Όταν οι χάκερς αναζητούν ευπάθειες 0-day για να τα εκμεταλλευτούν και να αποκτήσουν πρόσβαση στο τελικό σημείο-στόχο, συνήθως αναζητούν είτε προϊόντα της Microsoft, της Google είτε της Apple, σύμφωνα με νέα έκθεση των ερευνητών κυβερνοασφάλειας Mandiant, η οποία υποστηρίζει ότι από τις σημαντικότερες ευπάθειες 0-day που αξιοποιήθηκαν πέρυσι, οι περισσότερες στόχευαν τις τρεις μεγάλες εταιρείες.

Οι ευπάθειες zero-day είναι ελαττώματα που δεν έχουν ακόμη ανακαλυφθεί από ερευνητές ασφαλείας, συνεπώς οι ομάδες πληροφορικής έχουν ουσιαστικά "μηδέν ημέρες" για να επιδιορθώσουν τα συστήματά τους. Ως εκ τούτου, είναι το πιο πολύτιμο απόκτημα κάθε χάκερ, καθώς η κατάχρησή τους δεν ενεργοποιεί κανέναν συναγερμό.

Από όλα τα πιθανά προϊόντα που θα μπορούσαν να έχουν στοχοποιηθεί, οι κακόβουλοι χρήστες ήταν αυστηρά εστιασμένοι στα λειτουργικά συστήματα, τα προγράμματα περιήγησης στο διαδίκτυο και τα προϊόντα διαχείρισης δικτύων. Στα Windows αξιοποιήθηκαν 15 ευπάθειες, στον Chrome, εννέα και στο iOS, πέντε. Το MacOS συμπληρώνει την πρώτη τετράδα με τέσσερις ευπάθειες 0-day που αξιοποιήθηκαν.

Αν αναλύσουμε τα ευρήματα γεωγραφικά, η Mandiant αναφέρει ότι η πλειονότητα των zero-day αξιοποιήθηκε από Κινέζους κρατικά υποστηριζόμενους φορείς απειλών (7), ακολουθούμενοι από τους Ρώσους (2 - μία επικαλυπτόμενη) και τους Βορειοκορεάτες (2). Για τρεις, δεν κατέστη δυνατό να προσδιοριστεί η προέλευση. Δεκατρείς εκμεταλλεύτηκαν από ομάδες κυβερνοκατασκοπείας. 

Συνήθως, αναζητούσαν ελαττώματα που θα τους επέτρεπαν να αποκτήσουν αυξημένα προνόμια ή να εκτελέσουν απομακρυσμένο κώδικα σε ευάλωτες συσκευές (53 από τα 55 ελαττώματα).

Μεταξύ των υποδομών τελικού χρήστη και των υπηρεσιών νέφους, οι απατεώνες ενδιαφέρονταν κυρίως για τις πρώτες, καθώς αυτά τα προϊόντα συνήθως δεν διαθέτουν τις κατάλληλες άμυνες κυβερνοασφάλειας και είναι πιο πιθανό να παραβιαστούν χωρίς να ειδοποιηθούν οι ομάδες πληροφορικής. Ταυτόχρονα, καθώς περισσότερες επιχειρήσεις μεταναστεύουν στο cloud, ο αριθμός των αποκαλυπτόμενων zero-days ενδέχεται να συρρικνωθεί, καθώς οι πάροχοι υπηρεσιών cloud αναφέρουν διαφορετικά τα περιστατικά ασφαλείας, υποστηρίζει η Mandiant.

Σε κάθε περίπτωση, το 2022 είχε λιγότερες αποκαλυφθείσες ευπάθειες zero-day (55) σε σύγκριση με το προηγούμενο έτος (80), και παρόλο που αυτό ακούγεται θετικό, το 2022 έσπασε ρεκόρ όσον αφορά τον αριθμό των zero-day που αξιοποιήθηκαν ενεργά. Οι ερευνητές πιστεύουν ότι η τάση θα επιδεινωθεί φέτος.

