Wiadomości z tagiem Ransomware  RSS
Rosjanie zaatakowali. Celem polski sektor medyczny

31.01.2023 12:08


Rosjanie zaatakowali. Celem polskie instytucje medyczne
KillNet, prorosyjska grupa hakerska, przyznała się do przeprowadzenia serii ataków na strony internetowe instytucji medycznych wspierających Ukrainę. Ofiarami były też polskie witryny, między innymi Ministerstwa Zdrowia czy portal Medycyna Praktyczna.
Hakerzy z KillNetu przeprowadzili kolejne ataki typu DDoS, czyli ukierunkowane działania wymierzone w witryny internetowe oraz serwery w celu zakłócenia ruchu sieciowego. Na opublikowanej liście stron, które doświadczyły ataku, jest siedem polskich witryn, między innymi stron Ministerstwa Zdrowia, Politechniki Bydgoskiej czy portalu Medycyna Praktyczna (mp.pl), a także stron przeznaczonych dla obywateli Ukrainy. Obecnie (wtorek, 31.01.2023) większość z nich funkcjonuje poprawnie.

KillNet zaatakowane strony
Ataki na szpitale czy instytucje opieki zdrowotnej mogą być szczególnie niebezpieczne dla stabilności życia społecznego. W zeszłym roku byliśmy świadkami poważnych przestojów branży IT w wyniku ataku ransomware w łańcuchu dostaw. Ponieważ coraz więcej usług jest dostarczanych online, zakłócenia spowodowane atakami DDoS ataki mogą być wyjątkowo szkodliwe, potencjalnie wpływając na opiekę zdrowotną – np. planowanie wizyt czy telekonsultacje.

– skomentował Wojciech Głażewski, Check Point Software
Siedem polskich stron to jedynie niewielki wycinek całej kampanii KillNetu. Grupa przeprowadziła ataki między innymi na strony w USA, Wielkiej Brytanii, Portugalii, Hiszpanii czy Norwegii.
Ostatnia kampania Killnetu miała na celu spowodowanie zakłóceń w funkcjonowaniu witryn internetowych, a nie kradzieży danych. Nie powinniśmy jednak lekceważyć tych zagrożeń. To ostrzeżenie, że musimy nadać priorytet solidnym środkom bezpieczeństwa w krytycznych usługach, aby zapobiec dalszym naruszeniom.

– dodał Wojciech Głażewski
 
 

Źródło: www.telepolis.pl

Znajdziesz taki pendrive? Lepiej go nawet nie dotykaj

27.01.2023 20:34


Pendrive strachu. Podłączysz do komputera i pozamiatane
Jest nowy wariant złośliwego oprogramowania PlugX. Malware może się rozprzestrzeniać za pośrednictwem przenośnych urządzeń USB, na przykład pendrive'ów.Badacze zajmujący się cyberbezpieczeństwem odkryli próbkę PlugX, która wykorzystuje podstępne metody infekowania podłączonych do komputera urządzeń USB (pendrive, przenośny dysk itp.) w celu rozprzestrzeniania złośliwego oprogramowania.
Ten wariant PlugX jest robakiem i infekuje urządzenia USB w taki sposób, że ukrywa się przed systemem plików systemu operacyjnego Windows. Użytkownik nie wiedziałby, że jego urządzenie USB jest zainfekowane lub prawdopodobnie używane do eksfiltracji danych z ich sieci.

– powiedzieli Mike Harbison i Jen Miller-Osborn, badacze Palo Alto Networks Unit 42
Wyspecjalizowana w cyberbezpieczeństwie firma poinformowała, że odkryła artefakt podczas reagowania na incydent po ataku ransomware Black Basta na jedną z ofiar. Wśród innych narzędzi wykrytych w zainfekowanym środowisku znalazł się program ładujący złośliwe oprogramowanie Gootkit oraz framework Brute Ratel C4. Wykorzystanie Brute Ratel przez grupę Black Basta zostało wcześniej opisane przez Trend Micro, służąc między innymi do ataku przeciw firmie energetycznej w USA.
 
Wariant USB PlugX wyróżnia się tym, że używa określonego znaku Unicode, zwanego spacją nierozdzielającą (U + 00A0) do ukrywania plików w urządzeniu USB, podłączonym do stacji roboczej.
Znak białej spacji uniemożliwia systemowi operacyjnemu Windows renderowanie nazwy katalogu, ukrywając ją, zamiast pozostawiać bezimienny folder w Eksploratorze.

