwe zakończenie jego procesu ręcznie – to na wypadek, gdyby użytkownik jednak się zorientował, co się dzieje z jego danymi. Ransomware sprawdza również, czy działa w maszynie wirtualnej i jeśli tak, nie uruchamia pełnego arsenału, a nawet może sam się usunąć.
Wisienką na torcie jest to, że pewne osoby są wykluczone z listy celów. Ransomware nie uruchomi się na systemach pracujących w języku rosyjskim, białoruskim, ukraińskim, kazachskim, armeńskim, uzbeckim, tatarskim i kirgiskim. To może sugerować jego pochodzenie, zwłaszcza w połączeniu z komunikacją przez Telegram, ale nie musi. Eksperci z Trend Micro podejrzewają, że zagrożenie pochodzi z Indonezji.
07.07.2023 8:42