Az amerikai kiberbiztonsági és hírszerzési ügynökségek arra figyelmeztettek, hogy a Phobos zsarolóvírus támadások célkeresztjében kormányzati és kritikus infrastruktúra szervezetek állnak, kifejtve a fenyegetést jelentő szereplők által alkalmazott különféle taktikákat és technikákat a fájltitkosító kártevő telepítéséhez. “A zsarolóvírus mint szolgáltatás (RaaS) modellként strukturált Phobos zsarolóvírus szereplők olyan entitásokat céloztak meg, mint a városi és megyei kormányzatok, vészhelyzeti szolgáltatások, oktatás, közegészségügy és kritikus infrastruktúra, több millió dollárt sikeresen zsarolva ki az Egyesült Államokban,” mondta a kormány. A figyelmeztetést az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Multi-State Information Sharing and Analysis Center (MS-ISAC) adta ki. 2019 májusa óta aktív a Phobos zsarolóvírus több változatát azonosították már, nevezetesen az Eking, Eight, Elbie, Devos, Faust és Backmydata. Az elmúlt év végén a Cisco Talos felfedte, hogy a 8Base zsarolóvírus mögött álló fenyegető szereplők egy Phobos zsarolóvírus változatot használnak pénzügyileg motivált támadásaik végrehajtásához. Bizonyítékok utalnak arra, hogy a Phobos valószínűleg szorosan egy központi hatóság által kezelt, amely irányítja a zsarolóvírus privát dekódoló kulcsát. A zsarolóvírus törzsével kapcsolatos támadási láncok tipikusan phishinget használtak kezdeti hozzáférési vektorként az észrevétlen terhelések, mint a SmokeLoader leejtéséhez. Alternatív megoldásként a sebezhető hálózatokat RDP szolgáltatásoknak kitett pontjainak vadászatával törték fel, kihasználva őket brutális erő támadásokkal. Egy sikeres digitális betörést követően a fenyegető szereplők további távoli hozzáférési eszközöket dobnak le, kihasználva a folyamatok injektálási technikáit a rosszindulatú kód végrehajtásához és az észlelés elkerüléséhez, valamint Windows Registry módosításokat végeznek a kompromittált környezeteken belüli kitartás fenntartása érdekében. “Továbbá, a Phobos szereplőket megfigyelték, hogy beépített Windows API funkciókat használnak tokenek lopására, hozzáférési kontrollok megkerülésére és új folyamatok létrehozására a privilégiumok kiterjesztésére a SeDebugPrivilege folyamat kihasználásával,” mondták az ügynökségek. “A Phobos szereplők megkísérlik az azonosítást a célgépeken tárolt jelszó hash-ek használatával, amíg el nem érik a domain adminisztrátori hozzáférést.” Az e-bűnözési csoport ismert arról, hogy nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound használ az aktív könyvtár felsorolásához. A fájlkivonás a WinSCP és Mega.io segítségével történik, amely után a kötetárnyék másolatok törlésre kerülnek a helyreállítás megnehezítése érdekében. A közlemény akkor került kiadásra, amikor a Bitdefender részletesen beszámolt egy gondosan koordinált zsarolóvírus-támadásról, amely egyszerre érintett két különálló céget. A támadást, amelyet szinkronizáltnak és sokrétűnek írtak le, egy CACTUS nevű zsarolóvírus-szereplőnek tulajdonítottak. “CACTUS tovább folytatta az egyik szervezet hálózatának infiltrálását, különféle típusú távoli hozzáférési eszközöket és alagutakat ültetve be különböző szervereken,” mondta Martin Zugec, a Bitdefender technikai megoldások igazgatója egy múlt héten közzétett jelentésben. “Amikor lehetőséget találtak egy másik céghez való átmozgásra, pillanatnyilag felfüggesztették műveletüket, hogy infiltrálják a másik hálózatot. Mindkét cég ugyanannak a csoportnak a része, de függetlenül működnek, külön hálózatokat és domaineket fenntartva bármilyen megalapozott bizalmi kapcsolat nélkül.” A támadás azért is figyelemre méltó, mert célba vette a megnevezetlen cég virtualizációs infrastruktúráját, jelezve, hogy a CACTUS szereplők túlléptek a Windows hosztokon, hogy Hyper-V és VMware ESXi hosztokat támadjanak meg. Ezen felül kihasznált egy kritikus biztonsági rést (CVE-2023-38035, CVSS pontszám: 9.8) egy interneten keresztül elérhető Ivanti Sentry szerveren, kevesebb mint 24 órával az eredeti közzététel után 2023 augusztusában, ismét kiemelve az újonnan közzétett sebezhetőségek opportunista és gyors fegyveresítését. A zsarolóvírus továbbra is jelentős pénzforrás a pénzügyileg motivált fenyegető szereplők számára, az első zsarolóvírus-követelések mediánja elérte a 600 000 dollárt 2023-ban, 20%-os ugrás az előző évről az Arctic Wolf szerint. 2023 negyedik negyedévében az átlagos zsarolófizetés 568 705 dollár áldozatonként. Ráadásul a zsarolásnak való engedés nem jelent jövőbeli védelmet. Nincs garancia arra, hogy az áldozat adatai és rendszerei biztonságosan helyreállnak, és hogy a támadók nem adják el az ellopott adatokat az alvilági fórumokon vagy újra támadják őket. A Cybereason által megosztott adatok szerint “megdöbbentő 78% [a szervezetek] újra megtámadásra került a zsarolás kifizetése után – 82% belülük egy éven belül”, néhány esetben ugyanazon fenyegető szereplő által. Ezekből az áldozatokból 63%-ot “másodszor többet kellett fizetniük.” Forrás: thehackernews.com Az ESET biztonsági szolgáltató kutatói feltárták egy kétágú, hibrid háborús kibertámadást, amely pszichooperációs és hitelesítési adatok ellopását célzó kampányokat foglal magában, Ukrajna polgárai és vállalkozásai ellen. Kutatók Felfedik Az Oroszokkal Összhangban Álló Pszichooperációs Kampányt, Az ‘Operáció