– stwierdzili badacze
Ostatecznie skrót systemu Windows (. LNK) utworzony w folderze głównym dysku flash służy do uruchamiania złośliwego oprogramowania z ukrytego katalogu. Próbka PlugX ma za zadanie nie tylko wszczepić złośliwe oprogramowanie na hoście, ale także skopiować je na dowolne urządzenie wymienne, które może być do niego podłączone, poprzez zakamuflowanie go w folderze kosza.
brak infekcji vs infekcja
Z kolei plik skrótu ma taką samą nazwę jak urządzenie USB i pojawia się z ikoną dysku. Istniejące pliki lub katalogi w katalogu głównym urządzenia wymiennego są przenoszone do ukrytego folderu utworzonego w folderze „skrótu” .
Za każdym razem, gdy kliknięty zostanie plik skrótu z zainfekowanego urządzenia USB, złośliwe oprogramowanie PlugX uruchamia Eksploratora Windows i przekazuje ścieżkę do katalogu jako parametr. To następnie wyświetla pliki na urządzeniu USB z ukrytych katalogów, a także infekuje hosta złośliwym oprogramowaniem PlugX.

– dodali eksperci z Unit 42
W ataku wykorzystywany jest fakt, że Eksplorator plików systemu Windows domyślnie nie pokazuje ukrytych elementów. Problem polega też na tym, że złośliwe pliki w tak zwanym koszu nie są wyświetlane, gdy pokazywanie ukrytych plików jest włączone. Oznacza to, że złośliwe pliki można przeglądać tylko w systemie operacyjnym podobnym do systemu Unix, takim jak Ubuntu, lub przez zamontowanie urządzenia USB w specjalistycznym narzędziu.
Gdy urządzenie USB zostanie wykryte i zainfekowane, wszelkie nowe pliki zapisane w folderze głównym urządzenia USB po infekcji są przenoszone do ukrytego folderu na urządzeniu USB. Ponieważ plik skrótu systemu Windows przypomina plik urządzenia USB, a złośliwe oprogramowanie wyświetla pliki ofiary, nieświadomie kontynuują rozprzestrzenianie złośliwego oprogramowania PlugX.

– powiedzieli badacze
Unit 42 poinformował, że wykrył również drugi wariant PlugX, który oprócz infekowania urządzeń USB dodatkowo kopiuje wszystkie pliki Adobe PDF i Microsoft Word z hosta do innego ukrytego folderu na urządzeniu USB, utworzonego przez złośliwe oprogramowanie.
Dzięki najnowszemu odkryciu, PlugX dołącza do innych rodzin złośliwego oprogramowania, takich jak ANDROMEDA czy Raspberry Robin, które mają możliwość rozprzestrzeniania się za pośrednictwem zainfekowanych dysków USB.
Odkrycie tych próbek wskazuje, że PlugX wciąż żyje i ma się dobrze przynajmniej wśród niektórych technicznie wykwalifikowanych atakujących i pozostaje aktywnym zagrożeniem.

– podsumowali eksperci
W tym miejscu warto przypomnieć, że pod koniec ubiegłego roku badacze z grupy Mandiant, należącej do Google, również przestrzegali przed atakami wykorzystującymi zainfekowane pamięci USB. Przy czym nie wykluczono wówczas scenariusza, w którym szkodliwe pendrive'y są celowo rozrzucane na terenie urzędów czy firm, tak, by następnie zostały podłączone do znajdującego się w sieci wewnętrznej komputera przez jakiegoś ciekawskiego pracownika.
Krótko mówiąc, mając na uwadze kolejne ostrzeżenia, redakcja przypadkowo znalezionych pamięci USB używać nie radzi. Chyba że potrafisz zrobić to w bezpiecznym, izolowanym środowisku.
 
 

Źródło: www.telepolis.pl

USA ogłaszają, że zhakowały hakerów ze znanego gangu ransomware

27.01.2023 15:46

Przestępcy stojący za gangiem Hive to jedna z najaktywniejszych grup ransomware na świecie. Organy ścigania z USA we współpracy z europejskimi odpowiednikami ogłaszają przejęcie krytycznej infrastruktury przestępców, co pozwoliło pomóc ofiarom.

