A GambleForce nevű eddig ismeretlen hackercsoportot legalább 2023 szeptemberétől kezdődően sorozatban fellépő SQL injection támadásokhoz kötik, olyan vállalatok ellen, amelyek elsősorban az Ázsia-Csendes-óceáni régióban (APAC) működnek. “A GambleForce egyszerű, ugyanakkor hatékony technikákat alkalmaz, beleértve az SQL injectiont és a sebezhető webes tartalomkezelő rendszerek (CMS) kihasználását a felhasználói hitelesítő adatok, például jelszavak ellopására,” áll a Group-IB által a The Hacker News számára megosztott jelentésben, a székhelyünkön, Szingapúrban. A csoport becslései szerint 24 szervezetet vett célba az ausztrál, brazil, kínai, indiai, indonéz, filippínó, dél-koreai és thai szerencsejáték, kormány, kiskereskedelem és utazás területén. Ezek közül hat támadás volt sikeres. A GambleForce működési módja kizárólagosan az open-source eszközökre támaszkodik, mint például a dirsearch, sqlmap, tinyproxy és redis-rogue-getshell, a támadások különböző szakaszaiban a kompromittált hálózatokból érzékeny információk kiszivárogtatásának végső céljával. A fenyegetési tényező által használt eszközök között szerepel a törvényes utókiaknak való Cobalt Strike keretrendszer is. Érdekesség, hogy a támadás infrastruktúráján felfedezett eszköz verziója kínai parancsokat használt, habár a csoport eredete messze nem egyértelmű. A támadási láncok magukban foglalják az áldozatok nyilvánosan elérhető alkalmazásainak visszaéléseit SQL injection kihasználásával, valamint a CVE-2023-23752 sebezhetőség kihasználását a Joomla CMS-ben, hogy jogosulatlan hozzáférést szerezzenek egy brazíliai vállalathoz. Jelenleg nem ismert, hogyan használja fel a GambleForce az ellopott információkat. A kiberbiztonsági cég azt állította, hogy leállította az ellenfél irányító- és ellenőrző (C2) szerverét, és értesítette az azonosított áldozatokat. “A webes beillesztések a legrégebbi és legnépszerűbb támadási vektorok közé tartoznak,” mondta Nikita Rostovcev, a Group-IB vezető fenyegetésanalitikusa. “És az az ok, hogy néha a fejlesztők figyelmen kívül hagyják a bemeneti biztonság és az adatellenőrzés fontosságát. Biztonságtalan kódolási gyakorlatok, helytelen adatbázisbeállítások és elavult szoftverek teremtenek megfelelő környezetet az SQL injection támadásokhoz a webalkalmazásokon.”
Az elmúlt hetekben több Google Drive felhasználó számolt be adatvesztésről, amely a Google felhő alapú tárhelyszolgáltatását érintette. A probléma felfedezése óta egyre több panasz érkezik, amelyek között vannak olyan esetek, ahol felhasználók több ezer fájlt veszítettek el. Egy Yeonjoong nevű felhasználó a Google támogatási fórumán osztotta meg tapasztalatait, ahol arról számolt be, hogy hat hónapnyi adata vált hirtelen hozzáférhetetlenné. Nem sokkal később más felhasználók is hasonló jellegű problémákkal jelentkeztek, többen több ezer fontos dokumentum elvesztéséről számoltak be. A felhasználói panaszok szerint a Google Drive asztali alkalmazásában is előfordult adatvesztés. Ez a szoftver szinkronizálja a felhőben tárolt adatokat a helyi számítógépekkel, így a probléma komoly hatással lehet a felhasználók mindennapi munkájára. Jelenleg még nem világos, hogy mi okozza a hibát, és nincs információ arról sem, hogy a fájlok visszaállíthatóak-e. Ez az eset rávilágít a biztonsági mentés fontosságára, különösen a munkához nélkülözhetetlen adatok esetében. Sok felhasználó nem rendelkezik megfelelő biztonsági mentéssel, ami ilyen esetekben súlyos következményekkel járhat. A biztonsági mentés több módon is megoldható, például külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 módban, CD-k, DVD-k, Blu-ray lemezek, memóriakártyák, pendrive-ok használatával, vagy akár különböző felhőszolgáltatások kombinálásával. A Google szakemberei már elismerték a problémát és vizsgálatokat folytatnak annak okának megállapítására. A felhasználók reménykednek a gyors megoldásban, hiszen sokuk számára a Google Drive elengedhetetlen része a mindennapi munkának. A Google Drive-nak hatalmas felhasználói bázisa van, és a szolgáltatás elterjedtsége miatt a probléma széles körben érinthet felhasználókat szerte a világon. A Google vállalatnak meg kell találnia a hiba forrását, hogy a jövőben elkerüljék az ilyen típusú problémákat. A felhasználók számára fontos, hogy megbízhatóan tárolhassák adataikat, és biztosak legyenek abban, hogy azok bármikor elérhetőek maradnak. A Google-nak ki kell dolgoznia egy stratégiát, amely a jövőben megelőzi az ilyen típusú incidenseket, és biztosítja a felhasználók adatainak biztonságát. A helyzet figyelemmel kísérése folytatódik, és amint további információk válnak elérhetővé a probléma megoldásával vagy annak lehetséges következményeivel kapcsolatban, arról beszámolunk. A felhasználók számára reményt jelenthet, hogy a Google gyorsan reagál a problémára, és lehetőség szerint helyreállítja az elveszett adatokat, bár az is lehet, hogy bizonyos esetekben az adatvesztés végleges marad. A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek. A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva. “A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég. “A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában. 2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették. A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel. Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra. A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók. “Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.” A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN. “Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.” Iránból indult pusztító kibertámadások sújtották az izraeli technológiai és oktatási szektort” Az izraeli felsőoktatási és technológiai szektorok egy sor pusztító kibertámadás célpontjaivá váltak, amelyek 2023 januárjában kezdődtek, céljuk pedig az volt, hogy eddig ismeretlen törlő vírusokat telepítsenek. Az októberben felfedezett behatolások egy iráni állami hackercsoport művei, amelyet Agonizing Serpensként azonosítottak; ismert még Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven is.
“A támadások fő jellemzője a személyazonosító információk (PII) és szellemi tulajdonok ellopásának kísérlete volt,” közölte a Palo Alto Networks Unit 42 egy friss, a The Hacker News-szal megosztott jelentésében. “A támadók az információk megszerzése után többféle törlő szoftvert telepítettek annak érdekében, hogy eltüntessék a nyomokat és használhatatlanná tegyék a fertőzött végpontokat.”
Ezek közé tartozik három különböző, újszerű törlő program: a MultiLayer, a PartialWasher és a BFG Agonizer, valamint a Sqlextractor nevű egyedi eszköz, amelyet adatbázis-szerverek adatainak kinyerésére fejlesztettek. Az 2020 decemberében aktív Agonizing Serpens csoportot izraeli célpontok elleni törlő vírusokkal végrehajtott támadásokkal hozták kapcsolatba. Májusban a Check Point részletezte, hogy a támadók a Moneybird nevű zsarolóvírust használták az ország elleni támadásaik során. A legfrissebb támadássorozat során a hackerek az internetre kapcsolt sebezhető webszervereket használták fel az elsődleges hozzáférési pontként, webhéjak telepítésére, a célhálózat feltérképezésére és olyan felhasználók hitelesítő adatainak megszerzésére, akik rendszergazdai jogosultságokkal bírtak. Ezt követően oldalirányú mozgást végezve exfiltrálták az adatokat különféle nyilvános és egyedi eszközökkel, mint például a Sqlextractor, a WinSCP és a PuTTY segítségével, majd telepítették a törlő vírusokat. A MultiLayer egy .NET alapú vírus, amely fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, így nehezítve meg a helyreállítást, és a rendszerindító szektor törlésével használhatatlanná teszi a rendszert. A PartialWasher egy C++ alapú vírus, amely merevlemezeket vizsgál és bizonyos mappákat, valamint azok almappáit törli. A BFG Agonizer egy olyan vírus, amely egy CRYLINE-v5.0 nevű nyílt forráskódú projektre támaszkodik. Az Agrius és további kártevőcsaládok közötti kód átfedések arra utalnak, hogy a csoport az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is alkalmazta korábban.
“Úgy tűnik, az Agonizing Serpens APT csoport nemrég fokozta képességeit és jelentős erőfeszítéseket, illetve forrásokat fordított az EDR és egyéb biztonsági intézkedések kijátszására,” állítják a Unit 42 kutatói. “E célból váltakozva használtak különböző, jól ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű eszközöket.”
Forrás: www.thehackernews.com Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