Texonto’ Az ESET biztonsági szolgáltató kutatói megerősítették, hogy felfedeztek egy kiberpszichooperációs kampányt, amelyet ‘Operáció Texonto’ néven azonosítottak, miután elemeztek két hullámnyi pszichooperációs üzenetet, amelyeket 2023 novemberében és decemberében küldtek. A tartalmak tipikus orosz propagandatémák köré épültek, mint például a gyógyszer- és élelmiszerhiány, valamint az ukrán polgárok fűtésének megszakítása. A cél úgy tűnik, hogy az ukrán polgárokat meggyőzzék, Oroszország nyeri a háborút. A háborúval kapcsolatos dezinformációt spam e-mailek útján terjesztették. Októberben a kutatók egy lándzsás phishing kampányt is láttak, amely az ukrán szervezeteket, beleértve egy védelmi vállalatot, és az EU ügynökségeit célozta meg. Ennek célja a Microsoft Office 365 fiókok bejelentkezési adatainak ellopása volt. Az ESET szerint “a PSYOPs és a phishing műveletekben használt hálózati infrastruktúra hasonlóságai miatt” nagy biztonsággal állítható, hogy ezek összekapcsolódnak. Az Operáció Texontót Magas Biztonsággal Oroszbarát Műveletekhez Tulajdonítják Az Operáció Texonto-t, amelyet az ESET Kutatás “magas biztonsággal egy Oroszországgal összhangban álló csoportnak” tulajdonít, úgy tűnik, hogy hasonlít az előző műveletekre, amelyeket egy Oroszországgal összhangban álló fejlett tartós fenyegetéscsoport, a Callisto hajtott végre. Azonban az ezen legújabb kibertámadások felfedezéséért felelős ESET kutató, Matthieu Faou szerint technikai átfedés hiányában “jelenleg nem tulajdonítjuk az Operáció Texonto-t egy konkrét fenyegetési szereplőnek.” Faou szerint az ESET az utóbbi hónapokban növekedést látott a kiberkémkedési műveletekben. “A kémkedés, információs műveletek és hamis gyógyszertár üzenetek furcsa keveréke,” mondja Faou, “csak emlékeztetni tud minket a Callistóra, egy jól ismert Oroszországgal összhangban álló kiberkémkedési csoportra, amelynek néhány tagja az Egyesült Államok Igazságügyi Minisztériumának 2023 decemberében kelt vádiratának tárgya volt.” A hamis gyógyszertár üzenetek aspektusa érdekes, mivel ugyanazt az e-mail szervert, amelyet a támadók a pszichooperációs üzenetek küldésére használtak, két héttel később kanadai gyógyszertár spam küldésére is használták. A bűnözési és politikai tevékenységek közötti határvonalak elmosódása korántsem szokatlan, különösen Oroszországban, mint országban. Galamb Risottót Ajánl a Dezinformációs Kampány az Ukránoknak Úgy tűnik, nem tartalmazott semmilyen malware-t vagy rosszindulatú linket az első hullámnyi e-mail. “Egy olyan domain, amely az Ukrán Agrárpolitikai és Élelmezésügyi Minisztériumnak adta ki magát, azt javasolta, hogy a nem elérhető gyógyszereket helyettesítsék gyógynövényekkel,” mondja Faou, egy másik pedig azt javasolta, hogy “fogyasszanak galamb risottót”, beleértve “egy élő galamb és egy sült galamb fotóját.” Az ESET szerint a második hullám sötétebb volt, üzenetekkel, amelyek “arról tanácsoltak az embereknek, hogy amputáljanak egy lábat vagy egy karjukat, hogy elkerüljék a katonai bevetést.” META Jelentéseket Adott ki Orosz Eredetű Befolyásolási Kampányok Sikeres Leállításáról A legújabb META Adversarial Threat Report is beszámol az Ukrajnában a háború kezdete óta zajló orosz befolyásolási kampányokról. “Csapataink továbbra is magas készültségben maradnak, hogy figyeljék az e háborúval kapcsolatos ellenséges változásokat,” mondja a jelentés, “mivel Ukrajna vagy az Ukrajnával kapcsolatos kérdések maradnak a legnagyobb fókuszban az orosz eredetű befolyásolási műveletekben.” A META azt jelenti, hogy az orosz állami média által közzétett posztok mennyisége 55%-kal, az elkötelezettségi szintek pedig 94%-kal csökkentek a háború előtti szintekhez képest, mióta megkezdődtek az érvényesítési intézkedések. “A rejtett befolyásolási műveletek esetében, 2022 óta kevesebb kísérletet láttunk bonyolult csaló személyiségek felépítésére a vékonyan leplezett, rövid életű hamis fiókok javára egy internetes spamelési kísérletben, abban reménykedve, hogy valami megmarad.” A META jelentése szerint 2024-ben is folytatódni fog a spam kampányok, amelyek “nagy mennyiségű fiókot vetnek be számos internetes szolgáltatáson és weboldalon” keresztül. A Malawi Bevándorlási Osztályának nemrégiben szembe kellett néznie egy váratlan kihívással, amikor egy zsarolóvírus-támadás érte a szervezet számítógépes hálózatát. Ennek eredményeként, a kormányzat kénytelen volt ideiglenesen felfüggeszteni az útlevélkiadási folyamatot, ami már a múlt két hét során is szünetelt. Ez a döntés közvetlen hatással van a polgárokra, különösen azokra, akik munkavállalási lehetőségek után kutatnak külföldön, és sürgősen szükségük lenne útlevelükre. Lazarus Chakwera, Malawi elnöke, egy nyilatkozatban hangoztatta, hogy a támadók váltságdíjat követelnek, de a Malawi kormány nem hajlandó engedni a zsarolásnak. Az elnök világosan kifejezte, hogy az ország nem fog “megbékélni a bűnözőkkel” és nem tárgyal “azokkal, akik támadást intéznek országunk ellen”. Ez az álláspont erős üzenetet küld a kiberbűnözők felé, miszerint Malawi nem tűri a jogellenes tevékenységeket. A támadás részleteit illetően a kormányzat eddig szűkszavúan nyilatkozott. Nem tették közzé, hogy pontosan kik állnak a támadás mögött, vagy hogy bármilyen érzékeny adatot eltulajdonítottak-e. Ez a bizonytalanság