DataClear

Az Amerikai Egyesült Államok Szövetségi Nyomozóirodája (FBI) komoly lépéseket tesz az agresszív Scattered Spider nevű bűnözői csoport tagjainak megvádolására, akik többnyire az Egyesült Államokban és nyugati országokban tevékenykednek, és tucatnyi amerikai szervezetet támadtak meg, mondta egy magas rangú tisztviselő. A fiatal hackerek tavaly kerültek a hírek középpontjába, amikor betörtek az MGM Resorts International (MGM.N) és a Caesars Entertainment (CZR.O) kaszinóüzemeltetők rendszereibe, blokkolták azokat, és jelentős váltságdíjakat követeltek. Az egészségügyi, telekommunikációs cégektől kezdve a pénzügyi szolgáltatásokig számos szervezetet támadtak meg az elmúlt két évben, ezáltal nyomást gyakorolva a törvényvégrehajtó szervekre, hogy állítsák meg őket. “Bűncselekményekkel vádoljuk az egyéneket, ahol csak lehetséges, ebben az esetben főként a számítógépes csalás és visszaélés törvénye alapján,” mondta Brett Leatherman, az FBI kibervédelmi helyettes igazgatója a Reutersnek adott interjúban. A csoport ritka szövetséget képez a nyugati országok hackereivel és Kelet-Európa veterán kiberbűnözőivel, mondta Leatherman az RSA Konferencián San Franciscóban, szerdán. “A földrajzi hackerek együttműködését ritkán látjuk kívül a hacktivizmus keretein,” tette hozzá. A biztonsági kutatók legalább 2022 óta követik a Scattered Spider csoportot, és úgy vélik, hogy ez a banda sokkal agresszívabb, mint más kibertérben tevékenykedő bűnbandák. Különösen ügyesek az IT helpdesk alkalmazottak személyazonosságának eltulajdonításában, amellyel bejutnak a cégek hálózataiba. A Caesars körülbelül 15 millió dollárt fizetett a rendszerei felszabadításáért. Beszélgetéseik során a csoport néha fizikai erőszakot is fenyegetett, ami aggodalmat keltett néhány kutatóban. Úgy tűnik, hogy a banda tevékenysége januárban csökkent, de most “eléggé erőteljesen működnek,” mondta Charles Carmakal, a Google Mandiant biztonsági részlegének technológiai igazgatója, aki több áldozattal is együttműködött. A banda több mint 100 szervezetet célozott meg két év alatt, mindegyikbe sikerült valamilyen szinten behatolniuk, és rendszeresen sikeresen phising támadásokat hajtottak végre. A támadásaik intenzitását tekintve néhány szakértő bírálta az elfogások hiányát, különösen mivel a banda tagjai nyugati országokban tartózkodnak. Leatherman szerint magánbiztonsági cégek segítik az FBI-t a bizonyítékok összegyűjtésében. “Ez a csoport rendkívül fontos számunkra, hogy folytassuk a zavaró lehetőségek keresését,” mondta. “Van bizonyos bizonyítási teher, amelyet teljesítenünk kell a jogi műveletek végrehajtásához. És ezen az úton haladunk előre, amilyen gyorsan csak lehet,” tette hozzá. Egy ismert letartóztatás történt. Januárban az FBI vádat emelt Noah Urban 19 éves floridai lakos ellen, akit a Scattered Spider egyik tagjaként azonosítottak. További letartóztatások is várhatóak. Néhány banda tag még kiskorú, de az FBI állami és helyi törvényeket használhat az igazságszolgáltatás érdekében, mondta Leatherman. “Ez történelmileg nagyon, nagyon hatékony,” mondta. Forrás: www.reuters.com