Źródło: www.benchmark.pl

Netia wprowadza kompleksową ochronę Internetu dla firm

20.01.2023 13:25


Netia wprowadza kompleksową ochronę Internetu dla firm
Netia rozszerzyła ofertę rozwiązań cyberbezpieczeństwa dla średnich firm o rozwiązanie Netia Cloud Firewall. Ma ono kompleksowo zabezpieczyć sieć LAN klienta podłączoną do Internetu poprzez symetryczny Biznesowy Dostęp do Internetu (BDI) operatora. 
Netia Cloud Firewall to kolejne rozwiązanie z linii zaawansowanych rozwiązań ICT NetiaNext. W uproszczeniu, jest to chmurowy, predefiniowany, odpowiednik rozwiązania Netia Managed UTM (ang. Unified Threat Management). 
Realizacja usługi Netia Cloud Firewall polega na przekierowaniu całego ruchu IP użytkownika usługi Netia BDI (dostępna dla łączy symetrycznych o prędkości do 300 Mb/s) w taki sposób, aby komunikacja, zarówno wychodząca, jak i przychodząca do użytkownika, mogła podlegać ochronie poprzez mechanizmy Next Generation Firewall. Firewall jest centralnie umiejscowiony w chmurze Netii i współdzielony przez wielu użytkowników, jednak z zachowaniem odrębności adresacji IP każdego z użytkowników BDI.
Firmy, które zdecydują się na korzystanie z rozwiązania Netia Cloud Firewall otrzymują kompleksową ochronę przed typowymi cyberzagrożeniami. Jednocześnie Netia przejmuje opiekę nad cyberbezpieczeństwem firmy, co pozwala na ograniczenie kosztów działania w tym zakresie. W wariancie standardowym klient może ustanawiać jednolitą politykę bezpieczeństwa, np. blokowanie dostępu do określonych serwisów, natomiast w wariancie Advanced, można zarządzać politykami na poziomie pojedynczych urządzeń.

– powiedział Mariusz Nowak, Kierownik ds. Rozwoju ICT w Netii
Rozwiązanie Netia Cloud Firewall obejmuje:

  • Anty-malware / Anty-wirus (m.in. blokowanie złośliwego oprogramowania typu ransomware),
  • ochronę przed intruzami (blokowanie prób włamań do sieci LAN),
  • blokowanie ruchu botnet (pomiędzy zainfekowanymi urządzeniami oraz C&C),
  • filtrowanie/blokowanie ruchu przychodzącego na podstawie geolokalizacji adresu źródłowego lub docelowego,
  • filtrowanie/blokowanie dostępu do określonych stron internetowych / wybranych zapytań DNS),
  • kontrolę aplikacji i dostępu do nich,
  • cykliczne raporty obrazujące skalę cyberataków i podjętych działań obronnych.

W wariancie Advanced są to również:
  • Cloud sandboxing (analiza plików w  chmurze producenta pod kątem występowania w nich złośliwego oprogramowania),
  • szczegółowe cykliczne raporty i możliwość kreowania polityk bezpieczeństwa na poziomie wybranych urządzeń.

Więcej informacji o Netia Cloud Firewall można znaleźć .
 
 

Źródło: www.telepolis.pl

Użytkownicy Windows i Androida zagrożeni jak nigdy. Rok 2023 będzie ciężki

19.01.2023 14:48



Qbot, Emotet, XMRig, Hiddad, AlienBot, AgentTesla – te nazwy większości z użytkowników komputerów i smartfonów mogą nic nie mówić. A jest się czego obawiać. To złośliwe oprogramowanie, które było bardzo aktywne w minionym roku i będzie nam zagrażać w 2023.
Podatność smartfonów z Androidem na ataki malware to wciąż słaba strona systemu Google’a. Zagrożenie staje się coraz większe wraz z rosnącą liczbą cyfrowych usług, z których korzystamy, w tym z płatności mobilnych. Nie zmniejsza się też aktywność tradycyjnych trojanów dla systemu Windows. Miniony rok i 2023 nie zapowiadają się pod tym względem lepiej.