további aggodalmakat vet fel az érintett polgárok körében, akik attól félnek, hogy személyes adataik illetéktelen kezekbe kerülhettek. Chakwera elnök azonban bizakodó a helyzet megoldását illetően. Kifejtette, hogy a bevándorlási osztály dolgozik egy ideiglenes megoldáson, amely lehetővé teszi az útlevélkiadás folytatását egy háromhetes határidőn belül. Továbbá, az elnök hangsúlyozta, hogy a kormány hosszú távú tervet dolgoz ki a rendszer védelmére, amely magában foglal további biztonsági intézkedéseket. Ez a lépés kulcsfontosságú a jövőbeni kibertámadások elleni védekezés szempontjából, mivel biztosítja, hogy a bevándorlási szolgáltatások zavartalanul működhessenek. A jelenlegi helyzet nem egyedi eset Malawi történetében. Korábban is volt már példa útlevélkiadási szünetre, de a mostani felfüggesztés különösen kellemetlen időpontban történt, tekintettel arra, hogy az útlevelek iránti kereslet jelentősen megnőtt. A polgárok egy része jobb életkörülmények és munkalehetőségek reményében készül külföldre távozni, így az útlevélkiadás felfüggesztése közvetlenül érinti őket. Az elkövetkezendő hetekben minden szem a Malawi kormányzatán és a bevándorlási osztályon lesz, hogy lássák, sikerül-e hatékonyan kezelniük ezt a válsághelyzetet és helyreállítaniuk a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem kiemelten fontos tényezővé vált a nemzetközi üzleti és informatikai életben, és Malawi esete ismét rávilágított arra, hogy a kormányzatoknak és szervezeteknek folyamatosan fejleszteniük kell védelmi stratégiáikat a digitális kor kihívásaival szemben. A digitális korszakban, ahol az információ az új arany, a kiberbiztonsági támadások és a kémkedési technikák folyamatosan fejlődnek. Az NSO Csoport, egy ismert kémprogram-fejlesztő cég, most egy újabb innovatív módszerrel rukkolt elő: az “MMS Ujjlenyomat” technikával, ami úgy tűnik, hogy új dimenziókat nyit a digitális megfigyelés terén. Ezt a technikát egy Ghána telekommunikációs szabályozó hatóságával kötött szerződés során ismertették, ami felveti a technológia széleskörű alkalmazhatóságának lehetőségét. Az “MMS Ujjlenyomat” technika lényege abban rejlik, hogy képes azonosítani a céleszközöket és azok operációs rendszereit, anélkül hogy a felhasználónak bármilyen aktív lépést kellene tennie. Ez a módszer a bináris SMS, azaz a WSP Push technológián alapul, ami lehetővé teszi a várakozó MMS üzenetek értesítését a felhasználó számára. Amikor a felhasználó eszköze kapcsolatba lép a szerverrel az MMS letöltése céljából, bizonyos eszközinformációk átadásra kerülnek, amelyeket aztán a támadók felhasználhatnak. Az NSO Csoport által kifejlesztett és az Enea által tesztelt “MMS Ujjlenyomat” technika, rejtett módon, a felhasználó tudta nélkül gyűjti össze az információkat, ami komoly aggodalomra ad okot a digitális adatvédelem és a magánélet védelme szempontjából. Bár jelenleg nincsenek bizonyítékok arra, hogy ezt a technikát széles körben használnák, a lehetséges következmények és a rosszindulatú felhasználás potenciálja komoly kihívásokat vet fel a kiberbiztonsági közösség számára. A helyi telekommunikációs hálózatoknak van lehetőségük blokkolni ezt a típusú támadást, és az előfizetők megvédhetik magukat azzal, hogy letiltják az MMS üzenetek automatikus letöltését eszközeiken. Ez a helyzet ismét felhívja a figyelmet arra, hogy mennyire fontos a proaktív hozzáállás és a folyamatos tájékozódás a digitális adatvédelem terén. Az “MMS Ujjlenyomat” technikájának felfedése és a vele járó kockázatok rávilágítanak a kiberbiztonsági fenyegetések állandó evolúciójára és arra, hogy a felhasználóknak, szervezeteknek és kormányoknak egyaránt ébernek és felkészültnek kell lenniük. Az NSO Csoport és hasonló szervezetek által fejlesztett technológiák folyamatosan új kihívások elé állítják a védelmi mechanizmusokat, így a digitális védelem megerősítése és a technológiai fejlődéssel való lépést tartás kulcsfontosságú a kiberbiztonság fenntartásában. A digitális korban egyre nagyobb fenyegetést jelentenek a kiberbűnözők, akik zsarolóvírusok segítségével próbálnak hasznot húzni. Az utóbbi időszakban bekövetkezett változások azt mutatják, hogy ezek az elkövetők nem csupán fenntartják, hanem fokozzák is tevékenységük intenzitását, a védekezési stratégiák pedig nem mindig bizonyulnak elégségesnek az ilyen típusú támadások elhárításában. Az elmúlt évek adatai alapján egyértelmű, hogy a zsarolóvírusos támadások száma és az ezekből származó illegális bevételek meredeken emelkedtek. Ez különösen aggasztó, tekintettel arra, hogy a kiberbiztonsági közösség által alkalmazott ellenintézkedések korábban némi visszaesést mutattak. Azonban a Chainanalysis elemzése rávilágított: a támadók 2022-ben ismét megnövelték aktivitásukat, aminek eredményeképpen a váltságdíjak összegében is hatalmas ugrás következett be. Az előző évi 567 millió dollárról 1,1 milliárd dollárra nőtt az összeg, ezzel új rekordot állítva fel. A kiberbűnözők nem válogatnak: nagy intézmények, egészségügyi létesítmények és oktatási intézmények is célpontjai ezeknek a támadásoknak. A Recorded Future és más elemző cégek által közzétett jelentések szerint az új zsarolóvírus variánsok száma és a velük szembeni támadások gyakorisága is növekszik, ami egyértelmű jele annak, hogy a jelenlegi védelmi stratégiák nem