 

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat. Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott. A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is. Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben. Forrás: telex.hu A WinRAR-nak nincs automatikus frissítési funkciója, amely különösen kedvez a látszólag állami támogatású hackereknek, mert egy ismert hibát tudnak kihasználni ebben a népszerű programban. Sok felhasználó nem telepíti a szükséges javításokat, ami a program egy konkrét sérülékenységének terjedéséhez vezet – állapította meg a Google. A vállalat most figyelmezteti a felhasználókat, hogy “számos állami támogatású hackercsoport” ezt a CVE-2023-3883 kódnevű hibát használja malware terjesztésre. “A WinRAR hibájának széles körű kihasználása rámutat arra, hogy még akkor is gyakran érik támadások az ismert sebezhetőségeket, ha létezik rá javítás” – írja a Google blogbejegyzésében. Habár a WinRAR a hibát már javította augusztus 2-án a 6.23-as verziójában, a hackerek április óta kihasználják. Mivel nincs automatikus frissítési lehetőség, a felhasználóknak maguknak kell letölteniük és telepíteniük a frissítéseket a WinRAR weboldaláról. “A javítás elérhető, de még sok felhasználó marad sebezhető” – hangsúlyozza a Google. A vállalat rávilágított, hogy több állami támogatású hackercsoport, köztük az orosz “Sandworm”, kihasználja a hibát. A Google egy olyan phishing e-mailt is azonosított, amely úgy tűnt, mintha egy ukrán drónháborús képző iskolától érkezett volna, és kifejezetten ukrán felhasználókat célozott meg. Az e-mail egy linket tartalmazott a fex[.]net nevű fájlmegosztóhoz, melyben egy álcázott PDF dokumentum és egy rosszindulatú ZIP fájl volt, amely a CVE-2023-3883 hibát használta ki – tette hozzá a Google. Egy dokumentum megnyitása a ZIP fájlon belül egy “infostealer” nevű kártevőt aktivál, amely képes ellopni a bejelentkezési adatokat. Egy másik esetben egy “Fancy Bear” nevű orosz hackercsoport phishing oldalt hozott létre, hogy rávegye az ukrán felhasználókat egy ZIP fájl letöltésére, ami szintén a WinRAR hibát használja ki. “Az álcázott dokumentum egy meghívó volt a Razumkov Központ eseményére, egy közpolitikai gondolkodó műhelyből Ukrajnában” – említi a Google. Kínai hackerek is élték a hibával. Egy APT40 nevű csoport indított egy phishing támadást Pápua Új-Guinea felhasználói ellen. “Az e-mailekben egy Dropbox link volt egy ZIP archívumhoz, mely a CVE-2023-3883 kihasználást, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmazott” – tájékoztat a Google. Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat. “Ezek a támadások, melyek a WinRAR hibáját célozzák meg, rámutatnak a frissítések jelentőségére és arra, hogy még sok a teendő a felhasználók számára, hogy szoftvereiket naprakészen és biztonságosan tartsák” – állítja. Megkerestük a WinRAR-t annak érdekében, hogy kiderítsük, terveznek-e automatikus frissítési funkciót bevezetni, és frissíteni fogjuk a cikket, ha választ kapunk. Addig is érdemes megemlíteni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.   Norvégia betiltaná a Facebook viselkedésalapú reklámozását Európában Mielőtt a Meta belekezdhetett volna a felhasználók engedélyének kérésébe, Norvégia az Európai Adatvédelmi Testülethez (EDPB) fordult azzal a javaslattal, hogy tiltsák be a Meta felhasználói adatok gyűjtését a Facebookon és az Instagramon reklámozás céljából. A cél az, hogy ez a tilalom egész Európában érvényesüljön. A skandináv ország Adatvédelmi Hatósága, a Datatilsynet, eddig megakadályozta a Facebook anyavállalatát, a Metát az állampolgáraik adatainak gyűjtésében, fenyegetve őket napi egymillió koronás (körülbelül 94 000 dollár) bírsággal, amennyiben nem tesznek eleget a követelményeknek. Augusztusban közölték, hogy a Meta nem működik együtt, ezért napi bírságokat róttak ki rájuk. A korlátozást, amelyet júliusban vezettek be és mely büntetést eredményezett, november 3-án vonják vissza. Ebből ered Norvégia “kötelező döntés” iránti kérésének indoka. A júliusi korlátozást az Európai Unió Bíróságának az azt megelőző hónapban hozott ítélete alapján vezették be. Ebben az ítéletben kifejtették, hogy a Meta adatfeldolgozási tevékenysége során védett adatokat is gyűjtött, amikor viselkedésalapú hirdetéseket készített. Bár Norvégia nem EU-tag, az európai egységes piacnak részese. Az EU legfelsőbb bíróságának, a CJEU-nak a feladata az európai szerződéseknek megfelelő jogalkalmazás és értelmezés biztosítása, beleértve a Norvégiára vonatkozó rendelkezéseket, valamint az EU által elfogadott jogszabályok egységes alkalmazásának garantálása. A Datatilsynet szerint az amerikai cég által végzett adatfeldolgozás a GDPR-ral ellentétes. A Meta korábban azt állította, hogy rendelkeznek a felhasználók hozzájárulásával a célzott hirdetésekhez, mivel a felhasználók elfogadták az ÁSZF-et regisztráláskor. Azonban a CJEU ezt az érvet elutasította. Ezen a héten a Datatilsynet így nyilatkozott: „Úgy gondoljuk, hogy ideiglenes tilalmunkat állandóvá kellene tenni. Emellett úgy véljük, hogy a GDPR-t egységesen kell értelmezni az EU/EGT területén, és kérjük, hogy a tilalom az egész kontinensen legyen érvényes.” A Meta vitatja az ügyet és az EDPB-hez való benyújtását. A Datatilsynet szerint a vállalat többek között úgy véli, hogy a norvég DPA döntése érvénytelen és nincs jogalapja egy kötelező döntés kérésére az EDPB-től. A Meta már évek óta szembenéz GDPR-rel kapcsolatos perekkel Európában és az Egyesült Királyságban. Múlt hónapban bejelentették, hogy kifejezett hozzájárulást kérnek az EU, az EGT és Svájc polgáraitól, mielőtt adataikat személyre szabott hirdetésekhez használnák. A Facebook anyavállalatának szóvivője elmondta, hogy “meglepetten” értesült a norvég hatóság intézkedéseiről, tekintettel arra, hogy a Meta már elköteleződött az EU/EGT területén történő reklámozás jogalapjának módosítása mellett. Hozzátette: “Folyamatosan egyeztetünk a releváns adatvédelmi hatóságokkal az Írországi Adatvédelmi Bizottság révén, és hamarosan további információkat közlünk.” Az Egyesült Királyság hiányzik a listáról, ahol a Meta a “hozzájárulás” alapján működik, annak ellenére, hogy az előírások nagyjából megegyeznek az UK GDPR-rel. A brit kormány éppen azon dolgozik, hogy helyettesítse az EU jogszabályt – mely még mindig az Egyesült Királyság jogrendjének része az Adatvédelmi Törvény alapján – az Adatvédelmi és Digitális Információ törvényével. A norvég Datatilsynet szóvivője elmondta, hogy sürgősen várnak a Meta által ígért módosításokra, de egyelőre nem kaptak részletes tájékoztatást ezekről a változtatásokról. Forrás: www.theregister.com

