A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek. A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva. “A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég. “A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában. 2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették. A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel. Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra. A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók. “Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.” A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN. “Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.” Iránból indult pusztító kibertámadások sújtották az izraeli technológiai és oktatási szektort” Az izraeli felsőoktatási és technológiai szektorok egy sor pusztító kibertámadás célpontjaivá váltak, amelyek 2023 januárjában kezdődtek, céljuk pedig az volt, hogy eddig ismeretlen törlő vírusokat telepítsenek. Az októberben felfedezett behatolások egy iráni állami hackercsoport művei, amelyet Agonizing Serpensként azonosítottak; ismert még Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven is.
“A támadások fő jellemzője a személyazonosító információk (PII) és szellemi tulajdonok ellopásának kísérlete volt,” közölte a Palo Alto Networks Unit 42 egy friss, a The Hacker News-szal megosztott jelentésében. “A támadók az információk megszerzése után többféle törlő szoftvert telepítettek annak érdekében, hogy eltüntessék a nyomokat és használhatatlanná tegyék a fertőzött végpontokat.”
Ezek közé tartozik három különböző, újszerű törlő program: a MultiLayer, a PartialWasher és a BFG Agonizer, valamint a Sqlextractor nevű egyedi eszköz, amelyet adatbázis-szerverek adatainak kinyerésére fejlesztettek. Az 2020 decemberében aktív Agonizing Serpens csoportot izraeli célpontok elleni törlő vírusokkal végrehajtott támadásokkal hozták kapcsolatba. Májusban a Check Point részletezte, hogy a támadók a Moneybird nevű zsarolóvírust használták az ország elleni támadásaik során. A legfrissebb támadássorozat során a hackerek az internetre kapcsolt sebezhető webszervereket használták fel az elsődleges hozzáférési pontként, webhéjak telepítésére, a célhálózat feltérképezésére és olyan felhasználók hitelesítő adatainak megszerzésére, akik rendszergazdai jogosultságokkal bírtak. Ezt követően oldalirányú mozgást végezve exfiltrálták az adatokat különféle nyilvános és egyedi eszközökkel, mint például a Sqlextractor, a WinSCP és a PuTTY segítségével, majd telepítették a törlő vírusokat. A MultiLayer egy .NET alapú vírus, amely fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, így nehezítve meg a helyreállítást, és a rendszerindító szektor törlésével használhatatlanná teszi a rendszert. A PartialWasher egy C++ alapú vírus, amely merevlemezeket vizsgál és bizonyos mappákat, valamint azok almappáit törli. A BFG Agonizer egy olyan vírus, amely egy CRYLINE-v5.0 nevű nyílt forráskódú projektre támaszkodik. Az Agrius és további kártevőcsaládok közötti kód átfedések arra utalnak, hogy a csoport az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is alkalmazta korábban.
“Úgy tűnik, az Agonizing Serpens APT csoport nemrég fokozta képességeit és jelentős erőfeszítéseket, illetve forrásokat fordított az EDR és egyéb biztonsági intézkedések kijátszására,” állítják a Unit 42 kutatói. “E célból váltakozva használtak különböző, jól ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű eszközöket.”
Forrás: www.thehackernews.com Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

 

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat. Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott. A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is. Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben. Forrás: telex.hu A WinRAR-nak nincs automatikus frissítési funkciója, amely különösen kedvez a látszólag állami támogatású hackereknek, mert egy ismert hibát tudnak kihasználni ebben a népszerű programban. Sok felhasználó nem telepíti a szükséges javításokat, ami a program egy konkrét sérülékenységének terjedéséhez vezet – állapította meg a Google. A vállalat most figyelmezteti a felhasználókat, hogy “számos állami támogatású hackercsoport” ezt a CVE-2023-3883 kódnevű hibát használja malware terjesztésre. “A WinRAR hibájának széles körű kihasználása rámutat arra, hogy még akkor is gyakran érik támadások az ismert sebezhetőségeket, ha létezik rá javítás” – írja a Google blogbejegyzésében. Habár a WinRAR a hibát már javította augusztus 2-án a 6.23-as verziójában, a hackerek április óta kihasználják. Mivel nincs automatikus frissítési lehetőség, a felhasználóknak maguknak kell letölteniük és telepíteniük a frissítéseket a WinRAR weboldaláról. “A javítás elérhető, de még sok felhasználó marad sebezhető” – hangsúlyozza a Google. A vállalat rávilágított, hogy több állami támogatású hackercsoport, köztük az orosz “Sandworm”, kihasználja a hibát. A Google egy olyan phishing e-mailt is azonosított, amely úgy tűnt, mintha egy ukrán drónháborús képző iskolától érkezett volna, és kifejezetten ukrán felhasználókat célozott meg. Az e-mail egy linket tartalmazott a fex[.]net nevű fájlmegosztóhoz, melyben egy álcázott PDF dokumentum és egy rosszindulatú ZIP fájl volt, amely a CVE-2023-3883 hibát használta ki – tette hozzá a Google. Egy dokumentum megnyitása a ZIP fájlon belül egy “infostealer” nevű kártevőt aktivál, amely képes ellopni a bejelentkezési adatokat. Egy másik esetben egy “Fancy Bear” nevű orosz hackercsoport phishing oldalt hozott létre, hogy rávegye az ukrán felhasználókat egy ZIP fájl letöltésére, ami szintén a WinRAR hibát használja ki. “Az álcázott dokumentum egy meghívó volt a Razumkov Központ eseményére, egy közpolitikai gondolkodó műhelyből Ukrajnában” – említi a Google. Kínai hackerek is élték a hibával. Egy APT40 nevű csoport indított egy phishing támadást Pápua Új-Guinea felhasználói ellen. “Az e-mailekben egy Dropbox link volt egy ZIP archívumhoz, mely a CVE-2023-3883 kihasználást, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmazott” – tájékoztat a Google. Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat. “Ezek a támadások, melyek a WinRAR hibáját célozzák meg, rámutatnak a frissítések jelentőségére és arra, hogy még sok a teendő a felhasználók számára, hogy szoftvereiket naprakészen és biztonságosan tartsák” – állítja. Megkerestük a WinRAR-t annak érdekében, hogy kiderítsük, terveznek-e automatikus frissítési funkciót bevezetni, és frissíteni fogjuk a cikket, ha választ kapunk. Addig is érdemes megemlíteni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.   Norvégia betiltaná a Facebook viselkedésalapú reklámozását Európában Mielőtt a Meta belekezdhetett volna a felhasználók engedélyének kérésébe, Norvégia az Európai Adatvédelmi Testülethez (EDPB) fordult azzal a javaslattal, hogy tiltsák be a Meta felhasználói adatok gyűjtését a Facebookon és az Instagramon reklámozás céljából. A cél az, hogy ez a tilalom egész Európában érvényesüljön. A skandináv ország Adatvédelmi Hatósága, a Datatilsynet, eddig megakadályozta a Facebook anyavállalatát, a Metát az állampolgáraik adatainak gyűjtésében, fenyegetve őket napi egymillió koronás (körülbelül 94 000 dollár) bírsággal, amennyiben nem tesznek eleget a követelményeknek. Augusztusban közölték, hogy a Meta nem működik együtt, ezért napi bírságokat róttak ki rájuk. A korlátozást, amelyet júliusban vezettek be és mely büntetést eredményezett, november 3-án vonják vissza. Ebből ered Norvégia “kötelező döntés” iránti kérésének indoka. A júliusi korlátozást az Európai Unió Bíróságának az azt megelőző hónapban hozott ítélete alapján vezették be. Ebben az ítéletben kifejtették, hogy a Meta adatfeldolgozási tevékenysége során védett adatokat is gyűjtött, amikor viselkedésalapú hirdetéseket készített. Bár Norvégia nem EU-tag, az európai egységes piacnak részese. Az EU legfelsőbb bíróságának, a CJEU-nak a feladata az európai szerződéseknek megfelelő jogalkalmazás és értelmezés biztosítása, beleértve a Norvégiára vonatkozó rendelkezéseket, valamint az EU által elfogadott jogszabályok egységes alkalmazásának garantálása. A Datatilsynet szerint az amerikai cég által végzett adatfeldolgozás a GDPR-ral ellentétes. A Meta korábban azt állította, hogy rendelkeznek a felhasználók hozzájárulásával a célzott hirdetésekhez, mivel a felhasználók elfogadták az ÁSZF-et regisztráláskor. Azonban a CJEU ezt az érvet elutasította. Ezen a héten a Datatilsynet így nyilatkozott: „Úgy gondoljuk, hogy ideiglenes tilalmunkat állandóvá kellene tenni. Emellett úgy véljük, hogy a GDPR-t egységesen kell értelmezni az EU/EGT területén, és kérjük, hogy a tilalom az egész kontinensen legyen érvényes.” A Meta vitatja az ügyet és az EDPB-hez való benyújtását. A Datatilsynet szerint a vállalat többek között úgy véli, hogy a norvég DPA döntése érvénytelen és nincs jogalapja egy kötelező döntés kérésére az EDPB-től. A Meta már évek óta szembenéz GDPR-rel kapcsolatos perekkel Európában és az Egyesült Királyságban. Múlt hónapban bejelentették, hogy kifejezett hozzájárulást kérnek az EU, az EGT és Svájc polgáraitól, mielőtt adataikat személyre szabott hirdetésekhez használnák. A Facebook anyavállalatának szóvivője elmondta, hogy “meglepetten” értesült a norvég hatóság intézkedéseiről, tekintettel arra, hogy a Meta már elköteleződött az EU/EGT területén történő reklámozás jogalapjának módosítása mellett. Hozzátette: “Folyamatosan egyeztetünk a releváns adatvédelmi hatóságokkal az Írországi Adatvédelmi Bizottság révén, és hamarosan további információkat közlünk.” Az Egyesült Királyság hiányzik a listáról, ahol a Meta a “hozzájárulás” alapján működik, annak ellenére, hogy az előírások nagyjából megegyeznek az UK GDPR-rel. A brit kormány éppen azon dolgozik, hogy helyettesítse az EU jogszabályt – mely még mindig az Egyesült Királyság jogrendjének része az Adatvédelmi Törvény alapján – az Adatvédelmi és Digitális Információ törvényével. A norvég Datatilsynet szóvivője elmondta, hogy sürgősen várnak a Meta által ígért módosításokra, de egyelőre nem kaptak részletes tájékoztatást ezekről a változtatásokról. Forrás: www.theregister.com

