Agentúra pre kybernetickú bezpečnosť CISA a FBI zverejnili usmernenie na pomoc telekomunikačným infraštruktúram pri obrane proti zistenému pokračujúcemu prístupu čínskej pobočky Salt Typhoon do amerických systémov. Útoky umožnili skupine napojenej na čínsky štát exfiltrovať rozsiahle metadáta a zachytávať zvukové záznamy hovorov a textové správy, pričom sa zameriavali najmä na osoby spojené s vládou USA.
Tím Check Point Research analyzoval variant ransomvéru Akira, napísaný v jazyku Rust, ktorý sa začiatkom roka 2024 zameriaval predovšetkým na servery ESXi. Cieľom bolo pochopiť konštrukčné stratégie použité autormi škodlivého softvéru a priniesť pohľad na jeho správanie. Zistenia poukazujú na dôležitosť pochopenia procesu kompilácie jazyka Rust a jeho vplyvu na binárnu analýzu, najmä keď sa jazyk Rust stáva čoraz rozšírenejším pri vývoji malvéru. Tieto poznatky sú kľúčové pre vývoj účinných obranných stratégií proti takýmto hrozbám.
ÚTOKY A ÚNIKY ÚDAJOV
⚠ Ransomvérový gang Brain Cipher, ktorého payload je založený na LockBit 3.0, sa prihlásil k zodpovednosti za narušenie systémov konzultačnej spoločnosti Deloitte UK a tvrdí, že došlo k odcudzeniu 1 TB komprimovaných údajov vrátane citlivých informácií. Deloitte tieto tvrdenia poprel a tvrdí, že útok sa pravdepodobne týkal systému jedného klienta mimo siete spoločnosti.
⚠ Rumunský ústavný súd zrušil prvé kolo prezidentských volieb po tom, ako odtajnené spravodajské informácie odhalili zasahovanie Ruska v prospech pravicového kandidáta Călina Georgesca. Zasahovanie zahŕňalo sofistikovanú kampaň na sociálnych sieťach TikTok, pričom na podporu Georgesca použili 381-tisíc amerických dolárov, a kybernetické útoky zamerané na volebnú infraštruktúru, čo viedlo k prepočítaniu hlasov. Zrušenie hlasovania odložilo druhé kolo volieb.
⚠ ENGlobal Corporation, dodávateľ energetického priemyslu pre vládu USA, oznámil ransomvérový útok zistený v novembri, ktorý viedol k zašifrovaniu niektorých dátových súborov a obmedzeniu prístupu k IT systémom. K útoku sa neprihlásila žiadna ransomvérová skupina a potenciálny vplyv na finančné výsledky sa vyhodnocuje.
⚠ Konferenčná divízia telekomunikačného gigantu BT Group zažila pokus o ransomvérový útok. Skupina Black Basta tvrdila, že ukradla približne 500 GB údajov vrátane finančných záznamov, zmlúv o mlčanlivosti a osobných dokumentov.
⚠ Ukrajinská spravodajská služba HUR potvrdila vykonanie DDoS útoku na ruskú Gazprombank, jednu z najväčších ruských bánk. Klienti banky mali problémy s prístupom k službám, pričom cieľom tohto zásahu bolo narušiť finančné operácie spojené s vojnovým úsilím Ruska na Ukrajine.
⚠ Spoločnosť Stoli Group USA požiadala o vyhlásenie konkurzu po tom, ako ransomvérový útok z augusta 2024 vážne narušil jej IT infraštruktúru, vynútil si manuálne operácie a sťažil finančné vykazovanie. Spoločnosť čelí dlhu vo výške približne 84 miliónov amerických dolárov, pričom sa očakáva, že systémy plne obnovia najskôr v prvom štvrťroku 2025.
⚠ Refinadora Costarricense de Petróleo (RECOPE), kostarický štátny subjekt dohliadajúci na dodávky pohonných hmôt, utrpel v novembri ransomvérový útok. Prinútil spoločnosť prejsť na manuálne operácie, čím narušil digitálne platobné systémy a skomplikoval distribúciu pohonných hmôt. Napriek týmto problémom RECOPE ubezpečila verejnosť o dostatočných zásobách paliva.
ZRANITEĽNOSTI A ZÁPLATY
❗️ Windows má 0-day zraniteľnosť, ktorá umožňuje útočníkom získať poverovacie údaje NTLM tak, že používateľ zobrazí škodlivý súbor v Prieskumníkovi systému Windows. Chyba sa týka všetkých verzií systému Windows od Windows 7 a Server 2008 R2 až po najnovšie Windows 11 24H2 a Server 2022. Microsoft zatiaľ nevydal oficiálnu opravu. Platforma 0patch zdieľala neoficiálnu mikropatch.
❗️ Progress WhatsUp Gold má kritickú zraniteľnosť (CVE-2024-8785) vo verziách Progress WhatsUp Gold 2023.1.0 a starších. Umožňuje neautentifikovaným útočníkom modifikovať kľúče registra systému Windows, čo môže viesť k spusteniu ľubovoľného kódu. Dôrazne sa odporúča aktualizovať na verziu 24.0.1, aby sa toto riziko znížilo.
❗️ Veeam vydal aktualizácie zabezpečenia na opravu dvoch zraniteľností v konzole Service Provider Console (VSPC) vrátane kritickej chyby vzdialeného spustenia kódu (CVE-2024-42448) so stupňom závažnosti 9,9 z 10. Zraniteľnosť umožňuje útočníkom spustiť ľubovoľný kód na neopravených serveroch prostredníctvom agenta správy VSPC. Ďalšia chyba s vysokou závažnosťou (CVE-2024-42449) umožňuje útočníkom ukradnúť NTLM hashe a odstrániť súbory na serveri VSPC.
#checkpoint #kybernetickabezpecnost #kyberbezpecnost
Pravidelný týždenný prehľad THREAT INTELLIGENCE REPORT môžete sledovať cez sieť LinkedIn
Výskumný tím Check Point Research už viacej ako tri desiatky rokov sleduje bezpečnostné trendy, vyhodnocuje anomálie a prináša komunite aktuálne varovania a správy o kybernetických hrozbách. Odborníci kontinuálne zhromažďujú a analyzujú dáta o globálnych kybernetických útokoch z monitoringu sietí, ktoré spravujú, open source platforiem, siete ThreatCloud a spravodajstva z dark webu.