Mit jelent valójában a “valós idejű” az adatelemzésben?

A valós idejű adatelemzés rejtélyének megfejtése: Az értelmezések, kategóriák és stratégiák megértése az adatvezérelt kor rejtett értékeinek feltárásához. Vajon egy elemzési válasz, mely 300 ezredmásodpercen belül érkezik az előző napon generált adatokra, valós idejűnek számít-e? A mai gyorsan változó digitális világban a valós idejű adatelemzés fogalma egyre elterjedtebb és elengedhetetlen az üzleti siker érdekében. Viszont sok a félreértés a “valós idejű” kifejezés valódi jelentését illetően. A valós idejű adatelemzésről szóló beszélgetések során az értelmezések megértése létfontosságú annak érdekében, hogy kiaknázzuk a valós idejű elemzés adta lehetőségeket az adatvezérelt korban. Javaslatom a következő: szükség van a teljes körű valós idejű adatelemzés és az előkészített adatok gyors válaszreakciójának elkülönítésére. A válaszlatencia az az idő, amely alatt egy rendszer feldolgozza a kérést vagy lekérdezést, és válaszol rá. A teljes körű valós idejű adatelemzés adataink generálásától az elemzésig tartó időt foglalja magában, amely az adatok szállítására, transzformálására és előkészítésére is kiterjed.

Alacsony késleltetésű valós idejű adatelemzés

Ez a kategória a válaszlatenciát az alábbiak szerint határozza meg:

Teljes körű valós idejű adatelemzés

Ez a kategória az adatok forrásból történő feldolgozását foglalja magában, nem csak egy már előkészített adatra adott választ: Forrás: insidebigdata.com

5 adatbiztonsági trend, amire 2023-ban és utána figyelünk

Ahogy a technológia folyamatosan fejlődik, úgy nőnek az adatbiztonsági fenyegetések is. 2023-ban a szervezeteknek előre aktívan meg kell védeniük érzékeny adataikat és navigálniuk kell a növekvő kiberbiztonsági kockázatok között. Mint vezető ITAD-szolgáltató, az adatbiztonság a legfőbb prioritásunk. Öt trendet tekintünk át az adatbiztonság terén 2023-ra, amelyek túlmennek az alapvető szoftverfrissítéseken, az elavult rendszerek naplemente előtti leállításán és a hardverek frissítésén.

Mesterséges Intelligencia és Gépi Tanulás

A fejlett mesterséges intelligencia (AI) és gépi tanulási algoritmusok képesek a kiberbiztonság javítására a gyanús viselkedések és minták észlelésével, valamint potenciális kockázatok előrejelzésével. A prediktív technológiák alkalmazásával az AI megtanulja felismerni a viselkedéseket, hogy eldöntse, jelentenek-e fenyegetést, és megtévő lépéseket vagy értesíti az érintett feleket.

Biometrikus Azonosítás Növekvő Használata

A biometrikus azonosítási módszerek, mint az arcfelismerés és az ujjlenyomat-szkennelés, egyre népszerűbbek az emberek azonosításához hardveres és szoftveres bejelentkezéskor. A biometriák magasabb biztonsági szintet kínálnak a hagyományos jelszavaknál, amelyeket könnyen ki lehet találni vagy el lehet lopni. A biometrikus módszerek a felhasználók számára is kényelmesebbek, így nem kell emlékezniük bonyolult jelszavakra vagy foglalkozniuk a kétfaktoros hitelesítéssel, ha az 2FA eszközt elvesztik vagy ellopják.

Több Szabályozás és Megfelelőségi Követelmény

Ahogy az adatszivárgások egyre gyakoribbá válnak, a szabályozói testületek világszerte szigorúbb szabályozásokat és megfelelőségi követelményeket érvényesítenek. A vállalatoknak erős adatbiztonsági intézkedésekbe kell befektetniük, beleértve az ITAD szolgáltatásokat, hogy megfeleljenek ezeknek a szabályozásoknak és elkerüljék a büntetéseket és bírságokat. Különös figyelmet kell fordítani a nemzetközi üzleti tranzakciókra, különösen azokban az országokban, ahol az adatbiztonság veszélyben lehet a kormányzati megfigyelés miatt.

Dolgozói Képzés és Tudatosság Középpontban

A dolgozók gyakran az adatbiztonság leggyengébb láncszemét képezik, mivel az emberi hiba adatszivárgáshoz vezethet. A dolgozói tudatosság és képzés növelése az adatbiztonságban és az IT-eszközkezelés legjobb gyakorlataiban jelentősen csökkentheti a kockázatokat, drága hardveres vagy szoftveres beruházások nélkül.

Felhőbiztonság

Bár a vállalatok visszatérnek a helyszíni munkavégzéshez, a felhőbiztonság még mindig előtérben van. Győződjön meg arról, hogy vállalatának erős biztonsági protokolljai vannak a felhőalapú alkalmazásokhoz és szolgáltatásokhoz való hozzáférés kezelésében. Kövesse nyomon az összes vállalati eszközt, amelyek érzékeny információkat tárolhatnak vagy felhőalapú rendszerekhez csatlakozhatnak, beleértve a táblagépeket, laptopokat és okostelefonokat. Vegye fontolóra az adatok titkosítását, hozzáférési ellenőrzéseit és rendszeres biztonsági felülvizsgálatokat, hogy megvédje felhőben tárolt adatait. A legjobb biztonsági megoldások értesítést küldenek a releváns munkatársaknak, ha valami gond merül fel.