Mit jelent valójában a “valós idejű” az adatelemzésben?

A valós idejű adatelemzés rejtélyének megfejtése: Az értelmezések, kategóriák és stratégiák megértése az adatvezérelt kor rejtett értékeinek feltárásához. Vajon egy elemzési válasz, mely 300 ezredmásodpercen belül érkezik az előző napon generált adatokra, valós idejűnek számít-e? A mai gyorsan változó digitális világban a valós idejű adatelemzés fogalma egyre elterjedtebb és elengedhetetlen az üzleti siker érdekében. Viszont sok a félreértés a “valós idejű” kifejezés valódi jelentését illetően. A valós idejű adatelemzésről szóló beszélgetések során az értelmezések megértése létfontosságú annak érdekében, hogy kiaknázzuk a valós idejű elemzés adta lehetőségeket az adatvezérelt korban. Javaslatom a következő: szükség van a teljes körű valós idejű adatelemzés és az előkészített adatok gyors válaszreakciójának elkülönítésére. A válaszlatencia az az idő, amely alatt egy rendszer feldolgozza a kérést vagy lekérdezést, és válaszol rá. A teljes körű valós idejű adatelemzés adataink generálásától az elemzésig tartó időt foglalja magában, amely az adatok szállítására, transzformálására és előkészítésére is kiterjed.

Alacsony késleltetésű valós idejű adatelemzés

Ez a kategória a válaszlatenciát az alábbiak szerint határozza meg:

Teljes körű valós idejű adatelemzés

Ez a kategória az adatok forrásból történő feldolgozását foglalja magában, nem csak egy már előkészített adatra adott választ: Forrás: insidebigdata.com

5 adatbiztonsági trend, amire 2023-ban és utána figyelünk

Ahogy a technológia folyamatosan fejlődik, úgy nőnek az adatbiztonsági fenyegetések is. 2023-ban a szervezeteknek előre aktívan meg kell védeniük érzékeny adataikat és navigálniuk kell a növekvő kiberbiztonsági kockázatok között. Mint vezető ITAD-szolgáltató, az adatbiztonság a legfőbb prioritásunk. Öt trendet tekintünk át az adatbiztonság terén 2023-ra, amelyek túlmennek az alapvető szoftverfrissítéseken, az elavult rendszerek naplemente előtti leállításán és a hardverek frissítésén.

Mesterséges Intelligencia és Gépi Tanulás

A fejlett mesterséges intelligencia (AI) és gépi tanulási algoritmusok képesek a kiberbiztonság javítására a gyanús viselkedések és minták észlelésével, valamint potenciális kockázatok előrejelzésével. A prediktív technológiák alkalmazásával az AI megtanulja felismerni a viselkedéseket, hogy eldöntse, jelentenek-e fenyegetést, és megtévő lépéseket vagy értesíti az érintett feleket.

Biometrikus Azonosítás Növekvő Használata

A biometrikus azonosítási módszerek, mint az arcfelismerés és az ujjlenyomat-szkennelés, egyre népszerűbbek az emberek azonosításához hardveres és szoftveres bejelentkezéskor. A biometriák magasabb biztonsági szintet kínálnak a hagyományos jelszavaknál, amelyeket könnyen ki lehet találni vagy el lehet lopni. A biometrikus módszerek a felhasználók számára is kényelmesebbek, így nem kell emlékezniük bonyolult jelszavakra vagy foglalkozniuk a kétfaktoros hitelesítéssel, ha az 2FA eszközt elvesztik vagy ellopják.

Több Szabályozás és Megfelelőségi Követelmény

Ahogy az adatszivárgások egyre gyakoribbá válnak, a szabályozói testületek világszerte szigorúbb szabályozásokat és megfelelőségi követelményeket érvényesítenek. A vállalatoknak erős adatbiztonsági intézkedésekbe kell befektetniük, beleértve az ITAD szolgáltatásokat, hogy megfeleljenek ezeknek a szabályozásoknak és elkerüljék a büntetéseket és bírságokat. Különös figyelmet kell fordítani a nemzetközi üzleti tranzakciókra, különösen azokban az országokban, ahol az adatbiztonság veszélyben lehet a kormányzati megfigyelés miatt.