eléggé hatékonyak. A 2022-es év visszaesését követően a zsarolóvírusok mögött álló szervezetek, főként orosz és ukrán nemzetiségű csoportok, újra fokozták tevékenységüket. A politikai helyzet átmeneti hatása után úgy tűnik, hogy a támadások száma és súlyossága ismét növekvő tendenciát mutat. Ez az elemzés arra hívja fel a figyelmet, hogy bár a zsarolóvírusos támadások elleni harcban történt előrelépés, továbbra is jelentős kihívásokkal kell szembenézniük a kiberbiztonsági szakembereknek. A folyamatosan változó kiberfenyegetésekkel szemben csak átfogó és dinamikusan fejlődő védelmi megoldásokkal lehet sikeresen felvenni a harcot. Forrás: www.chainalysis.com A nigériai elnök cáfolja az ország “kiberbűnözési mennyország” képét Bola Tinubu elnök állítása szerint az ország nem a kiberbűnözők otthona, annak ellenére, hogy itt született meg az “infámus nigériai herceg” csalás. Nigéria elnöke nemrégiben egy markáns beszédet tartott, melyben határozottan elítélte azt a gyakori “nigériai herceg” sztereotípiát, amely szerint az ország csaló kiberbűnözőkkel van tele. Ezzel szemben azt hangsúlyozta, hogy Nigéria számos pozitív hozzájárulást tesz a globális közösséghez, és aktívan küzd a kiberbűnözés ellen. A kiberbűnözés továbbra is jelentős probléma Nigériában, évente mintegy 500 millió dolláros gazdasági hatással. A Nigériai Gazdasági és Pénzügyi Bűnözés Elleni Bizottságban nemrég tartott beszédében Bola Tinubu elnök kiemelte, hogy a kiberbűnözés rontotta az ország nemzetközi hírnevét, de hangsúlyozta, hogy ez nem kizárólag Nigéria problémája. Ehelyett a csalást és egyéb típusú kibertámadásokat “globális jelenségnek” nevezte, amelyekkel minden áron szembe kell szállni. “Mai világunk valós időben, az interneten keresztül működik. A kormányzat, a vállalkozások, az intézmények és még az egyéni háztartási ügyek is az internetre támaszkodnak” – mondta. “Így a kiberbűnözők a világ többi részére is fenyegetést jelentenek. Ezért semmilyen erőfeszítést vagy költséget nem szabad kímélni a gonosz elleni küzdelemben. Biztosítalak benneteket, hogy a kormány továbbra is támogatni fogja az EFCC-t küldetésében, hogy legyőzze azt a sárkányt, amivé az internetes bűncselekmények váltak.” Ennek fényében fontos küzdeni az ellen a nézet ellen, hogy az afrikai ország “csalók nemzete”, egy jellemzést, amelyet “igazságtalannak, tarthatatlannak és elfogadhatatlannak” minősített. Ezen túlmenően, Tinubu elnök kiemelte, hogy Nigéria számos kezdeményezést indított a kiberbűnözés elleni harc érdekében, beleértve az oktatási programokat, amelyek célja a digitális tudatosság és a biztonságos internetezés előmozdítása. A fiatalok szerepe a kiberbűnözésben Az eseményen Ola Olukoyede, az EFCC elnöke szintén aggodalmát fejezte ki amiatt, hogy a fiatalok egyre nagyobb szerepet vállalnak a kiberbűnözésben. Figyelmeztetett arra a veszélyre, hogy “egy olyan jövőbeli vezetők csoportját neveljük ki, akik számára a csalás és a korrupció a hírnévhez és vagyonhoz vezető út.” Olukoyede úgy vélte, hogy a probléma legjobb megoldása az, ha ösztönözzük a fiatalokat arra, hogy olyan kielégítő karriert válasszanak, amely azonos készségeket használ. “Úgy gondoljuk, hogy az akadémiai világ többet is hozzátehet a korrupció elleni harchoz a mentorálás révén, mivel a mai gyorsan változó világban a fiataloknak szoros felügyeletre van szükségük ahhoz, hogy sikeresek és céltudatosak lehessenek” – mondta. Ezen felül hangsúlyozta, hogy fontos a pozitív példaképek és a jó irányítás szerepe a fiatalok életében. Egy másik, nemrégiben az EFCC-hez intézett beszédében Chidiebere Ihediwa, egy nigériai kiberbiztonsági szakértő, ismételten felvetette ezt a témát, megjegyezve, hogy az online csalókat és csalásokat át kell képezni információs technológiai szakemberekké. Ezzel párhuzamosan Ihediwa szorgalmazta a kiberbiztonsági oktatás és képzés bővítését, hogy a fiatalokat jobban felkészítsék a digitális világ kihívásaira, és lehetőséget biztosítsanak számukra, hogy értékes készségeiket pozitív módon használják fel. A nigériai kormány és a kiberbiztonsági közösség által tett erőfeszítések ellenére a kiberbűnözés továbbra is globális probléma marad, amely nem ismer határokat. Az ilyen típusú bűnözés elleni küzdelem nemcsak a technológiai megoldásokra, hanem a társadalmi változások előmozdítására és a fiatal generációk oktatására is támaszkodik. Az EFCC és más szervezetek által végzett munka kulcsfontosságú a biztonságosabb digitális jövő felé vezető úton. Forrás: www.darkreading.com Az albán intézmények elleni legújabb kibertámadási hullám során a “No-Justice” nevű törlő szoftvert használták. A ClearSky kiberbiztonsági vállalat szerint ez a Windows rendszeren futó kártékony szoftver az operációs rendszert oly módon teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik. Ezen támadásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice nevéhez köthetőek, amely 2022 júliusa óta folyamatosan hajt végre pusztító akciókat Albánia ellen. 