Adatbiztonsági szolgáltatások

Az ITAD szolgáltatások és az adatbiztonsági szolgáltatások egymástól elválaszthatatlanok. Az ITAD szolgáltatók segítséget nyújtanak a vállalatoknak az adatbiztonsági követelmények betartásában, az eszközök nyomon követésében és az érzékeny információk megfelelő módon történő kezelésében. 2023-ban az adatbiztonsági kihívások továbbra is változnak és fejlődnek. A szervezeteknek előre kell gondolkodniuk és alkalmazkodniuk kell a változó környezethez. Az ITAD és adatbiztonsági szolgáltatások nagyban hozzájárulnak a vállalatok adatbiztonságának javításához. Forrás: itsupplysolutions.com Miután átálltunk a felhőre, győződjünk meg róla, hogy az adatok biztonságban vannak, és a feleslegessé vált adatokat töröljük. A távmunka növekedése felgyorsította a felhőalapú technológia bevezetését a vállalatoknál. Az átállás alkalmával azonban ne hanyagoljuk el a vállalati adattárolók alapos és tanúsított törlését. A pandémia drasztikusan megváltoztatta munkavégzési és vásárlási szokásainkat, az online tér vált a preferált választássá mindkét területen. A vállalatok egyre többet költenek felhőtechnológiai megoldásokra, és a Gartner előrejelzései alapján ez a trend 2024-ig folytatódik. Impozáns növekedés 2021-ben a felhőalapú technológiákra költött összegek 18,4%-kal nőttek, ezzel 304,9 milliárd dolláros bevételt generálva világszerte. A távmunka trendje nem múlik el, a Gartner becslései szerint a vállalatok 75%-ánál továbbra is jelen marad. Adatok törlése az átállás után Amikor egy vállalat felhőalapú megoldásra vált, az azzal jár, hogy a korábban belsőleg tárolt információk most egy külső felhőszolgáltatónál kerülnek elhelyezésre. Az átállás után több okból is célszerű az adatokat törölni. A törléssel például csökkenthetjük annak kockázatát, hogy adataink illetéktelen kezekbe kerüljenek. A felszabadított tárhely újrahasznosítható, így nincs szükség új tárolók beszerzésére. Az adatok védelme Bár a felhőalapú megoldások rugalmasságot és skálázhatóságot nyújtanak, új kockázatok is felmerülnek, különösen az érzékeny adatok tekintetében. A Blancco adattörlő rendszerei segítenek megóvni a vállalatokat az adatok jogosulatlan hozzáférésétől. Ha nincs többé szükség az adatokra, távolítsuk el azokat, így azok nem lesznek elérhetőek, és az adattárolókat továbbra is használhatjuk. A Blancco rendszerek segítségével az adattörlés nyomon követhető és dokumentálható. A tanúsított adattörlés és ellenőrzés nemcsak a felhőre való átálláskor fontos, de más esetekben is:  

Biztonsági figyelmeztetés a felhőben: orosz hackerek Microsoft Teams segítségével adathalászatot végeznek

A Microsoft szerint egy az orosz kormányhoz köthető hackercsoport a Microsoft Teams csevegő alkalmazást használja adathalászati célokra különböző szervezeteknél.

Microsoft Jelentés

A szoftvercég, Microsoft, szerda hajnalban adott ki közleményt egy orosz kormánnyal kapcsolatban álló, ismert hackercsoport tevékenységéről, amely a Microsoft Teams alkalmazást használja felhasználói adatok lopására. A redmondi Fenyegetések Intelligencia Csapat kutatási jelentése szerint a hackercsoport az orosz Külügyi Hírszerző Szolgálatához (SVR-ként is ismert) köthető. A csoportot kormányzati és civil szervezetek, IT szolgáltatók, technológiai vállalatok, gyártók és médiaházak elleni támadásokkal vádolják.

Éjféli Hóvihar Támadásai

A Microsoft ezt a csoportot ‘Éjféli Hóvihar’ (korábban Nobelium néven ismert) néven azonosította, és figyelmeztetett arra, hogy a csoport már fertőzött Microsoft 365 felhasználói fiókokat használ kisvállalkozásoktól új domainek létrehozására, amelyek technikai támogató entitásoknak látszanak. Ezen domainekkel a kutatók a Microsoft Teams üzeneteit használták felhasználói adatok lopására, amelyek a felhasználók interakcióját és többlépéses hitelesítési folyamatokat (MFA) céloztak meg. A vállalat azt állítja, hogy a támadásokat kevesebb mint 40 globális szervezetnél azonosították, ami arra utal, hogy ez USA-ban és Európában egy célzott, precíz kiberkémkedési akcióról van szó.

További Részletek a Támadásról

A Microsoft kutatói a legújabb adathalász támadások technikai dokumentációját is elkészítették, amely a csalétek céljából használt biztonsági domainnevekre vonatkozik.
 “A támadások megkönnyítése érdekében a csoport korábban megfertőzött kisvállalkozások Microsoft 365 fiókjait használta. A csoport átnevezi a fertőzött fiókot, hozzáad egy új ‘onmicrosoft.com’ aldomaint, és létrehoz egy új felhasználót ezen a domainen, amelyről üzenetet küld a célpont fiókhoz.”
Ha a támadás sikeres, a támadók hozzáférnek a célpont Microsoft 365 fiókjához és a kapcsolódó szolgáltatásokhoz, és befejezik a hitelesítési folyamatot. Amikor a támadás megtörténik, a támadók eltulajdoníthatják a felhasználói információkat, és hozzáférhetnek más Microsoft 365 szolgáltatásokhoz, mint például az Azure.

Védelem és Utóhatások

A Microsoft azt állítja, hogy észlelte a támadás utáni tevékenységeket és az információk eltulajdonítását. Bizonyos esetekben az aktor megpróbált hozzáadni eszközöket a szervezethez, amelyeket a Microsoft Entra ID kezel. Ez a támadó számára lehetővé teszi, hogy megkerülje azokat a feltételes hozzáférési szabályokat, amelyek csak kezelt eszközökkel működnek. A Microsoft folyamatosan dolgozik azon, hogy felismerje és blokkolja ezen támadási vektorokat, és azt javasolja a felhasználóknak, hogy legyenek óvatosak minden ismeretlen forrásból érkező üzenettel és felszólítással kapcsolatban. Forrás: www.securityweek.com  

A technológia előrehaladtával

A technológia előrehaladtával egyre több hangsúlyt fektetünk a routerek, switchek és access pointok tanúsított adatmentesítésére, tekintettel arra, hogy ezek az eszközök nemcsak a hálózati csatlakozásokért felelősek, de adattárolási funkcióval is rendelkeznek. A technológiai fejlődés következtében a hálózat minden egyes részében egyre több intelligens megoldás jelenik meg. A hálózati forgalom felügyelete, a biztonság, az eszközök kezelése és más funkciók terjesztett szolgáltatásokká alakultak. Ennek következtében a standard hálózati eszközök – mint a routerek és switchek – egyre összetettebbé és drágábbá váltak.