Dolgozói Képzés és Tudatosság Középpontban

A dolgozók gyakran az adatbiztonság leggyengébb láncszemét képezik, mivel az emberi hiba adatszivárgáshoz vezethet. A dolgozói tudatosság és képzés növelése az adatbiztonságban és az IT-eszközkezelés legjobb gyakorlataiban jelentősen csökkentheti a kockázatokat, drága hardveres vagy szoftveres beruházások nélkül.

Felhőbiztonság

Bár a vállalatok visszatérnek a helyszíni munkavégzéshez, a felhőbiztonság még mindig előtérben van. Győződjön meg arról, hogy vállalatának erős biztonsági protokolljai vannak a felhőalapú alkalmazásokhoz és szolgáltatásokhoz való hozzáférés kezelésében. Kövesse nyomon az összes vállalati eszközt, amelyek érzékeny információkat tárolhatnak vagy felhőalapú rendszerekhez csatlakozhatnak, beleértve a táblagépeket, laptopokat és okostelefonokat. Vegye fontolóra az adatok titkosítását, hozzáférési ellenőrzéseit és rendszeres biztonsági felülvizsgálatokat, hogy megvédje felhőben tárolt adatait. A legjobb biztonsági megoldások értesítést küldenek a releváns munkatársaknak, ha valami gond merül fel.

Adatbiztonsági szolgáltatások

Az ITAD szolgáltatások és az adatbiztonsági szolgáltatások egymástól elválaszthatatlanok. Az ITAD szolgáltatók segítséget nyújtanak a vállalatoknak az adatbiztonsági követelmények betartásában, az eszközök nyomon követésében és az érzékeny információk megfelelő módon történő kezelésében. 2023-ban az adatbiztonsági kihívások továbbra is változnak és fejlődnek. A szervezeteknek előre kell gondolkodniuk és alkalmazkodniuk kell a változó környezethez. Az ITAD és adatbiztonsági szolgáltatások nagyban hozzájárulnak a vállalatok adatbiztonságának javításához. Forrás: itsupplysolutions.com Miután átálltunk a felhőre, győződjünk meg róla, hogy az adatok biztonságban vannak, és a feleslegessé vált adatokat töröljük. A távmunka növekedése felgyorsította a felhőalapú technológia bevezetését a vállalatoknál. Az átállás alkalmával azonban ne hanyagoljuk el a vállalati adattárolók alapos és tanúsított törlését. A pandémia drasztikusan megváltoztatta munkavégzési és vásárlási szokásainkat, az online tér vált a preferált választássá mindkét területen. A vállalatok egyre többet költenek felhőtechnológiai megoldásokra, és a Gartner előrejelzései alapján ez a trend 2024-ig folytatódik. Impozáns növekedés 2021-ben a felhőalapú technológiákra költött összegek 18,4%-kal nőttek, ezzel 304,9 milliárd dolláros bevételt generálva világszerte. A távmunka trendje nem múlik el, a Gartner becslései szerint a vállalatok 75%-ánál továbbra is jelen marad. Adatok törlése az átállás után Amikor egy vállalat felhőalapú megoldásra vált, az azzal jár, hogy a korábban belsőleg tárolt információk most egy külső felhőszolgáltatónál kerülnek elhelyezésre. Az átállás után több okból is célszerű az adatokat törölni. A törléssel például csökkenthetjük annak kockázatát, hogy adataink illetéktelen kezekbe kerüljenek. A felszabadított tárhely újrahasznosítható, így nincs szükség új tárolók beszerzésére. Az adatok védelme Bár a felhőalapú megoldások rugalmasságot és skálázhatóságot nyújtanak, új kockázatok is felmerülnek, különösen az érzékeny adatok tekintetében. A Blancco adattörlő rendszerei segítenek megóvni a vállalatokat az adatok jogosulatlan hozzáférésétől. Ha nincs többé szükség az adatokra, távolítsuk el azokat, így azok nem lesznek elérhetőek, és az adattárolókat továbbra is használhatjuk. A Blancco rendszerek segítségével az adattörlés nyomon követhető és dokumentálható. A tanúsított adattörlés és ellenőrzés nemcsak a felhőre való átálláskor fontos, de más esetekben is:  

Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek

A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.

Microsoft Jelentés

A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására. A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.

Éjféli Hóvihar Támadásai

A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak. Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg. A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.

További Részletek a Támadásról

A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.
 “A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”
Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot. Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.

Védelem és Utóhatások

A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek. A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban. Forrás: www.securityweek.com  

A technológia előrehaladtával

A technológia előrehaladtával egyre több hangsúlyt fektetünk a routerek, switchek és access pointok tanúsított adatmentesítésére, tekintettel arra, hogy ezek az eszközök nemcsak a hálózati csatlakozásokért felelősek, de adattárolási funkcióval is rendelkeznek. A technológiai fejlődés következtében a hálózat minden egyes részében egyre több intelligens megoldás jelenik meg. A hálózati forgalom felügyelete, a biztonság, az eszközök kezelése és más funkciók terjesztett szolgáltatásokká alakultak. Ennek következtében a standard hálózati eszközök – mint a routerek és switchek – egyre összetettebbé és drágábbá váltak.

A hálózati eszközök evolúciójának egyik aspektusa

A hálózati eszközök evolúciójának egyik aspektusa az, hogy jelentős helyi adattárolási képességet biztosítunk számukra. Konfigurációs adatokat, log adatokat és más információkat tárolnak a hálózati topológiáról, IP címekről, hálózati hovatartozásról. Ezek az adatok többnyire érzékenyek, különösen a kiberbiztonsági szempontból. Semmi garancia arra, hogy egy rendszergazda milyen adatokat őriz a hálózati eszközök helyi adattárolójában, ezek projekt kapcsolódó jegyzetek vagy jelszó listák is lehetnek. Kétségtelen, hogy ezeket az adatokat ugyanolyan szintű védelemmel kell ellátni, mint a vállalati szervereken tárolt adatokat.

Mire figyeljünk?

A gyári visszaállítás nem ad garanciát arra, hogy a tárolt információkat teljesen és visszaállíthatatlanul töröltük. Továbbá, ez a folyamat meglehetősen munkaigényes. Az alternatív megoldás, az eszköz fizikai megsemmisítése sem praktikus, mivel nincs eszköz, amit az adatok teljes tanúsított törlése után tovább tudnánk adni. A hálózati eszközök költségesek, üzleti szempontból előnyös, ha újra el tudjuk őket adni. Egyes szervezetek előírásai szerint a hálózati eszközök adattárolójának sterilizálása szükséges, még akkor is, ha a szervezeten belül újrahasznosítják őket.