Το Project Zero, η ομάδα της Google που ασχολείται με την έρευνα ασφάλειας, βρήκε μερικά μεγάλα προβλήματα στα μόντεμ της Samsung που τροφοδοτούν συσκευές όπως τα Pixel 6, Pixel 7 και ορισμένα μοντέλα των Galaxy S22 και A53. Σύμφωνα με την ανάρτησή της στο blog, μια σειρά από μόντεμ Exynos έχουν μια σειρά από ευπάθειες που θα μπορούσαν να "επιτρέψουν σε έναν εισβολέα να θέσει σε κίνδυνο ένα τηλέφωνο από απόσταση σε επίπεδο baseband χωρίς καμία αλληλεπίδραση με τον χρήστη" χωρίς να χρειάζεται κάτι περισσότερο από τον αριθμό τηλεφώνου του θύματος. Και, δυστυχώς, φαίνεται ότι η Samsung καθυστερεί να το διορθώσει.

Η ομάδα προειδοποιεί επίσης ότι έμπειροι χάκερ θα μπορούσαν να εκμεταλλευτούν το ζήτημα "με περιορισμένη μόνο πρόσθετη έρευνα και ανάπτυξη". Η Google λέει ότι η ενημερωμένη έκδοση ασφαλείας του Μαρτίου για τα Pixel θα πρέπει να επιδιορθώσει το πρόβλημα - αν και το 9to5Google σημειώνει ότι δεν είναι ακόμη διαθέσιμη για τα Pixel 6, 6 Pro και 6a. Οι ερευνητές λένε ότι πιστεύουν ότι οι ακόλουθες συσκευές μπορεί να διατρέχουν κίνδυνο:

• Κινητές συσκευές της Samsung, συμπεριλαμβανομένων εκείνων των σειρών Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 και A04
• Κινητές συσκευές της Vivo, συμπεριλαμβανομένων εκείνων των σειρών S16, S15, S6, X70, X60 και X30.
• τυχόν φορητές συσκευές που χρησιμοποιούν το chipset Exynos W920
• οποιαδήποτε οχήματα που χρησιμοποιούν το chipset Exynos Auto T5123

Αξίζει να σημειωθεί ότι, για να είναι ευάλωτες οι συσκευές, πρέπει να χρησιμοποιούν ένα από τα επηρεαζόμενα μόντεμ της Samsung. Για πολλούς κατόχους του S22, αυτό θα μπορούσε να είναι μια ανακούφιση - τα τηλέφωνα που πωλούνται εκτός Ευρώπης και ορισμένων αφρικανικών χωρών έχουν επεξεργαστή Qualcomm και χρησιμοποιούν επίσης μόντεμ Qualcomm, και επομένως θα πρέπει να είναι ασφαλή από αυτά τα συγκεκριμένα ζητήματα. Αλλά τα τηλέφωνα με επεξεργαστές Exynos, όπως το δημοφιλές midrange A53 και το ευρωπαϊκό S22, μπορεί να είναι ευάλωτα.

Θεωρητικά, τα S21 και S23 είναι ασφαλή - οι πιο πρόσφατες ναυαρχίδες της Samsung χρησιμοποιούν Qualcomm παγκοσμίως, και οι παλαιότερες με τσιπ Exynos χρησιμοποιούν ένα μόντεμ που δεν εμφανίζεται στη λίστα της Samsung με τα επηρεαζόμενα τσιπ.

Εάν γνωρίζετε ότι το τηλέφωνό σας χρησιμοποιεί ένα από τα ευάλωτα μόντεμ και ανησυχείτε για την ασφάλεια σας (θυμηθείτε, οι επιθέσεις θα μπορούσαν να "θέσουν σε κίνδυνο τις επηρεαζόμενες συσκευές σιωπηλά και εξ αποστάσεως"), το Project Zero αναφέρει ότι μπορείτε να προστατευτείτε απενεργοποιώντας τις κλήσεις Wi-Fi και το Voice-over-LTE. Ναι, οι κλήσεις σας θα είναι χειρότερες, αλλά μάλλον αξίζει τον κόπο.