2023. december 24-én az ellenfél egy hosszabb szünet után újra felbukkant, kijelentve, hogy “újra ideje a terroristák támogatóinak szétzúzásának”, legújabb hadműveletüket #DestroyDurresMilitaryCamp néven azonosítva. Jelenleg Durrës városa nyújt otthont az Iráni Népi Mudzsahid Szervezetnek, ismertebb nevén a MEK-nek. A támadás célpontjai között szerepel az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament. A kampány során két fő eszközt vetettek be: egy futtatható törlő programot és egy PowerShell szkriptet, amely a fenti programot továbbítja a célhálózat további számítógépeire, miután bekapcsolták a Windows Távoli Kezelési funkciót, azaz a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB-os bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához. Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírás eltávolításával érik el, ami minden merevlemez első szektorát képezi, meghatározva, hol helyezkedik el az operációs rendszer a lemezen, ezzel lehetővé téve annak betöltését a számítógép RAM-jába. A támadások során további hiteles eszközöket is használtak, mint a Plink, más néven a PuTTY Link, a RevSocks és a Windows 2000 erőforráskészlet, amelyek elősegítik a felderítést, az oldalirányú mozgást és a hosszantartó távoli hozzáférést. Ez az esemény összefügg az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Kelet geopolitikai feszültségei között. „Úgy tűnik, csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra irányuló narratívát alkalmaznak kibertámadásaikban,” számolt be a Check Point a múlt hónapban. „Az Egyesült Államokban tevékenykedő célpontok izraeli technológiával történő célba vételével ezek a hacktivista csoportok egy kettős visszavágó stratégiát próbálnak megvalósítani, állítólag egyszerre Izraelt és az Egyesült Államokat célzó, összehangolt kibertámadással.” A Cyber Toufan különö sen több mint 100 szervezetet érintő hackelési és adatszivárogtatási tevékenységeiről ismert, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon közzétéve. „Annyi kárt okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” állította Kevin Beaumont biztonsági szakértő. „Némelyikük még hónapokkal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami szervek egyaránt szerepelnek.” A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD megerősítette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggő hackercsoportot figyel, amelyek rosszindulatúan tevékenykednek az izraeli kibertérben az izraeli-hamási konfliktus 2023 októberi kezdete óta. Az ügynökség hozzáfűzte, hogy a felhasznált módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során alkalmazottakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítése céljából. Forrás: https://thehackernews.com A digitális bűnözők már birtokba vették az X közösségi média szolgáltatás “Gold” minősítésű fiókjait, amelyek korábban a Twitter néven futottak, és azokat akár 2 000 dollárért értékesítik a Dark Weben. Erre utal a CloudSEK kutatás, amely felfedezte ezeknek a fiókoknak az előtérbe kerülését az underground online piacokon. Az X-en a Gold jelvény azt bizonyítja, hogy a szolgáltatás megerősítette a fiók valódi hovatartozását, akár magas profilú szervezethez vagy hírességhez is. Ezt a lehetőséget egy évvel ezelőtt vezették be fizetős változatként, miután az X lecserélte a kék pipát, ami korábban az igazságosság jelképe volt, egy olyan jelvényre, amit bárki hozzáadhatott a profiljához, engedély nélkül. A kiberbűnözők jelenleg a brute-force támadásokat és a malware-t alkalmazzák a jelszavak megszerzéséhez, hogy hozzáférjenek a meglévő Gold fiókokhoz – ezt állapította meg a CloudSEK kutatói csoport. Gyakran átveszik azokat a nem-Gold minősítésű fiókokat is, amelyek hosszú ideje inaktívak voltak, majd ellenőrzött státuszba emelik őket. Összességében több száz ilyen fiók kerül értékesítésre az underground fórumokon. Azok, akik hajlandók fizetni, ezeket a fiókokat arra használják, hogy terjesszenek phishing linkeket, indítsanak dezinformációs kampányokat és hajtsanak végre pénzügyi csalásokat, vagy akár befolyásolják egy márka hírnevét a káros tartalmak megosztásával. “A Dark Web piacokon szinte ellepték a Twitter Gold fiókokkal kapcsolatos hirdetések” – áll a cég által ezen a héten közzétett kutatásban. “Az árak 35 dollártól indulnak egy alap fiókért, és akár 2 000 dollárig terjednek azokért, amelyeknek nagy a követői táboruk.” A kutatók egy szeptemberi példával világítottak rá a veszélyre: A kiberbűnözők sikerrel támadták meg egy X nevű fiókot, amely a kriptovaluta Ethereum társalapítójához, Vitalik Buterinhez tartozott. Ezt követően olyan tweeteket tettek közzé, amelyek ingyenes nonfungibilis tokeneket (NFT-ket) ígértek, egy beágyazott, rosszindulatú linkkel, ami átirányította a felhasználókat egy hamis weboldalra, ahol megpróbálták kinyeretni a kriptovalutákat a pénztárcájukból. “A hackerek közel 20 percig működtek a hamis bejegyzés közzététele után, és elképesztően 691 000 dollárt zsákmányoltak digitális eszközeikből” – derült ki az elemzésből. Hogyan védekezhetünk az X fiókok elfoglalása ellen? A bűnözők számára az ilyen nagy értékű fiókok megszerzésének lehetősége már legalább 2020 óta ismert, amikor a hackerek sikeresen feltörték a Twitter akkori belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében. Az szervezetek védelme érdekében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és szigorú jelszópolitikákat alkalmazni a fiókok elfoglalásának megelőzése érdekében – tanácsolta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását. Forrás:https://www.darkreading.com Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