A hálózati eszközök adattörlési kihívásai

Amikor egy rack szerver eléri élettartamának végét, minden egyes szervert külön-külön vonnak ki a szolgálatból, és ezzel együtt a rack tetején lévő switchet is. Egy teljes hálózati switch ledarálni nem megvalósítható, az eszköz fizikai megsemmisítése pedig jelentős manuális munkát igényel: a szakember egyesével bontja szét az eszközöket, kézzel szedi szét az adathordozókat, legyen az merevlemez vagy SSD. Az adattárolók azonosításához komoly technikai ismeretekre van szükség. Sok esetben az SSD vagy merevlemez az alaplaphoz van forrasztva, ezeket csak hosszas munkával lehet eltávolítani – a folyamat végén az eszköz használhatatlanná válik. Tehát a hálózati eszközök megsemmisítése költség szempontjából nem gazdaságos. És még nem is beszéltünk a környezetvédelmi szempontokról, amikor az eszközök felújítása és újrahasznosítása jelentős társadalmi és környezeti előnyökkel jár.

Automatizált, menedzselhető

A Blancco Network Device Eraser megoldása hatékony és biztonságos alternatíva a kézi feldolgozáshoz és a fizikai megsemmisítéshez egyaránt. Nem destruktív módon, de véglegesen és tanúsítottan törli a switcheket, routereket és access pointokat az NIST 800-88 előírásai szerint. Könnyen integrálható a WMS, AMS és más meglévő rendszerekkel az automatizált munkafolyamat és rugalmasság érdekében. A Blanco Management Console segítségével központi helyre gyűjti össze a digitálisan aláírt adattörlési jelentéseket, így az adattörlési folyamat tanúsított, a jelentések könnyen hozzáférhető.   Forrás: blancco.hu

Az SSD-k helytelen törlése során elkövetett 5 gyakori hiba, amit érdemes kerülni

Az utóbbi években a szilárdtest-meghajtók (SSD-k) váltak a számítógépek és mobiltelefonok leginkább használt tárolási technológiájává. Mindazonáltal, ha nem megfelelően töröljük őket, kockázatot jelenthet az adataink biztonságára. Az SSD-k számos előnnyel bírnak: gyorsabbak a hagyományos merevlemezeknél, kevésbé hajlamosak a hibákra, és energetikailag is hatékonyak. Míg áruk csökken, elterjedésük széleskörűvé válik, azonban a használatuk utáni megsemmisítés során néhány fontos szempontot figyelembe kell venni.

Az 5 leggyakoribb hiba

  1. Fájlok és mappák törlése, formázás és gyári beállítások visszaállítása: az SSD-k hagyományos törlési vagy formázási módszerekkel történő törlése veszélyes, mivel ezek a technikák csak az adatokra mutató „hivatkozásokat” (indexelést) törlik el, nem pedig az adatokat magukat. Egy ingyenes visszaállító (recovery) szoftver valószínűleg képes visszaállítani a törölt mappákat és fájlokat, vagy a gyorsformázással törlt SSD teljes tartalmát.
  2. Partíció vagy kötet törlése az SSD-n: egy másik gyakran előforduló hiba, hogy az SSD-n található partíciót vagy kötetet törlik, hogy megszabaduljanak az ott tárolt adatoktól. Számos professzionális eszköz van, amelyek képesek könnyedén visszaállítani az elveszett partíciókat, ami ezen módszer megbízhatatlanságát eredményezi.
  3. A natív törlési parancs használata: néhány SSD rendelkezik beépített törlési paranccsal, ami felülírja az egész SSD-t. Azonban általában nehéz bizonyítani, hogy az adatok végérvényesen eltűntek a rejtett szektorokból, mivel nincs bizonyíték a megsemmisülésről. Továbbá, ezt a funkciót csak néhány gyártó biztosítja, és a natív törlési parancsból hiányzik a transzparencia, nincs mód az adatok törlésének ellenőrzésére.
  4. Ingyenes szoftver használat az SSD-k törléséhez: egy másik gyakori hiba, amit az emberek elkövetnek az SSD meghajtók törlésekor, hogy olyan ingyenes szoftvert használnak, amelyet hagyományos meghajtók, és nem SSD-k törlésére terveztek. Ezek a szoftverek általában nem készítenek jegyzőkönyvet, és nem garantált, hogy a helyes törlési algoritmust alkalmazzák.
  5. Többszörös felülírás használata: az SSD-k írási ciklusai korlátozottak, ezért azok többszöri felülírása olyan algoritmusokkal, mint a DoD-3-pass vagy DoD-7-pass, rontja az adattároló élettartamát, és nem javasolt az SSD meghajtók törléséhez. A NIST SP 800-88 Rev 1 szerint az SSD-k törlésének két elfogadott módja a NIST Clear és a NIST Purge; ezen kívül a kriptográfiai törlést is lehet alkalmazni a titkosítást támogató SSD-ken.

Az ideális adattörlő szoftver

Az ideális adattörlő szoftver támogatja a modern törlési algoritmusokat (például NIST Clear és NIST Purge), és dokumentációt (jegyzőkönyvet) készít a törlés folyamatáról, melyben fel van tüntetve a törlés részletei és eredménye. A Blancco Driver Eraser azonfelül, hogy ellenőrzi a törlés eredményét és folyamatát, a folyamat végén mintát vesz a lemez különböző területeiről, a Blancco Management Console pedig garantálja a jegyzőkönyv hitelességét azáltal, hogy hitelesíti az elektronikus aláírást. Az adathordozók törlésének jegyzőkönyvezése jogszabályi kötelezettség, erről bővebben útmutatónkban olvashat. Forrás:www.blancco.hu  

Új macOS kártevő, amely könnyedén ellophatja a kripto pénztárcádat, a Realst.

Egy új Mac kártevő, melyet “Realst”-ként neveztek el, hatalmas kampány keretében célozza meg az Apple számítógépeket. Legújabb variánsai közül néhány támogatja a még fejlesztés alatt álló macOS 14 Sonoma-t. Az iamdeadlyz biztonsági kutató által először felfedezett kártevő hamis blockchain játékok formájában terjed Windows és macOS felhasználók számára, olyan nevekkel, mint a Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles és SaintLegend. Ezeket a játékokat közösségi médiában népszerűsítik, a fenyegető szereplők közvetlen üzenetekben osztják meg a hamis játék kliens letöltéséhez szükséges hozzáférési kódokat az összekötött weboldalakról. A hozzáférési kódok lehetővé teszik a fenyegető szereplők számára, hogy kiválasszák azokat, akiket meg akarnak célozni, és elkerüljék a biztonsági kutatókat, akik a kártékony viselkedést szeretnék feltárni.

A Realst Mac kártevő

Amikor a hamis játékot letöltik a fenyegető szereplő oldaláról, vagy Windows vagy macOS kártevőt kínálnak nekik, attól függően, milyen operációs rendszert használnak. A Windows kártevő általában a RedLine Stealer, de néha más kártevő is, mint például a Raccoon Stealer és az AsyncRAT. A Mac felhasználók számára az oldalak a Realst információlopó kártevőt terjesztik, amely PKG telepítőként vagy DMG lemezként célzott Mac eszközökre, tartalmazva a káros Mach-O fájlokat, de valódi játékokat vagy más csali szoftvereket nem. A “game.py” fájl egy cross-platform Firefox infostealer és az “installer.py” egy “chainbreaker”, amely egy nyílt forráskódú macOS kulcsadatbázis jelszó-, kulcs- és tanúsítványkivonó. A SentinelOne azt találta, hogy néhány minta kódszerkesztéssel rendelkezik érvényes (most visszavont) Apple Fejlesztői ID-k segítségével, vagy ad-hoc aláírásokkal, hogy elkerülje a biztonsági eszközök észlelését.