A hálózati eszközök evolúciójának egyik aspektusa

A hálózati eszközök evolúciójának egyik aspektusa az, hogy jelentős helyi adattárolási képességet biztosítunk számukra. Konfigurációs adatokat, log adatokat és más információkat tárolnak a hálózati topológiáról, IP címekről, hálózati hovatartozásról. Ezek az adatok többnyire érzékenyek, különösen a kiberbiztonsági szempontból. Semmi garancia arra, hogy egy rendszergazda milyen adatokat őriz a hálózati eszközök helyi adattárolójában, ezek projekt kapcsolódó jegyzetek vagy jelszó listák is lehetnek. Kétségtelen, hogy ezeket az adatokat ugyanolyan szintű védelemmel kell ellátni, mint a vállalati szervereken tárolt adatokat.

Mire figyeljünk?

A gyári visszaállítás nem ad garanciát arra, hogy a tárolt információkat teljesen és visszaállíthatatlanul töröltük. Továbbá, ez a folyamat meglehetősen munkaigényes. Az alternatív megoldás, az eszköz fizikai megsemmisítése sem praktikus, mivel nincs eszköz, amit az adatok teljes tanúsított törlése után tovább tudnánk adni. A hálózati eszközök költségesek, üzleti szempontból előnyös, ha újra el tudjuk őket adni. Egyes szervezetek előírásai szerint a hálózati eszközök adattárolójának sterilizálása szükséges, még akkor is, ha a szervezeten belül újrahasznosítják őket.

A hálózati eszközök adattörlési kihívásai

Amikor egy rack szerver eléri élettartamának végét, minden egyes szervert külön-külön vonnak ki a szolgálatból, és ezzel együtt a rack tetején lévő switchet is. Egy teljes hálózati switch ledarálni nem megvalósítható, az eszköz fizikai megsemmisítése pedig jelentős manuális munkát igényel: a szakember egyesével bontja szét az eszközöket, kézzel szedi szét az adathordozókat, legyen az merevlemez vagy SSD. Az adattárolók azonosításához komoly technikai ismeretekre van szükség. Sok esetben az SSD vagy merevlemez az alaplaphoz van forrasztva, ezeket csak hosszas munkával lehet eltávolítani – a folyamat végén az eszköz használhatatlanná válik. Tehát a hálózati eszközök megsemmisítése költség szempontjából nem gazdaságos. És még nem is beszéltünk a környezetvédelmi szempontokról, amikor az eszközök felújítása és újrahasznosítása jelentős társadalmi és környezeti előnyökkel jár.

Automatizált, menedzselhető

A Blancco Network Device Eraser megoldása hatékony és biztonságos alternatíva a kézi feldolgozáshoz és a fizikai megsemmisítéshez egyaránt. Nem destruktív módon, de véglegesen és tanúsítottan törli a switcheket, routereket és access pointokat az NIST 800-88 előírásai szerint. Könnyen integrálható a WMS, AMS és más meglévő rendszerekkel az automatizált munkafolyamat és rugalmasság érdekében. A Blanco Management Console segítségével központi helyre gyűjti össze a digitálisan aláírt adattörlési jelentéseket, így az adattörlési folyamat tanúsított, a jelentések könnyen hozzáférhető.   Forrás: blancco.hu

Az SSD-k helytelen törlése során elkövetett 5 gyakori hiba, amit érdemes kerülni

Az utóbbi években a szilárdtest-meghajtók (SSD-k) váltak a számítógépek és mobiltelefonok leginkább használt tárolási technológiájává. Mindazonáltal, ha nem megfelelően töröljük őket, kockázatot jelenthet az adataink biztonságára. Az SSD-k számos előnnyel bírnak: gyorsabbak a hagyományos merevlemezeknél, kevésbé hajlamosak a hibákra, és energetikailag is hatékonyak. Míg áruk csökken, elterjedésük széleskörűvé válik, azonban a használatuk utáni megsemmisítés során néhány fontos szempontot figyelembe kell venni.

Az 5 leggyakoribb hiba

  1. Fájlok és mappák törlése, formázás és gyári beállítások visszaállítása: az SSD-k hagyományos törlési vagy formázási módszerekkel történő törlése veszélyes, mivel ezek a technikák csak az adatokra mutató „hivatkozásokat” (indexelést) törlik el, nem pedig az adatokat magukat. Egy ingyenes visszaállító (recovery) szoftver valószínűleg képes visszaállítani a törölt mappákat és fájlokat, vagy a gyorsformázással törlt SSD teljes tartalmát.
  2. Partíció vagy kötet törlése az SSD-n: egy másik gyakran előforduló hiba, hogy az SSD-n található partíciót vagy kötetet törlik, hogy megszabaduljanak az ott tárolt adatoktól. Számos professzionális eszköz van, amelyek képesek könnyedén visszaállítani az elveszett partíciókat, ami ezen módszer megbízhatatlanságát eredményezi.
  3. A natív törlési parancs használata: néhány SSD rendelkezik beépített törlési paranccsal, ami felülírja az egész SSD-t. Azonban általában nehéz bizonyítani, hogy az adatok végérvényesen eltűntek a rejtett szektorokból, mivel nincs bizonyíték a megsemmisülésről. Továbbá, ezt a funkciót csak néhány gyártó biztosítja, és a natív törlési parancsból hiányzik a transzparencia, nincs mód az adatok törlésének ellenőrzésére.
  4. Ingyenes szoftver használat az SSD-k törléséhez: egy másik gyakori hiba, amit az emberek elkövetnek az SSD meghajtók törlésekor, hogy olyan ingyenes szoftvert használnak, amelyet hagyományos meghajtók, és nem SSD-k törlésére terveztek. Ezek a szoftverek általában nem készítenek jegyzőkönyvet, és nem garantált, hogy a helyes törlési algoritmust alkalmazzák.
  5. Többszörös felülírás használata: az SSD-k írási ciklusai korlátozottak, ezért azok többszöri felülírása olyan algoritmusokkal, mint a DoD-3-pass vagy DoD-7-pass, rontja az adattároló élettartamát, és nem javasolt az SSD meghajtók törléséhez. A NIST SP 800-88 Rev 1 szerint az SSD-k törlésének két elfogadott módja a NIST Clear és a NIST Purge; ezen kívül a kriptográfiai törlést is lehet alkalmazni a titkosítást támogató SSD-ken.

Az ideális adattörlő szoftver

Az ideális adattörlő szoftver támogatja a modern törlési algoritmusokat (például NIST Clear és NIST Purge), és dokumentációt (jegyzőkönyvet) készít a törlés folyamatáról, melyben fel van tüntetve a törlés részletei és eredménye. A Blancco Driver Eraser azonfelül, hogy ellenőrzi a törlés eredményét és folyamatát, a folyamat végén mintát vesz a lemez különböző területeiről, a Blancco Management Console pedig garantálja a jegyzőkönyv hitelességét azáltal, hogy hitelesíti az elektronikus aláírást. Az adathordozók törlésének jegyzőkönyvezése jogszabályi kötelezettség, erről bővebben útmutatónkban olvashat. Forrás:www.blancco.hu  

Új macOS kártevő, amely könnyedén ellophatja a kripto pénztárcádat, a Realst.