 

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat. Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott. A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is. Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben. Forrás: telex.hu A WinRAR-nak nincs automatikus frissítési funkciója, amely különösen kedvez a látszólag állami támogatású hackereknek, mert egy ismert hibát tudnak kihasználni ebben a népszerű programban. Sok felhasználó nem telepíti a szükséges javításokat, ami a program egy konkrét sérülékenységének terjedéséhez vezet – állapította meg a Google. A vállalat most figyelmezteti a felhasználókat, hogy “számos állami támogatású hackercsoport” ezt a CVE-2023-3883 kódnevű hibát használja malware terjesztésre. “A WinRAR hibájának széles körű kihasználása rámutat arra, hogy még akkor is gyakran érik támadások az ismert sebezhetőségeket, ha létezik rá javítás” – írja a Google blogbejegyzésében. Habár a WinRAR a hibát már javította augusztus 2-án a 6.23-as verziójában, a hackerek április óta kihasználják. Mivel nincs automatikus frissítési lehetőség, a felhasználóknak maguknak kell letölteniük és telepíteniük a frissítéseket a WinRAR weboldaláról. “A javítás elérhető, de még sok felhasználó marad sebezhető” – hangsúlyozza a Google. A vállalat rávilágított, hogy több állami támogatású hackercsoport, köztük az orosz “Sandworm”, kihasználja a hibát. A Google egy olyan phishing e-mailt is azonosított, amely úgy tűnt, mintha egy ukrán drónháborús képző iskolától érkezett volna, és kifejezetten ukrán felhasználókat célozott meg. Az e-mail egy linket tartalmazott a fex[.]net nevű fájlmegosztóhoz, melyben egy álcázott PDF dokumentum és egy rosszindulatú ZIP fájl volt, amely a CVE-2023-3883 hibát használta ki – tette hozzá a Google. Egy dokumentum megnyitása a ZIP fájlon belül egy “infostealer” nevű kártevőt aktivál, amely képes ellopni a bejelentkezési adatokat. Egy másik esetben egy “Fancy Bear” nevű orosz hackercsoport phishing oldalt hozott létre, hogy rávegye az ukrán felhasználókat egy ZIP fájl letöltésére, ami szintén a WinRAR hibát használja ki. “Az álcázott dokumentum egy meghívó volt a Razumkov Központ eseményére, egy közpolitikai gondolkodó műhelyből Ukrajnában” – említi a Google. Kínai hackerek is élték a hibával. Egy APT40 nevű csoport indított egy phishing támadást Pápua Új-Guinea felhasználói ellen. “Az e-mailekben egy Dropbox link volt egy ZIP archívumhoz, mely a CVE-2023-3883 kihasználást, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmazott” – tájékoztat a Google. Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat. “Ezek a támadások, melyek a WinRAR hibáját célozzák meg, rámutatnak a frissítések jelentőségére és arra, hogy még sok a teendő a felhasználók számára, hogy szoftvereiket naprakészen és biztonságosan tartsák” – állítja. Megkerestük a WinRAR-t annak érdekében, hogy kiderítsük, terveznek-e automatikus frissítési funkciót bevezetni, és frissíteni fogjuk a cikket, ha választ kapunk. Addig is érdemes megemlíteni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.  