A változatok

A SentinelOne által elemzett 16 különböző Realst változat meglehetősen hasonló formában és funkcióban, bár eltérő API híváskészleteket használnak. Minden esetben a kártevő a Firefox, Chrome, Opera, Brave, Vivaldi, és a Telegram alkalmazást célozza, de egyik elemzett Realst minta sem célozza a Safarit.

Elkerülés és felismerés

A felhasználóknak mindig óvatosnak kell lenniük a közösségi médiában kapott üzenetekkel, és csak olyan forrásokból kell letölteniük a szoftvereket, amelyek megbízhatónak tekinthetők. A nem hivatalos forrásokból származó játékok és szoftverek letöltése könnyen megfertőzheti a számítógépet kártékony szoftverekkel. Az Apple felhasználóknak javasolt engedélyezni a SIP és a Gatekeeper funkciókat, hogy további védelmet nyújtsanak a kártékony szoftverek ellen. A SentinelOne új yara szabályokat adott ki a Realst kártevő azonosítására, amelyek a kutatási jelentésben megtalálhatók. Összefoglalva, a Realst egy nagyon aktív és gyorsan fejlődő kártevő, amelynek különböző változatai többféle módon próbálják ellopni a felhasználók érzékeny adatait. A felhasználóknak óvatosnak kell lenni, és csak megbízható forrásból származó szoftvereket kell letölteniük, továbbá biztosítaniuk kell, hogy számítógépeik biztonsági mechanizmusai be vannak kapcsolva, hogy megvédjék őket a Realst és más kártevők ellen.   Forrás: www.bleepingcomputer.com

2022 és 2023 Ransomware támadások elemzése

2022-ben a ransomware támadások száma csökkent, reményt keltve, hogy megfordul a trend a mögöttük álló bűnözői bandákkal szemben. Aztán a helyzet hirtelen rosszabbra fordult. A globális jogi erőfeszítések ellenére, melyek a ransomware támadások visszaszorítására irányultak, a hackereknek fizetett váltságdíjak és a támadások száma is csökkent 2022-ben. Azonban ez a trend nem látszik megállni 2023-ban, sőt, a támadások száma ismét megugrott. A Chainalysis kriptopénz-nyomozó cég adatai szerint az áldozatok az év első hat hónapjában már 449,1 millió dollárt fizettek a ransomware csoportoknak. Ez a szám 2022-ben még csak alig érte el az 500 millió dollárt. Ha az idei fizetési ütem folytatódik, a cég adatai szerint, 2023-ban a teljes összeg elérheti a 898,6 millió dollárt. Ez 2023-at a ransomware bevételek második legnagyobb évévé tenné 2021 után, amikor a Chainalysis becslése szerint a támadók 939,9 millió dollárt csikartak ki az áldozatokból. Az adatok összhangban vannak más kutatók megfigyeléseivel, miszerint a támadások száma idén megugrott. A ransomware csoportok egyre agresszívabbak és meggondolatlanabbak az érzékeny és potenciálisan káros információk közzétételével kapcsolatban. A Manchesteri Egyetem elleni legutóbbi támadásban a hackerek közvetlenül az egyetem hallgatóinak küldtek e-mailt, melyben közölték, hogy hét terabyte adatot loptak el, és fenyegetőztek, hogy “személyes információkat és kutatási adatokat” hoznak nyilvánosságra, ha az egyetem nem fizet váltságdíjat.
„Úgy gondoljuk, hogy a 2022-es költségvetési hiányok miatt láttunk ilyen extrém zsarolási technikákat, amelyekkel tovább csavarják a kést” – mondja Jackie Burns Koven, a Chainalysis kiberfenyegetés-intelligencia részlegének vezetője. „2022-ben nagyon meglepődtünk, amikor a csökkenést tapasztaltuk. Majd beszéltünk külső partnerekkel – válságkezelő cégek, biztosítók – és mindannyian azt mondták, igen, kevesebbet fizetünk, és kevesebb támadást is látunk.”
A Chainalysis és más szervezetek a 2022-es visszaesést több tényezőnek tudják be. Szerepet játszottak a bővített biztonsági védelmi intézkedések és a felkészültség, valamint a dekódoló eszközök elérhetősége, amelyeket magánvállalatok és az FBI kínált a ransomware áldozatainak, hogy azok visszaszerezhessék adataikat anélkül, hogy váltságdíjat fizetnének a támadóknak. A Chainalysis úgy véli, hogy Oroszország ukrajnai inváziója befolyásolta számos kiemelkedő ransomware csoport napi műveleteit, amelyek elsősorban Oroszországban vannak székelve. A potenciális áldozatok védelmi módszereinek javítása és a kormányzati elrettentő kezdeményezések 2023-ban sem csökkentek. De a Chainalysis kutatói úgy gondolják, hogy Oroszország ukrajnai háborújának alakulása meg kell magyaráznia az idei növekvő ransomware tevékenységet, vagy legalábbis szerepet kell játszania benne. A Chainalysis a kriptopénz-ellenőrzésben és -követésben specializálódott, így a cég kutatói jól felkészültek a ransomware fizetések mértékének és nagyságának megfigyelésére. A cég azt mondja, hogy konzervatív megközelítést alkalmaz, és alaposan folytatja a korábbi tranzakciókról szóló új adatok fényében a visszamenőleges éves összesítések és más számok frissítését. Általában azonban a kutatók hangsúlyozzák, hogy a ransomware támadások vagy a fizetések tényleges összegeit szinte lehetetlen megbecsülni a rendelkezésre álló információk alapján, és hogy a Chainalysis vagy a kormányzati nyomon követés adatait csak a trendek nagy vonalainak jellemzésére lehet használni.
“Még mindig nagyon kevés betekintésünk van a tényleges támadások számába” – mondja Pia Huesch, a brit védelmi és biztonságpolitikai gondolkodócsoport, a RUSI szakértője. “Azt hiszem, a legnagyobb kihívás, amellyel jelenleg szembesülünk, az a támadások áldozatainak jelentéseinek hiánya és a váltságdíj-fizetések átláthatósága.”
Sokan úgy gondolják, hogy a jelenlegi ransomware-helyzet komolyan megköveteli a kormányzati beavatkozást és a közös nemzetközi erőfeszítéseket a támadások ellen. A múltbeli erőfeszítések ellenére a ransomware fenyegetése továbbra is fennáll, és fontos, hogy a kormányok továbbra is együttműködjenek és készüljenek fel a jövőbeli támadásokra. Forrás: www.wired.com

Revolut 20 Millió Dolláros Veszteséggel Szembesül, miután Támadók Kihasználják a Fizetési Rendszer Gyengeségét