Egy új Mac kártevő, melyet “Realst”-ként neveztek el, hatalmas kampány keretében célozza meg az Apple számítógépeket. Legújabb variánsai közül néhány támogatja a még fejlesztés alatt álló macOS 14 Sonoma-t. Az iamdeadlyz biztonsági kutató által először felfedezett kártevő hamis blockchain játékok formájában terjed Windows és macOS felhasználók számára, olyan nevekkel, mint a Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles és SaintLegend. Ezeket a játékokat közösségi médiában népszerűsítik, a fenyegető szereplők közvetlen üzenetekben osztják meg a hamis játék kliens letöltéséhez szükséges hozzáférési kódokat az összekötött weboldalakról. A hozzáférési kódok lehetővé teszik a fenyegető szereplők számára, hogy kiválasszák azokat, akiket meg akarnak célozni, és elkerüljék a biztonsági kutatókat, akik a kártékony viselkedést szeretnék feltárni.

A Realst Mac kártevő

Amikor a hamis játékot letöltik a fenyegető szereplő oldaláról, vagy Windows vagy macOS kártevőt kínálnak nekik, attól függően, milyen operációs rendszert használnak. A Windows kártevő általában a RedLine Stealer, de néha más kártevő is, mint például a Raccoon Stealer és az AsyncRAT. A Mac felhasználók számára az oldalak a Realst információlopó kártevőt terjesztik, amely PKG telepítőként vagy DMG lemezként célzott Mac eszközökre, tartalmazva a káros Mach-O fájlokat, de valódi játékokat vagy más csali szoftvereket nem. A “game.py” fájl egy cross-platform Firefox infostealer és az “installer.py” egy “chainbreaker”, amely egy nyílt forráskódú macOS kulcsadatbázis jelszó-, kulcs- és tanúsítványkivonó. A SentinelOne azt találta, hogy néhány minta kódszerkesztéssel rendelkezik érvényes (most visszavont) Apple Fejlesztői ID-k segítségével, vagy ad-hoc aláírásokkal, hogy elkerülje a biztonsági eszközök észlelését.

A változatok

A SentinelOne által elemzett 16 különböző Realst változat meglehetősen hasonló formában és funkcióban, bár eltérő API híváskészleteket használnak. Minden esetben a kártevő a Firefox, Chrome, Opera, Brave, Vivaldi, és a Telegram alkalmazást célozza, de egyik elemzett Realst minta sem célozza a Safarit.

Elkerülés és felismerés

A felhasználóknak mindig óvatosnak kell lenniük a közösségi médiában kapott üzenetekkel, és csak olyan forrásokból kell letölteniük a szoftvereket, amelyek megbízhatónak tekinthetők. A nem hivatalos forrásokból származó játékok és szoftverek letöltése könnyen megfertőzheti a számítógépet kártékony szoftverekkel. Az Apple felhasználóknak javasolt engedélyezni a SIP és a Gatekeeper funkciókat, hogy további védelmet nyújtsanak a kártékony szoftverek ellen. A SentinelOne új yara szabályokat adott ki a Realst kártevő azonosítására, amelyek a kutatási jelentésben megtalálhatók. Összefoglalva, a Realst egy nagyon aktív és gyorsan fejlődő kártevő, amelynek különböző változatai többféle módon próbálják ellopni a felhasználók érzékeny adatait. A felhasználóknak óvatosnak kell lenni, és csak megbízható forrásból származó szoftvereket kell letölteniük, továbbá biztosítaniuk kell, hogy számítógépeik biztonsági mechanizmusai be vannak kapcsolva, hogy megvédjék őket a Realst és más kártevők ellen.   Forrás: www.bleepingcomputer.com

2022 és 2023 Ransomware támadások elemzése

2022-ben a ransomware támadások száma csökkent, reményt keltve, hogy megfordul a trend a mögöttük álló bűnözői bandákkal szemben. Aztán a helyzet hirtelen rosszabbra fordult. A globális jogi erőfeszítések ellenére, melyek a ransomware támadások visszaszorítására irányultak, a hackereknek fizetett váltságdíjak és a támadások száma is csökkent 2022-ben. Azonban ez a trend nem látszik megállni 2023-ban, sőt, a támadások száma ismét megugrott. A Chainalysis kriptopénz-nyomozó cég adatai szerint az áldozatok az év első hat hónapjában már 449,1 millió dollárt fizettek a ransomware csoportoknak. Ez a szám 2022-ben még csak alig érte el az 500 millió dollárt. Ha az idei fizetési ütem folytatódik, a cég adatai szerint, 2023-ban a teljes összeg elérheti a 898,6 millió dollárt. Ez 2023-at a ransomware bevételek második legnagyobb évévé tenné 2021 után, amikor a Chainalysis becslése szerint a támadók 939,9 millió dollárt csikartak ki az áldozatokból. Az adatok összhangban vannak más kutatók megfigyeléseivel, miszerint a támadások száma idén megugrott. A ransomware csoportok egyre agresszívabbak és meggondolatlanabbak az érzékeny és potenciálisan káros információk közzétételével kapcsolatban. A Manchesteri Egyetem elleni legutóbbi támadásban a hackerek közvetlenül az egyetem hallgatóinak küldtek e-mailt, melyben közölték, hogy hét terabyte adatot loptak el, és fenyegetőztek, hogy “személyes információkat és kutatási adatokat” hoznak nyilvánosságra, ha az egyetem nem fizet váltságdíjat.
„Úgy gondoljuk, hogy a 2022-es költségvetési hiányok miatt láttunk ilyen extrém zsarolási technikákat, amelyekkel tovább csavarják a kést” – mondja Jackie Burns Koven, a Chainalysis kiberfenyegetés-intelligencia részlegének vezetője. „2022-ben nagyon meglepődtünk, amikor a csökkenést tapasztaltuk. Majd beszéltünk külső partnerekkel – válságkezelő cégek, biztosítók – és mindannyian azt mondták, igen, kevesebbet fizetünk, és kevesebb támadást is látunk.”
A Chainalysis és más szervezetek a 2022-es visszaesést több tényezőnek tudják be. Szerepet játszottak a bővített biztonsági védelmi intézkedések és a felkészültség, valamint a dekódoló eszközök elérhetősége, amelyeket magánvállalatok és az FBI kínált a ransomware áldozatainak, hogy azok visszaszerezhessék adataikat anélkül, hogy váltságdíjat fizetnének a támadóknak. A Chainalysis úgy véli, hogy Oroszország ukrajnai inváziója befolyásolta számos kiemelkedő ransomware csoport napi műveleteit, amelyek elsősorban Oroszországban vannak székelve. A potenciális áldozatok védelmi módszereinek javítása és a kormányzati elrettentő kezdeményezések 2023-ban sem csökkentek. De a Chainalysis kutatói úgy gondolják, hogy Oroszország ukrajnai háborújának alakulása meg kell magyaráznia az idei növekvő ransomware tevékenységet, vagy legalábbis szerepet kell játszania benne. A Chainalysis a kriptopénz-ellenőrzésben és -követésben specializálódott, így a cég kutatói jól felkészültek a ransomware fizetések mértékének és nagyságának megfigyelésére. A cég azt mondja, hogy konzervatív megközelítést alkalmaz, és alaposan folytatja a korábbi tranzakciókról szóló új adatok fényében a visszamenőleges éves összesítések és más számok frissítését. Általában azonban a kutatók hangsúlyozzák, hogy a ransomware támadások vagy a fizetések tényleges összegeit szinte lehetetlen megbecsülni a rendelkezésre álló információk alapján, és hogy a Chainalysis vagy a kormányzati nyomon követés adatait csak a trendek nagy vonalainak jellemzésére lehet használni.
“Még mindig nagyon kevés betekintésünk van a tényleges támadások számába” – mondja Pia Huesch, a brit védelmi és biztonságpolitikai gondolkodócsoport, a RUSI szakértője. “Azt hiszem, a legnagyobb kihívás, amellyel jelenleg szembesülünk, az a támadások áldozatainak jelentéseinek hiánya és a váltságdíj-fizetések átláthatósága.”
Sokan úgy gondolják, hogy a jelenlegi ransomware-helyzet komolyan megköveteli a kormányzati beavatkozást és a közös nemzetközi erőfeszítéseket a támadások ellen. A múltbeli erőfeszítések ellenére a ransomware fenyegetése továbbra is fennáll, és fontos, hogy a kormányok továbbra is együttműködjenek és készüljenek fel a jövőbeli támadásokra. Forrás: www.wired.com