Emotet atakuje Polaków


Eksperci Check Point Research podsumowali stan aktywności malware w 2022 roku. Najczęściej wykrywanym zagrożeniem na świecie był wyrafinowany trojan bankowy Qbot, atakujący komputery z systemem Windows, a w Polsce tę pozycję zajmuje wciąż Emotet, uznawany za najbardziej udany botnet w historii. Użytkownicy smartfonów z Androidem muszą z kolei bronić się przed Anubisem oraz powracającym Hiddadem.
Analitycy bezpieczeństwa cybernetycznego z Check Point Research wskazali dane dotyczące krajobrazu zagrożeń cybernetycznych w grudniu 2022 roku. Najczęściej wykrywanym malwarem na świecie jest obecnie Qbot, który wykryty został w przeszło 7 proc. sieci firmowych. Za jego plecami uplasował się Emotet (4,4 proc.) oraz XMRig (3,25 proc.).
  • Qbot znany też jako Qakbot to trojan bankowy działający w środowisku Windows, który po raz pierwszy pojawił się w 2008 roku. Został zaprojektowany w celu kradzieży bankowych danych uwierzytelniających i naciśnięć klawiszy użytkownika. Często dystrybuowany za pośrednictwem spamu, Qbot wykorzystuje kilka technik anty-VM, anty-debugowania i anty-piaskownicy, aby utrudnić analizę i uniknąć wykrycia.
  • Emotet to zaawansowany, samorozprzestrzeniający się i modułowy trojan. Emotet był kiedyś wykorzystywany jako trojan bankowy, a ostatnio jako dystrybutor innego złośliwego oprogramowania lub złośliwych kampanii. Wykorzystuje wiele metod utrzymywania trwałości i unikania, aby uniknąć wykrycia. Ponadto może być rozprzestrzeniany za pośrednictwem spamowych wiadomości e-mail typu phishing zawierających złośliwe załączniki lub łącza.
  • XMRig to oprogramowanie typu open source do eksploracji procesora używane do wydobywania kryptowaluty Monero. Przestępcy często wykorzystują to oprogramowanie typu open source, integrując je ze swoim szkodliwym oprogramowaniem w celu nielegalnego wydobywania danych na urządzeniach ofiar.

W Polsce numerem jeden wciąż pozostaje Emotet, wpływający na 3,1 proc. polskich firm. Drugie miejsce należy do XMRig (2,2 proc), natomiast podium szkodliwych programów zajmuje RAT AgentTesla (1,67 proc.) z funkcją keyloggera i złodzieja haseł.

Masz Androida? Lepiej się pilnuj...


Użytkownicy urządzeń mobilnych z  Androidem również mają wiele powodów do niepokoju. W grudniu Hiddad, po raz pierwszy w całym roku, znalazł się na liście trzech największych mobilnych złośliwych programów. Hiddad to złośliwe oprogramowanie rozpowszechniające reklamy, atakujące urządzenia z systemem Android. Przepakowuje legalne aplikacje, a następnie udostępnia je zewnętrznemu sklepowi. Jego główną funkcją jest wyświetlanie reklam, ale może również uzyskać dostęp do kluczowych szczegółów bezpieczeństwa wbudowanych w system operacyjny.
Popularniejszym od Hiddada jest obecnie tylko Anubis, trojan bankowy, który w ostatnim czasie zyskał dodatkowe funkcje trojana zdalnego dostępu (RAT), keyloggera i możliwości nagrywania dźwięku, a także różne funkcje ransomware. Trzecim najpowszechniejszym zagrożeniem mobilnym jest AlienBot, kolejny trojan bankowy zaprojektowany, by atakować urządzenia z Androidem.
Analitycy z  Check Point zwracają uwagę, że złośliwe oprogramowanie coraz częściej udaje legalne oprogramowanie, co daje hakerom dostęp do urządzeń za sprawą backdoorów, bez wzbudzania jakichkolwiek podejrzeń. Zalecają, by zachować należytą staranność podczas pobierania oprogramowania i aplikacji lub klikania linków, niezależnie od tego, jak autentyczne wyglądają.
 
 

Źródło: www.telepolis.pl

Pół miliona paczek utknęło w urzędach. Winni hakerzy z Rosji?

12.01.2023 20:42


Za cyberatakiem typu ransomware przeprowadzonym na brytyjską pocztę, w efekcie którego nie może ona wysyłać listów i paczek za granicę, stoi gang hakerski wiązany z Rosją - ujawnił dziennik "Daily Telegraph".

Źródło: www.rmf24.pl

Royal Mail ofiarą hakerów. Tropy prowadzą do Rosji

12.01.2023 20:28


Za cyberatakiem typu ransomware przeprowadzonym na brytyjską pocztę, w efekcie którego nie może ona wysyłać listów i paczek za granicę, stoi gang hakerski wiązany z Rosją - ujawnił w czwartek dziennik "Daily Telegraph".