Rosszindulatú személyek kihasználtak egy ismeretlen hibát a Revolut fizetési rendszereiben, és több mint 20 millió dollárt loptak el a vállalat pénzeszközeiből 2022 elején. A fejleményt a Financial Times jelentette, több névtelen forrást idézve, akik ismeretekkel rendelkeznek az esetről. A incidens nyilvánosan még nem lett közölve. A hiba a Revolut amerikai és európai rendszerei közötti eltérésekből adódott, ami azt eredményezte, hogy néhány tranzakció elutasításakor a vállalat saját pénzét tévesen visszatérítették. A problémát először 2021 végén észlelték. De mielőtt bezárhatták volna, a jelentés szerint szervezett bűnözői csoportok kihasználták a kiskaput,
“arról biztosítva az egyéneket, hogy próbáljanak meg drága vásárlásokat eszközölni, amelyeket később elutasítanak.”
Az visszatérített összegeket ezután kivonták az ATM-ekből. A hiba technikai részletei jelenleg nem ismertek. Összesen körülbelül 23 millió dollárt loptak el, néhány alap a készpénzfelvétellel rendelkezők üldözésével lett visszaszerezve. A tömeges csalási rendszer mintegy 20 millió dolláros nettó veszteséget okozott a neobanknak és fintech cégnek. Az információ kevesebb mint egy héttel azután érkezik, hogy az Interpol bejelentette egy OPERA1ER néven ismert francia nyelvű hackercsoport feltételezett vezető tagjának letartóztatását, amelyet pénzintézetek és mobilbanki szolgáltatások elleni támadásokkal hoztak összefüggésbe, malware-rel, phishing kampányokkal és nagyszabású üzleti e-mail kompromittálási (BEC) csalásokkal. Forrás: thehackernews.com

35 millió indonéz útlevéladat 10 000 dollárért kapható a Dark Web-en

Adatszivárogtatást követett el a hírhedt indonéz hacktivista, Bjorka – feltörésre gyanakodnak a kutatók. Körülbelül 35 millió indonéz útlevél-tulajdonos személyes adatait 10 000 dollárért árulja a sötét weben a hírhedt hacktivista, Bjorka, aki rendszeresen bírálja az indonéz kormányt és káros információkat oszt meg a törvényhozókról a közösségi médiában. A kormány az esetleges Bevándorlási Főigazgatóság hálózatában történt megsértést vizsgálja. Teguh Aprianto, indonéz biztonsági kutató, egy szerdai Twitter-szálon fedte fel, hogy egy hacker eladásra kínálta az indonéz útlevéltulajdonosok adatait, beleértve a teljes neveket, születési dátumokat, nemeket, útlevélszámokat és az útlevelek érvényességi dátumait. Aprianto elmondása szerint a fenyegető személy 1 millió adatrekordot osztott meg, bizonyítékként arra, hogy a feljegyzések valódiak. A fenyegető posztja szerint a 4 gigabájtos adatgyűjtemény 10 000 dollárért eladó.
“A megadott mintaadatokból ítélve az adatok érvényesnek tűnnek” – írta Aprianto a Twitteren. “Az időbélyeg 2009-2020.”
Az indonéz Kommunikációs és Informatikai Minisztérium, ismertebb nevén Kominfo, csütörtökön közölte, hogy vizsgálja a 34,9 millió indonéz személyes adat állítólagos ellopásával kapcsolatos bejelentéseket. Semuel A. Pangerapan, az Informatikai Alkalmazások Főigazgatója elmondta, hogy a minisztérium “nem tudta megállapítani, hogy tömeges személyes adatok kiszivárogtatása történt volna”. Pangerapan közölte, hogy a Kominfo alapos vizsgálatot fog végezni a jelentett adatszivárgás ügyében, és a lehető leghamarabb közzéteszi megállapításait. A minisztérium együttműködik a Nemzeti Kiber- és Kriptoügynökséggel, a Bevándorlási Főigazgatósággal és a Jogi és Emberi Jogi Minisztériummal. “A Hírközlési és Informatikai Minisztérium felkéri minden digitális platform szolgáltatóját és személyes adatkezelőjét, hogy a személyes adatok védelmére vonatkozó rendelkezéseknek megfelelően tovább javítsa a felhasználók személyes adatainak biztonságát, és biztosítsa az üzemeltetett elektronikus rendszerek biztonságát” – közölte Pangerapan. Aprianto elmondása szerint az adatmintát Bjorka, egy hírhedt indonéz hacktivista tette közzé, aki 2022 szeptemberében szerzett hírnevet azzal, hogy 1,3 milliárd SIM-kártya adatait lopott el az indonéz Kommunikációs és Információs Technológiai Minisztérium szervereiről, és áruba bocsátotta a sötét weben. A gyanú szerint a hacktivista az indonéz PLN áramszolgáltató 17 millió ügyfelének személyes adatainak ellopásáért is felelős 2022 augusztusában. A Cyble, egy fenyegetéssel foglalkozó hírszerző cég szerint Indonézia Délkelet-Ázsia egyik leggyakrabban célzott országa a kibertámadások terén. Csak 2022 első negyedévében több mint 11 millió támadás érte az országot.
Egy kínai állami csoportot figyeltek meg, amely az HTML Smuggling technikákat használva célzott európai Külügyminisztériumokra és nagykövetségekre, hogy a PlugX távoli hozzáférésű trójai programot telepítse a megsértett rendszerekre. A Check Point kiberbiztonsági cég szerint az aktivitás, melyet SmugX néven emlegetnek, legalább 2022 decemberétől folytatódik, és arra utal, hogy a kínai ellenségek egyre inkább Európára koncentrálnak. “A kampány új szállítási módszereket használ (elsősorban az HTML Smugglinget) egy új PlugX változat telepítésére, mely általában a kínai fenyegető szereplőkhöz köthető.” – mondta a Check Point. Bár a terhelés önmagában hasonló a korábbi PlugX változatokhoz, a szállítási módszerei alacsony detektálási rátákat eredményeznek, amelyek eddig segítették a kampányt a radar alatt maradni.

Az új támadási sorozat jelentősége az HTML Smuggling használatában rejlik

Ez egy ravasz technikában, melyben legitim HTML5 és JavaScript funkciókat használnak fel a rosszindulatú szoftver összeállítására és elindítására – a gerilla stílusú phishing e-mailekhez csatolt csali dokumentumokban. “Az HTML Smuggling az HTML5 attribútumokat használja, amelyek offline is működhetnek egy bináris adatokból álló, változtathatatlan adatblokk tárolásával a JavaScript kódon belül,” jegyezte meg a Trustwave ebben a februárban. “Az adatblokk, vagy a beágyazott terhelés, fájlobjektummá dekódolódik, ha azt egy webböngészővel nyitjuk meg.” A dokumentumok elemzése, amelyeket a VirusTotal rosszindulatú szoftver-adatbázisba töltöttek fel, azt mutatja, hogy diplomáciai és kormányzati szerveket céloznak meg Csehországban, Magyarországon, Szlovákiában, az Egyesült Királyságban, Ukrajnában, és valószínűleg Franciaországban és Svédországban is.