Mit jelent valójában a “valós idejű” az adatelemzésben?

A valós idejű adatelemzés rejtélyének megfejtése: Az értelmezések, kategóriák és stratégiák megértése az adatvezérelt kor rejtett értékeinek feltárásához. Vajon egy elemzési válasz, mely 300 ezredmásodpercen belül érkezik az előző napon generált adatokra, valós idejűnek számít-e? A mai gyorsan változó digitális világban a valós idejű adatelemzés fogalma egyre elterjedtebb és elengedhetetlen az üzleti siker érdekében. Viszont sok a félreértés a “valós idejű” kifejezés valódi jelentését illetően. A valós idejű adatelemzésről szóló beszélgetések során az értelmezések megértése létfontosságú annak érdekében, hogy kiaknázzuk a valós idejű elemzés adta lehetőségeket az adatvezérelt korban. Javaslatom a következő: szükség van a teljes körű valós idejű adatelemzés és az előkészített adatok gyors válaszreakciójának elkülönítésére. A válaszlatencia az az idő, amely alatt egy rendszer feldolgozza a kérést vagy lekérdezést, és válaszol rá. A teljes körű valós idejű adatelemzés adataink generálásától az elemzésig tartó időt foglalja magában, amely az adatok szállítására, transzformálására és előkészítésére is kiterjed.