Revolut 20 Millió Dolláros Veszteséggel Szembesül, miután Támadók Kihasználják a Fizetési Rendszer Gyengeségét

Rosszindulatú személyek kihasználtak egy ismeretlen hibát a Revolut fizetési rendszereiben, és több mint 20 millió dollárt loptak el a vállalat pénzeszközeiből 2022 elején. A fejleményt a Financial Times jelentette, több névtelen forrást idézve, akik ismeretekkel rendelkeznek az esetről. A incidens nyilvánosan még nem lett közölve. A hiba a Revolut amerikai és európai rendszerei közötti eltérésekből adódott, ami azt eredményezte, hogy néhány tranzakció elutasításakor a vállalat saját pénzét tévesen visszatérítették. A problémát először 2021 végén észlelték. De mielőtt bezárhatták volna, a jelentés szerint szervezett bűnözői csoportok kihasználták a kiskaput,
“arról biztosítva az egyéneket, hogy próbáljanak meg drága vásárlásokat eszközölni, amelyeket később elutasítanak.”
Az visszatérített összegeket ezután kivonták az ATM-ekből. A hiba technikai részletei jelenleg nem ismertek. Összesen körülbelül 23 millió dollárt loptak el, néhány alap a készpénzfelvétellel rendelkezők üldözésével lett visszaszerezve. A tömeges csalási rendszer mintegy 20 millió dolláros nettó veszteséget okozott a neobanknak és fintech cégnek. Az információ kevesebb mint egy héttel azután érkezik, hogy az Interpol bejelentette egy OPERA1ER néven ismert francia nyelvű hackercsoport feltételezett vezető tagjának letartóztatását, amelyet pénzintézetek és mobilbanki szolgáltatások elleni támadásokkal hoztak összefüggésbe, malware-rel, phishing kampányokkal és nagyszabású üzleti e-mail kompromittálási (BEC) csalásokkal. Forrás: thehackernews.com

35 millió indonéz útlevéladat 10 000 dollárért kapható a Dark Web-en

Adatszivárogtatást követett el a hírhedt indonéz hacktivista, Bjorka – feltörésre gyanakodnak a kutatók. Körülbelül 35 millió indonéz útlevél-tulajdonos személyes adatait 10 000 dollárért árulja a sötét weben a hírhedt hacktivista, Bjorka, aki rendszeresen bírálja az indonéz kormányt és káros információkat oszt meg a törvényhozókról a közösségi médiában. A kormány az esetleges Bevándorlási Főigazgatóság hálózatában történt megsértést vizsgálja. Teguh Aprianto, indonéz biztonsági kutató, egy szerdai Twitter-szálon fedte fel, hogy egy hacker eladásra kínálta az indonéz útlevéltulajdonosok adatait, beleértve a teljes neveket, születési dátumokat, nemeket, útlevélszámokat és az útlevelek érvényességi dátumait. Aprianto elmondása szerint a fenyegető személy 1 millió adatrekordot osztott meg, bizonyítékként arra, hogy a feljegyzések valódiak. A fenyegető posztja szerint a 4 gigabájtos adatgyűjtemény 10 000 dollárért eladó.
“A megadott mintaadatokból ítélve az adatok érvényesnek tűnnek” – írta Aprianto a Twitteren. “Az időbélyeg 2009-2020.”
Az indonéz Kommunikációs és Informatikai Minisztérium, ismertebb nevén Kominfo, csütörtökön közölte, hogy vizsgálja a 34,9 millió indonéz személyes adat állítólagos ellopásával kapcsolatos bejelentéseket. Semuel A. Pangerapan, az Informatikai Alkalmazások Főigazgatója elmondta, hogy a minisztérium “nem tudta megállapítani, hogy tömeges személyes adatok kiszivárogtatása történt volna”. Pangerapan közölte, hogy a Kominfo alapos vizsgálatot fog végezni a jelentett adatszivárgás ügyében, és a lehető leghamarabb közzéteszi megállapításait. A minisztérium együttműködik a Nemzeti Kiber- és Kriptoügynökséggel, a Bevándorlási Főigazgatósággal és a Jogi és Emberi Jogi Minisztériummal. “A Hírközlési és Informatikai Minisztérium felkéri minden digitális platform szolgáltatóját és személyes adatkezelőjét, hogy a személyes adatok védelmére vonatkozó rendelkezéseknek megfelelően tovább javítsa a felhasználók személyes adatainak biztonságát, és biztosítsa az üzemeltetett elektronikus rendszerek biztonságát” – közölte Pangerapan. Aprianto elmondása szerint az adatmintát Bjorka, egy hírhedt indonéz hacktivista tette közzé, aki 2022 szeptemberében szerzett hírnevet azzal, hogy 1,3 milliárd SIM-kártya adatait lopott el az indonéz Kommunikációs és Információs Technológiai Minisztérium szervereiről, és áruba bocsátotta a sötét weben. A gyanú szerint a hacktivista az indonéz PLN áramszolgáltató 17 millió ügyfelének személyes adatainak ellopásáért is felelős 2022 augusztusában. A Cyble, egy fenyegetéssel foglalkozó hírszerző cég szerint Indonézia Délkelet-Ázsia egyik leggyakrabban célzott országa a kibertámadások terén. Csak 2022 első negyedévében több mint 11 millió támadás érte az országot.
Egy kínai állami csoportot figyeltek meg, amely az HTML Smuggling technikákat használva célzott európai Külügyminisztériumokra és nagykövetségekre, hogy a PlugX távoli hozzáférésű trójai programot telepítse a megsértett rendszerekre. A Check Point kiberbiztonsági cég szerint az aktivitás, melyet SmugX néven emlegetnek, legalább 2022 decemberétől folytatódik, és arra utal, hogy a kínai ellenségek egyre inkább Európára koncentrálnak. “A kampány új szállítási módszereket használ (elsősorban az HTML Smugglinget) egy új PlugX változat telepítésére, mely általában a kínai fenyegető szereplőkhöz köthető.” – mondta a Check Point. Bár a terhelés önmagában hasonló a korábbi PlugX változatokhoz, a szállítási módszerei alacsony detektálási rátákat eredményeznek, amelyek eddig segítették a kampányt a radar alatt maradni.