Korplug: a trójai hosszú múltra tekint vissza

A Korplug néven is ismert rosszindulatú szoftver 2008 óta létezik, és moduláris trójai, amely képes “különböző pluginokkal rendelkezni különböző funkcionalitásokkal”, amelyek lehetővé teszik a kezelők számára a fájllopás, képernyőképek, billentyűleütés-naplózás és parancsvégrehajtás. “Az elemzések során a fenyegető szereplő egy kötegscriptet küldött, amelyet a C&C szerverről küldtek, és amelynek célja volt minden nyomuk eltüntetése,” mondta a Check Point. “Ez a script, melynek neve del_RoboTask Update.bat, eltünteti a legitim végrehajtható fájlt, a PlugX betöltő DLL-t, és a kitartásra létrehozott registry kulcsot, majd végül önmagát törli. Valószínű, hogy ez a fenyegető szereplők tudatosságának eredménye, mivel rájöttek, hogy figyelemmel kísérik őket.” Forrás: www.thehackernews.com

Az Egyesült Királyság Titokzatos Webmegfigyelő Programja Felfutóban

Az Egyesült Királyság kormánya csendben kiterjeszti és fejleszti azt a vitatott megfigyelő technológiát, amely képes lehet milliók webtörténetének naplózására és tárolására. Az elmúlt évben a rendőrség sikernek minősítette egy rendszer tesztelését, amely képes az emberek “internetkapcsolat adatainak” gyűjtésére, és munkába állt a rendszer országos bevezetésének előkészítésén. Különösen vitatott volt az úgynevezett internetkapcsolati rekordok (ICR-k) létrehozása. Az ICR nem minden online meglátogatott oldalnak a listája, de mégis jelentős mennyiségű információt tárhat fel az online tevékenységekről. Az ICR lehet az IP-címe, a felhasználói száma, az információhoz való hozzáférés dátuma és ideje, és az átadott adatok mennyisége. A Belügyminisztérium áttekintése szerint a próbájuk azt is megállapította, hogy “az ICR-k jelenleg elérhetetlenek lehetnek néhány potenciálisan kulcsfontosságú vizsgálat számára”, ami felveti annak lehetőségét, hogy a törvényt a jövőben módosíthatják. Az értesítés szerint a kormánynak legfeljebb 2 millió fontos költségvetése volt egy technikai rendszer létrehozására, amely lehetővé teszi a bűnüldözési tisztviselők számára az ICR adatokhoz való hozzáférést a vizsgálatok során.

Privacy International: A további adatgyűjtés nem eredményez nagyobb biztonságot

Haidar, a Privacy International jogásza azt mondja, hogy további adatok gyűjtésének képességének létrehozása nem eredményez “nagyobb biztonságot” az emberek számára. “A vállalatok adatőrzési képességeinek és a kormányzati ügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligencia műveletek javulnának” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a visszaélésnek vagy helytelen használatnak.”

Teknológiai hibák és titokzatosság

Már dokumentálták az ICR-k használatának egy kudarcát is. Az IPCO 2020-as éves jelentésében kiemelte, hogy egy névtelen telekommunikációs cég, amelyet arra kért, hogy szolgáltasson internetkapcsolati kéréseket, “több adatot szolgáltatott, mint amennyit engedélyeztek”. A hiba oka egy technikai hiba volt, és nem adtak további részleteket.

A kormányzatok globális adatgyűjtési törekvései

Az Egyesült Királyságban az ICR-gyűjtés lehetséges kiterjesztése egybeesik a kormányok és a bűnüldözési szervek globális erőfeszítéseivel, hogy hozzáférjenek egyre több adathoz, különösen a technológia fejlődésével. Több nemzet is sürgeti a titkosítási hátsó ajtók létrehozását, amelyek potenciálisan hozzáférést biztosíthatnak az emberek privát üzeneteihez és kommunikációihoz.

Az adatgyűjtés kockázatai

Haidar, a Privacy International jogásza azt mondja, hogy további adatok gyűjtésének képességének létrehozása nem eredményez “nagyobb biztonságot” az emberek számára. “A vállalatok adatőrzési képességeinek és a kormányzati ügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligencia műveletek javulnának” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a visszaélésnek vagy helytelen használatnak.”

Az ICR-k szolgáltatói

A WIRED kilenc brit internet szolgáltatót és telekommunikációs vállalatot keresett fel, hogy megtudja, milyen képességeik vannak az emberek internetes kapcsolódási rekordjainak létrehozásában és tárolásában. Nyolc nem válaszolt a kommentárkérésre. A TalkTalk, az egyetlen vállalat, amely válaszolt, azt mondta, hogy “teljesíti a brit törvények által előírt kötelezettségeit”, de nem tudta “megigazolni vagy tagadni”, hogy léteznek-e ICR-ek.

Az Egyesült Államok adatgyűjtési praktikái

Az Egyesült Államokban vihar készül az FBI Section 702-es szakasza kapcsán, amely a Külföldi Hírszerzési Felügyeleti Törvény (FISA), és lehetővé teszi számukra, hogy elfogják a külföldi célpontok kommunikációit.

Adatgyűjtés és biztonság

Haidar, a Privacy International jogásza azt mondja, hogy a több adat gyűjtésének képességének létrehozása nem eredményez “több biztonságot” az emberek számára. “A vállalatok adatmegőrzési képességeinek és a széles körű kormányügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligenciaműveletek javulnának,” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a helytelen használatnak vagy a visszaélésnek.”

Kiberbanda fenyegette meg a Redditet: 80 GB-nyi adatot szerztek meg

Az ALPHV nevű cyberbűnözői csoport 4,5 millió dolláros váltságdíj megfizetését követeli meg a Reddittől, arra sürgetve a közösségi platformot, hogy hagyjon fel az API hozzáférési díjainak bevezetésével. Ellenkező esetben az eltulajdonított adatokat nyilvánosságra hozzák.

A Reddit Támadás Alatt és a Várható Következmények

Úgy néz ki, a Reddit februári támadása során egy cyberbűnözői csoport sikerrel ellopott 80 GB-nyi adatot a közösségi hálózatról. Ezt az információt az ALPHV/Blackcat néven ismert ransomware csoport hozta nyilvánosságra, azzal a szándékkal, hogy a Redditet váltságdíj fizetésére bírja. “Kétszer is megkerestük a Redditet emailben, először április 13-án, majd újra június 16-án,” állítja a csoport. “Nem tették meg a szükséges lépéseket annak megértésére, hogy milyen adatokat szereztünk meg.”

Az ALPHV Feltételei és a Reddit Válasza

Az Oroszországban működő ALPHV csoport most azzal a követeléssel áll elő, hogy a Reddit fizessen 4,5 millió dollárt, ellenkező esetben a csoport a Dark Weben keresztül publikálja az adatokat. Azonban a ransomware csoport bejegyzése szerint úgy tűnik, a Reddit nem hajlandó eleget tenni a követelésnek. Reagálva a Reddit legfrissebb híreire, a csoport felveti, hogy a vállalat szembe néz a felhasználói tiltakozásokkal, mivel a Reddit tervezi API hozzáférési díjainak bevezetését, ami számos harmadik féltől származó alkalmazást fenyeget meg.