Źródło: www.bankier.pl

Bitdefender wykrył w październiku 189 odmian ransomware\'u

15.12.2022 22:06

Bitdefender na podstawie badań telemetrycznych przeprowadzonych w październiku opublikował listę najczęściej występujących cyberzagrożeń, w tym między innymi różnych odmian złośliwego oprogramowania ransomware.

Źródło: di.com.pl

PLAY w formie. Szantażuje Mazowsze i… Antwerpię

13.12.2022 14:57


PLAY w formie. Szantażuje Mazowsze i… Antwerpię
Grupa ransomeware Play grozi ujawnieniem 557 GB danych z Antwerpii w Belgii. Prawdopodobnie ci sami hakerzy odpowiadają za atak na Urząd Marszałkowski Województwa Mazowieckiego, do którego doszło 5 grudnia tego roku.

Hakerzy grożą ujawnieniem danych


W ostatnią niedzielę na darkwebowej stronie grupy ransomware Play pojawiła się informacja, że hakerzy zdobyli 557 GB danych z belgijskiego miasta Antwerpia, w tym dotyczących paszportów i dowodów osobistych. Przestępcy grożą, że ujawnią te dane w najbliższy poniedziałek, 19 grudnia 2022 roku. Nie jest jasne, czy grupa Play skontaktowała się z władzami miejskimi Antwerpii z żądaniem okupu, jak to się zazwyczaj zdarza w takich przypadkach.
Play Antwerpia dane
Do ataku na miasto Antwerpia doszło w ubiegłym tygodniu, co potwierdził rzecznik tamtejszego urzędu miejskiego. Z jego słów wynika, że oprogramowanie ransomware zostało znalezione w kilku systemach. Z powodu ataku mieszkańcy belgijskiego miasta nie mogą ubiegać się o pozwolenia na parkowanie czy wydanie dokumentu tożsamości. Z kolei pracownicy miejscy musieli wrócić do pracy z papierem i piórem, zamiast komputera.

Atak na Urząd Marszałkowski Województwa Mazowieckiego


Wiele wskazuje na to, że ta sama grupa hakerów zaatakowała wcześniej Urząd Marszałkowski Województwa Mazowieckiego. Atak został stwierdzony 5 grudnia 2022 roku, o czym poinformował serwis  po rozmowie z Martą Milewską, rzecznikiem Urzędu. Pani rzecznik powiedziała, że był to atak ransomware, w wyniku którego zostały zaszyfrowane zasoby EZD, czyli Elektronicznego Zarządzania Dokumentami.
Po ataku wyłączona została infrastruktura Węzła Regionalnego, natomiast do 333 jednostek samorządu terytorialnego wysłano informację o incydencie z prośbą o odizolowanie infrastruktury projektowej od sieci poprzez fizyczne wyłączenie urządzeń UTM. Jak możemy przeczytać w komunikacie na stronie Urzędu Marszałkowskiego Województwa Mazowieckiego:
Incydent został stwierdzony 5 grudnia 2022 r. i polegał na ataku złośliwego oprogramowania szyfrującego pliki <(strong>Ransomware). Zgodnie z posiadanymi informacjami istnieje duże prawdopodobieństwo, że dane przetwarzane w systemach objętych incydentem są w posiadaniu osób trzecich. Trwają działania mające na celu ustalenie pozostałych okoliczności zdarzenia.
Co ważne jednak, atak nie ma wpływu na funkcjonowanie samego UMWM. Może mieć jednak wpływ na funkcjonowanie jednostek samorządu terytorialnego, które korzystają z systemów informatycznych, dostarczanych w ramach projektów.
UMWM realizuje ponadto czynności mające na celu przywrócenie funkcjonowania systemów w ww. projektach oraz zapewnia, że podejmie niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.
O zdarzeniu poinformowano Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK, Prezesa Urzędu Ochrony Danych Osobowych oraz złożono zawiadomienie o popełnieniu przestępstwa.
 
 

Źródło: www.telepolis.pl

Medibank nie zapłacił okupu, hakerzy ujawniają dane [Świat]

02.12.2022 7:35

Medibank, największy australijski ubezpieczyciel zdrowotny, który padł ofiarą ataku ransomware, poinformował, że hakerzy ujawnili kolejne (...)

Źródło: DziennikUbezpieczeniowy.pl

reklama
player+
Kontakt z nami