Az amerikai kiberbiztonsági és hírszerzési ügynökségek arra figyelmeztettek, hogy a Phobos zsarolóvírus támadások célkeresztjében kormányzati és kritikus infrastruktúra szervezetek állnak, kifejtve a fenyegetést jelentő szereplők által alkalmazott különféle taktikákat és technikákat a fájltitkosító kártevő telepítéséhez. “A zsarolóvírus mint szolgáltatás (RaaS) modellként strukturált Phobos zsarolóvírus szereplők olyan entitásokat céloztak meg, mint a városi és megyei kormányzatok, vészhelyzeti szolgáltatások, oktatás, közegészségügy és kritikus infrastruktúra, több millió dollárt sikeresen zsarolva ki az Egyesült Államokban,” mondta a kormány. A figyelmeztetést az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Multi-State Information Sharing and Analysis Center (MS-ISAC) adta ki. 2019 májusa óta aktív a Phobos zsarolóvírus több változatát azonosították már, nevezetesen az Eking, Eight, Elbie, Devos, Faust és Backmydata. Az elmúlt év végén a Cisco Talos felfedte, hogy a 8Base zsarolóvírus mögött álló fenyegető szereplők egy Phobos zsarolóvírus változatot használnak pénzügyileg motivált támadásaik végrehajtásához. Bizonyítékok utalnak arra, hogy a Phobos valószínűleg szorosan egy központi hatóság által kezelt, amely irányítja a zsarolóvírus privát dekódoló kulcsát. A zsarolóvírus törzsével kapcsolatos támadási láncok tipikusan phishinget használtak kezdeti hozzáférési vektorként az észrevétlen terhelések, mint a SmokeLoader leejtéséhez. Alternatív megoldásként a sebezhető hálózatokat RDP szolgáltatásoknak kitett pontjainak vadászatával törték fel, kihasználva őket brutális erő támadásokkal. Egy sikeres digitális betörést követően a fenyegető szereplők további távoli hozzáférési eszközöket dobnak le, kihasználva a folyamatok injektálási technikáit a rosszindulatú kód végrehajtásához és az észlelés elkerüléséhez, valamint Windows Registry módosításokat végeznek a kompromittált környezeteken belüli kitartás fenntartása érdekében. “Továbbá, a Phobos szereplőket megfigyelték, hogy beépített Windows API funkciókat használnak tokenek lopására, hozzáférési kontrollok megkerülésére és új folyamatok létrehozására a privilégiumok kiterjesztésére a SeDebugPrivilege folyamat kihasználásával,” mondták az ügynökségek. “A Phobos szereplők megkísérlik az azonosítást a célgépeken tárolt jelszó hash-ek használatával, amíg el nem érik a domain adminisztrátori hozzáférést.” Az e-bűnözési csoport ismert arról, hogy nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound használ az aktív könyvtár felsorolásához. A fájlkivonás a WinSCP és Mega.io segítségével történik, amely után a kötetárnyék másolatok törlésre kerülnek a helyreállítás megnehezítése érdekében. A közlemény akkor került kiadásra, amikor a Bitdefender részletesen beszámolt egy gondosan koordinált zsarolóvírus-támadásról, amely egyszerre érintett két különálló céget. A támadást, amelyet szinkronizáltnak és sokrétűnek írtak le, egy CACTUS nevű zsarolóvírus-szereplőnek tulajdonítottak. “CACTUS tovább folytatta az egyik szervezet hálózatának infiltrálását, különféle típusú távoli hozzáférési eszközöket és alagutakat ültetve be különböző szervereken,” mondta Martin Zugec, a Bitdefender technikai megoldások igazgatója egy múlt héten közzétett jelentésben. “Amikor lehetőséget találtak egy másik céghez való átmozgásra, pillanatnyilag felfüggesztették műveletüket, hogy infiltrálják a másik hálózatot. Mindkét cég ugyanannak a csoportnak a része, de függetlenül működnek, külön hálózatokat és domaineket fenntartva bármilyen megalapozott bizalmi kapcsolat nélkül.” A támadás azért is figyelemre méltó, mert célba vette a megnevezetlen cég virtualizációs infrastruktúráját, jelezve, hogy a CACTUS szereplők túlléptek a Windows hosztokon, hogy Hyper-V és VMware ESXi hosztokat támadjanak meg. Ezen felül kihasznált egy kritikus biztonsági rést (CVE-2023-38035, CVSS pontszám: 9.8) egy interneten keresztül elérhető Ivanti Sentry szerveren, kevesebb mint 24 órával az eredeti közzététel után 2023 augusztusában, ismét kiemelve az újonnan közzétett sebezhetőségek opportunista és gyors fegyveresítését. A zsarolóvírus továbbra is jelentős pénzforrás a pénzügyileg motivált fenyegető szereplők számára, az első zsarolóvírus-követelések mediánja elérte a 600 000 dollárt 2023-ban, 20%-os ugrás az előző évről az Arctic Wolf szerint. 2023 negyedik negyedévében az átlagos zsarolófizetés 568 705 dollár áldozatonként. Ráadásul a zsarolásnak való engedés nem jelent jövőbeli védelmet. Nincs garancia arra, hogy az áldozat adatai és rendszerei biztonságosan helyreállnak, és hogy a támadók nem adják el az ellopott adatokat az alvilági fórumokon vagy újra támadják őket. A Cybereason által megosztott adatok szerint “megdöbbentő 78% [a szervezetek] újra megtámadásra került a zsarolás kifizetése után – 82% belülük egy éven belül”, néhány esetben ugyanazon fenyegető szereplő által. Ezekből az áldozatokból 63%-ot “másodszor többet kellett fizetniük.” Forrás: thehackernews.com

2021 Dataclear Service Kft. Biztonságos adatmegsemmisítés - Adattorlés - Használt Informatikai eszközök felvásárlása - Adatvagyon femérése