Az új támadási sorozat jelentősége az HTML Smuggling használatában rejlik

Ez egy ravasz technikában, melyben legitim HTML5 és JavaScript funkciókat használnak fel a rosszindulatú szoftver összeállítására és elindítására – a gerilla stílusú phishing e-mailekhez csatolt csali dokumentumokban. “Az HTML Smuggling az HTML5 attribútumokat használja, amelyek offline is működhetnek egy bináris adatokból álló, változtathatatlan adatblokk tárolásával a JavaScript kódon belül,” jegyezte meg a Trustwave ebben a februárban. “Az adatblokk, vagy a beágyazott terhelés, fájlobjektummá dekódolódik, ha azt egy webböngészővel nyitjuk meg.” A dokumentumok elemzése, amelyeket a VirusTotal rosszindulatú szoftver-adatbázisba töltöttek fel, azt mutatja, hogy diplomáciai és kormányzati szerveket céloznak meg Csehországban, Magyarországon, Szlovákiában, az Egyesült Királyságban, Ukrajnában, és valószínűleg Franciaországban és Svédországban is.

Korplug: a trójai hosszú múltra tekint vissza

A Korplug néven is ismert rosszindulatú szoftver 2008 óta létezik, és moduláris trójai, amely képes “különböző pluginokkal rendelkezni különböző funkcionalitásokkal”, amelyek lehetővé teszik a kezelők számára a fájllopás, képernyőképek, billentyűleütés-naplózás és parancsvégrehajtás. “Az elemzések során a fenyegető szereplő egy kötegscriptet küldött, amelyet a C&C szerverről küldtek, és amelynek célja volt minden nyomuk eltüntetése,” mondta a Check Point. “Ez a script, melynek neve del_RoboTask Update.bat, eltünteti a legitim végrehajtható fájlt, a PlugX betöltő DLL-t, és a kitartásra létrehozott registry kulcsot, majd végül önmagát törli. Valószínű, hogy ez a fenyegető szereplők tudatosságának eredménye, mivel rájöttek, hogy figyelemmel kísérik őket.” Forrás: www.thehackernews.com

Az Egyesült Királyság Titokzatos Webmegfigyelő Programja Felfutóban

Az Egyesült Királyság kormánya csendben kiterjeszti és fejleszti azt a vitatott megfigyelő technológiát, amely képes lehet milliók webtörténetének naplózására és tárolására. Az elmúlt évben a rendőrség sikernek minősítette egy rendszer tesztelését, amely képes az emberek “internetkapcsolat adatainak” gyűjtésére, és munkába állt a rendszer országos bevezetésének előkészítésén. Különösen vitatott volt az úgynevezett internetkapcsolati rekordok (ICR-k) létrehozása. Az ICR nem minden online meglátogatott oldalnak a listája, de mégis jelentős mennyiségű információt tárhat fel az online tevékenységekről. Az ICR lehet az IP-címe, a felhasználói száma, az információhoz való hozzáférés dátuma és ideje, és az átadott adatok mennyisége. A Belügyminisztérium áttekintése szerint a próbájuk azt is megállapította, hogy “az ICR-k jelenleg elérhetetlenek lehetnek néhány potenciálisan kulcsfontosságú vizsgálat számára”, ami felveti annak lehetőségét, hogy a törvényt a jövőben módosíthatják. Az értesítés szerint a kormánynak legfeljebb 2 millió fontos költségvetése volt egy technikai rendszer létrehozására, amely lehetővé teszi a bűnüldözési tisztviselők számára az ICR adatokhoz való hozzáférést a vizsgálatok során.

Privacy International: A további adatgyűjtés nem eredményez nagyobb biztonságot

Haidar, a Privacy International jogásza azt mondja, hogy további adatok gyűjtésének képességének létrehozása nem eredményez “nagyobb biztonságot” az emberek számára. “A vállalatok adatőrzési képességeinek és a kormányzati ügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligencia műveletek javulnának” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a visszaélésnek vagy helytelen használatnak.”

Teknológiai hibák és titokzatosság

Már dokumentálták az ICR-k használatának egy kudarcát is. Az IPCO 2020-as éves jelentésében kiemelte, hogy egy névtelen telekommunikációs cég, amelyet arra kért, hogy szolgáltasson internetkapcsolati kéréseket, “több adatot szolgáltatott, mint amennyit engedélyeztek”. A hiba oka egy technikai hiba volt, és nem adtak további részleteket.

A kormányzatok globális adatgyűjtési törekvései

Az Egyesült Királyságban az ICR-gyűjtés lehetséges kiterjesztése egybeesik a kormányok és a bűnüldözési szervek globális erőfeszítéseivel, hogy hozzáférjenek egyre több adathoz, különösen a technológia fejlődésével. Több nemzet is sürgeti a titkosítási hátsó ajtók létrehozását, amelyek potenciálisan hozzáférést biztosíthatnak az emberek privát üzeneteihez és kommunikációihoz.

Az adatgyűjtés kockázatai

Haidar, a Privacy International jogásza azt mondja, hogy további adatok gyűjtésének képességének létrehozása nem eredményez “nagyobb biztonságot” az emberek számára. “A vállalatok adatőrzési képességeinek és a kormányzati ügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligencia műveletek javulnának” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a visszaélésnek vagy helytelen használatnak.”

Az ICR-k szolgáltatói

A WIRED kilenc brit internet szolgáltatót és telekommunikációs vállalatot keresett fel, hogy megtudja, milyen képességeik vannak az emberek internetes kapcsolódási rekordjainak létrehozásában és tárolásában. Nyolc nem válaszolt a kommentárkérésre. A TalkTalk, az egyetlen vállalat, amely válaszolt, azt mondta, hogy “teljesíti a brit törvények által előírt kötelezettségeit”, de nem tudta “megigazolni vagy tagadni”, hogy léteznek-e ICR-ek.

Az Egyesült Államok adatgyűjtési praktikái

Az Egyesült Államokban vihar készül az FBI Section 702-es szakasza kapcsán, amely a Külföldi Hírszerzési Felügyeleti Törvény (FISA), és lehetővé teszi számukra, hogy elfogják a külföldi célpontok kommunikációit.

Adatgyűjtés és biztonság

Haidar, a Privacy International jogásza azt mondja, hogy a több adat gyűjtésének képességének létrehozása nem eredményez “több biztonságot” az emberek számára. “A vállalatok adatmegőrzési képességeinek és a széles körű kormányügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligenciaműveletek javulnának,” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a helytelen használatnak vagy a visszaélésnek.”