A Reddit Válasza

A Reddit nem kívánta kommentálni a zsarolási követelést. Azonban a közösségi média platform hangsúlyozta, hogy a támadók csak “néhány belső dokumentumhoz, kódhoz és néhány belső üzleti rendszerhez” jutottak hozzáféréshez. Felhasználói fiókok vagy jelszavak nem kerültek veszélybe. A Redditet olyan támadás érte, amelyben a hackerek sikeresen megtámadtak egy cég alkalmazottját phishing üzenet segítségével. Forrás: www.pcmag.com

Tanulmány az igazgatói szintű CISO-k kvalifikációiról

Az IANS Research, az Artico Search és a The CAP Group közös tanulmányt készített a Russell 1000 Index (R1000) főinformációbiztonsági tiszteként (CISO) dolgozó szakemberek képesítéséről. A tanulmány szerint ezeknek a CISO-knak csak 14%-a rendelkezik azzal a szükséges képességgel, ami ahhoz kell, hogy a kiberbiztonsági területen igazgatói pozícióban dolgozhassanak.

Fontos tulajdonságok az igazgatói pozícióhoz

Nick Kakolowski, az IANS Research kutatási igazgatója a VentureBeat-nek elmondta: „Azonosítottunk öt tulajdonságot: információbiztonsági munkaviszony, széleskörű tapasztalat, skála, magas szintű oktatás és sokszínűség — ezek a CISO-k számára a különbségtétel jelenthetik a kiberbiztonsági szakértői pozíciókban.”

Az igazgatói szintű CISO-k kiválasztása

Kakolowski szerint a kibervédelmi szakemberek, akik az igazgatói pozícióra törekednek, milyen mértékben képesek vállalni a CISO szerepben jelentkező kihívásokat, különösen akkor, ha a vállalatnak kell szembenéznie egy kiberbiztonsági incidenssel. “Nem csak a technikai készségek, hanem az a képesség, hogy érdemben hozzájáruljon a vállalatirányításhoz és a kockázatkezeléshez, ami különösen fontos a CISO-k számára, akik igazgatói szerepet kívánnak betölteni,” -tette hozzá Kakolowski.

Kiberbiztonsági tehetséghiány és a közelgő változások

A nyilvánosan működő cégek felkészülnek az értékpapír- és tőzsdebizottság (SEC) közelgő szabályváltozásaira, amelyek megkövetelik tőlük, hogy hivatalosan is közöljék a vezető testületükben lévő kiberbiztonsági szakértelmet. Az új szabályozás fényében a tanulmány rámutat a kibervédelmi ismeretek súlyos hiányára a testületek többségében. Az IANS Research azt állítja, hogy ezt a kutatást azért kezdeményezte, mert jelentések szerint a testületeknek nehézséget okoz az olyan igazgatói pozíciókra alkalmas kibervédelmi szakértők azonosítása és toborzása, akik rendelkeznek a szükséges üzleti és technikai tapasztalattal.

A megfelelő CISO-k azonosítása kibervédelmi igazgatói pozíciókra

Amikor az öt kulcsfontosságú tulajdonságokról beszél, Kakolowski az IANS Research-ből kiemelte, hogy a keresztfunkcionális szakértelem és a nagyméretű szervezetekben szerzett tapasztalat rednkívül fontos. “A CISO-k, akik rendelkeznek ezekkel a tulajdonságokkal, valószínűleg olyan lehetőségekkel szembesültek, amelyek késztették őket a szükséges soft skillek és az üzleti érzék fejlesztésére az igazgatói szerepekhez. Ugyanakkor azt mondani, hogy bármely tulajdonság ezüstgolyó lenne, vagy súlyos gyengeség, félrevezető lenne,” magyarázta Kakolowski.

Stratégiák a megfelelő CISO-k igazgatói pozícióba történő kiválasztására

A jelentés alapján különböző stratégiákat javasolnak a CISO-k igazgatói pozícióba történő azonosítására. Ezek között szerepel a teljes körű keresés, a sokféleség előtérbe helyezése, az igazgatói minősítések figyelembevétele, alternatív opciók vizsgálata olyan személyek által, akik rendelkeznek biztonsági tapasztalattal, de nem feltétlenül CISO címmel, és azoknak a jelölteknek az azonosítása, akik rendelkeznek a kívánt “valami extrával”.

Az “it” faktor meghatározása

“A határvonalat az öt igazgatói tulajdonság hárommal való rendelkezésénél húztuk meg – vagyis úgy gondoljuk, hogy a hátterük hiteles lenne egy igazgatói kontextusban,” mondta Kakolowski. “De ez csak a kiindulási pont; azt javasoljuk, hogy az igazgatók vessenek széles hálót a keresés során, hogy azonosítsanak olyan személyeket, akiknek sokszínű tapasztalatai és egyedi minőségei vannak, amelyek belső értéket képviselnek az igazgatói szerepekben.”

CISO-k a jövőbeni kibervédelmi kihívások kezelésére

Kakolowski szerint a jelenlegi tehetséghiány és képzettségi különbségek elsősorban a kitettség hiányának köszönhetők. Hozzátette, hogy az igazgatótanács értéke nagyban abban rejlik, hogy külső tapasztalatokat integrál a döntéshozatali folyamatba. A széleskörű tapasztalat lehetővé teszi a szélesebb körű informált döntéshozatalt, amely meghaladja a saját területükre szakosodott szakértő képességeit. “A vállalatok hagyományosan a tech silóban tartották a CISO-kat, korlátozva a hozzáférésüket a kifinomult üzleti kockázati beszélgetésekhez,” mondta. “Ez változik, de a CISO-knak, akik reménykednek a testületi szerepekbe való átlépésben, befektetniük kell soft skillek fejlesztésébe, keresztfunkcionális projektekben való munkába, és diverzifikálniuk kell önéletrajzukat, hogy szerezzenek olyan vezetői szintű tapasztalatokat, amelyek kiemelkedő jelöltekké teszik őket.”

Soft skillek fejlesztése

A soft skillek, mint például a kommunikációs képességek és a vezetői képességek, kiemelt szerepet játszanak egy sikeres CISO pályafutásában, különösen az igazgatói szerepekben. Ennek fejlesztése hozzájárul ahhoz, hogy a CISO-k jobban tudjanak kommunikálni a vállalat többi részlegével, és hatékonyabban tudjanak működni a vezetői szerepekben.

Változatosság a tapasztalatokban

A változatosság a tapasztalatokban – beleértve a különböző iparágakban és a különböző szerepkörökben szerzett tapasztalatokat – növeli a CISO-k esélyeit a vezetői szerepekben történő elhelyezkedésre. A széles körű tapasztalatok lehetővé teszik a CISO-k számára, hogy szélesebb látókörrel rendelkezzenek a kiberbiztonsági kihívásokkal kapcsolatban, és jobban alkalmazkodjanak a változó körülményekhez.

Átfogó keresés

Az igazgatótanácsi szerepekkel kapcsolatban a jelöltkeresés során nem szabad korlátozni a keresést csak a CISO címmel rendelkező személyekre. A jelöltek között érdemes figyelembe venni olyan személyeket is, akik rendelkeznek a szükséges biztonsági tapasztalattal, de nem rendelkeznek a CISO címmel.

Az “it” faktor

Az “it” faktor a CISO-kban egy olyan minőség, amely kiemeli őket a többi jelölt közül. Ez lehet egyedi tapasztalat, szakértelem vagy képesség, amely hozzáadott értéket jelent a vállalat számára. A jelöltek ezen minőségének azonosítása fontos szerepet játszhat a megfelelő CISO kiválasztásában.   Forrás: www.venturebeat.com