Alacsony késleltetésű valós idejű adatelemzés

Ez a kategória a válaszlatenciát az alábbiak szerint határozza meg:

Teljes körű valós idejű adatelemzés

Ez a kategória az adatok forrásból történő feldolgozását foglalja magában, nem csak egy már előkészített adatra adott választ: Forrás: insidebigdata.com

5 adatbiztonsági trend, amire 2023-ban és utána figyelünk

Ahogy a technológia folyamatosan fejlődik, úgy nőnek az adatbiztonsági fenyegetések is. 2023-ban a szervezeteknek előre aktívan meg kell védeniük érzékeny adataikat és navigálniuk kell a növekvő kiberbiztonsági kockázatok között. Mint vezető ITAD-szolgáltató, az adatbiztonság a legfőbb prioritásunk. Öt trendet tekintünk át az adatbiztonság terén 2023-ra, amelyek túlmennek az alapvető szoftverfrissítéseken, az elavult rendszerek naplemente előtti leállításán és a hardverek frissítésén.

Mesterséges Intelligencia és Gépi Tanulás

A fejlett mesterséges intelligencia (AI) és gépi tanulási algoritmusok képesek a kiberbiztonság javítására a gyanús viselkedések és minták észlelésével, valamint potenciális kockázatok előrejelzésével. A prediktív technológiák alkalmazásával az AI megtanulja felismerni a viselkedéseket, hogy eldöntse, jelentenek-e fenyegetést, és megtévő lépéseket vagy értesíti az érintett feleket.

Biometrikus Azonosítás Növekvő Használata

A biometrikus azonosítási módszerek, mint az arcfelismerés és az ujjlenyomat-szkennelés, egyre népszerűbbek az emberek azonosításához hardveres és szoftveres bejelentkezéskor. A biometriák magasabb biztonsági szintet kínálnak a hagyományos jelszavaknál, amelyeket könnyen ki lehet találni vagy el lehet lopni. A biometrikus módszerek a felhasználók számára is kényelmesebbek, így nem kell emlékezniük bonyolult jelszavakra vagy foglalkozniuk a kétfaktoros hitelesítéssel, ha az 2FA eszközt elvesztik vagy ellopják.

Több Szabályozás és Megfelelőségi Követelmény

Ahogy az adatszivárgások egyre gyakoribbá válnak, a szabályozói testületek világszerte szigorúbb szabályozásokat és megfelelőségi követelményeket érvényesítenek. A vállalatoknak erős adatbiztonsági intézkedésekbe kell befektetniük, beleértve az ITAD szolgáltatásokat, hogy megfeleljenek ezeknek a szabályozásoknak és elkerüljék a büntetéseket és bírságokat. Különös figyelmet kell fordítani a nemzetközi üzleti tranzakciókra, különösen azokban az országokban, ahol az adatbiztonság veszélyben lehet a kormányzati megfigyelés miatt.

Dolgozói Képzés és Tudatosság Középpontban

A dolgozók gyakran az adatbiztonság leggyengébb láncszemét képezik, mivel az emberi hiba adatszivárgáshoz vezethet. A dolgozói tudatosság és képzés növelése az adatbiztonságban és az IT-eszközkezelés legjobb gyakorlataiban jelentősen csökkentheti a kockázatokat, drága hardveres vagy szoftveres beruházások nélkül.

Felhőbiztonság

Bár a vállalatok visszatérnek a helyszíni munkavégzéshez, a felhőbiztonság még mindig előtérben van. Győződjön meg arról, hogy vállalatának erős biztonsági protokolljai vannak a felhőalapú alkalmazásokhoz és szolgáltatásokhoz való hozzáférés kezelésében. Kövesse nyomon az összes vállalati eszközt, amelyek érzékeny információkat tárolhatnak vagy felhőalapú rendszerekhez csatlakozhatnak, beleértve a táblagépeket, laptopokat és okostelefonokat. Vegye fontolóra az adatok titkosítását, hozzáférési ellenőrzéseit és rendszeres biztonsági felülvizsgálatokat, hogy megvédje felhőben tárolt adatait. A legjobb biztonsági megoldások értesítést küldenek a releváns munkatársaknak, ha valami gond merül fel.

Adatbiztonsági szolgáltatások

Az ITAD szolgáltatások és az adatbiztonsági szolgáltatások egymástól elválaszthatatlanok. Az ITAD szolgáltatók segítséget nyújtanak a vállalatoknak az adatbiztonsági követelmények betartásában, az eszközök nyomon követésében és az érzékeny információk megfelelő módon történő kezelésében. 2023-ban az adatbiztonsági kihívások továbbra is változnak és fejlődnek. A szervezeteknek előre kell gondolkodniuk és alkalmazkodniuk kell a változó környezethez. Az ITAD és adatbiztonsági szolgáltatások nagyban hozzájárulnak a vállalatok adatbiztonságának javításához. Forrás: itsupplysolutions.com