Παραδοσιακά, οι ερευνητές ασφαλείας περιμένουν μέχρι να είναι διαθέσιμη μια διόρθωση πριν ανακοινώσουν ότι βρήκαν το σφάλμα ή μέχρι να περάσει ένα συγκεκριμένο χρονικό διάστημα από τότε που το ανέφεραν χωρίς να είναι ορατή κάποια διόρθωση. Φαίνεται ότι πρόκειται για τη δεύτερη περίπτωση εδώ - όπως σημειώνει το TechCrunch, η ερευνήτρια του Project Zero, Maddie Stone, έγραψε στο Twitter ότι "οι τελικοί χρήστες δεν έχουν ακόμα patches 90 ημέρες μετά την αναφορά", το οποίο φαίνεται να είναι μια προτροπή προς τη Samsung και άλλους προμηθευτές ότι πρέπει να ασχοληθούν με το ζήτημα.

Συνολικά, το Project Zero βρήκε 18 ευπάθειες στα μόντεμ. Τέσσερις είναι οι πραγματικά κακές που επιτρέπουν την "απομακρυσμένη εκτέλεση κώδικα από το Internet σε baseband" και η Google λέει ότι δεν μοιράζεται πρόσθετες πληροφορίες σχετικά με αυτές αυτή τη στιγμή, παρά τη συνήθη πολιτική αποκάλυψης. (Και πάλι, λόγω του γεγονότος ότι πιστεύει ότι θα μπορούσαν πολύ εύκολα να αξιοποιηθούν). Τα υπόλοιπα ήταν πιο ήσσονος σημασίας, απαιτώντας "είτε έναν κακόβουλο φορέα εκμετάλλευσης κινητού δικτύου είτε έναν εισβολέα με τοπική πρόσβαση στη συσκευή". Για να είμαστε σαφείς, αυτό δεν είναι ακόμα σπουδαίο - έχουμε δει πόσο σαθρή μπορεί να είναι η ασφάλεια των παρόχων - αλλά τουλάχιστον δεν είναι τόσο κακές όσο οι άλλες.

Η Microsoft παρουσίασε την Τρίτη ένα λογισμικό προς πώληση σε διαδικτυακά φόρουμ που διευκολύνει τους εγκληματίες να αναπτύσσουν με επιτυχία εκστρατείες phishing ,που θέτουν σε κίνδυνο λογαριασμούς, ακόμη και όταν αυτοί προστατεύονται από την πιο συνηθισμένη μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων (multi-factor authenitcation - MFA).

Το phishing κιτ, είναι ο κινητήρας που τροφοδοτεί περισσότερα από 1 εκατομμύριο κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου κάθε μέρα, δήλωσαν ερευνητές της ομάδας Microsoft Threat Intelligence. Το λογισμικό, το οποίο πωλείται προς 300 δολάρια για μια τυπική έκδοση και 1.000 δολάρια για τους χρήστες VIP, προσφέρει μια σειρά από προηγμένα χαρακτηριστικά για τον εξορθολογισμό της ανάπτυξης των εκστρατειών phishing και την αύξηση των πιθανοτήτων τους να παρακάμψουν τις άμυνες κατά του phishing.

Ένα από τα πιο σημαντικά χαρακτηριστικά είναι η ενσωματωμένη δυνατότητα παράκαμψης ορισμένων μορφών ελέγχου ταυτότητας πολλαπλών παραγόντων. Γνωστή και ως MFA, έλεγχος ταυτότητας δύο παραγόντων ή 2FA, αυτή η προστασία απαιτεί από τους κατόχους λογαριασμών να αποδεικνύουν την ταυτότητά τους όχι μόνο με έναν κωδικό πρόσβασης αλλά και χρησιμοποιώντας κάτι που έχουν μόνο αυτοί (όπως ένα κλειδί ασφαλείας ή μια εφαρμογή ελέγχου ταυτότητας) ή κάτι που είναι μόνο αυτοί (όπως ένα δακτυλικό αποτύπωμα ή μια σάρωση προσώπου). Η MFA έχει γίνει μια σημαντική άμυνα κατά της κλοπής λογαριασμών, επειδή η κλοπή ενός κωδικού πρόσβασης από μόνη της δεν αρκεί για να αποκτήσει ο επιτιθέμενος τον έλεγχο.

Η αποτελεσματικότητα της MFA δεν έχει περάσει απαρατήρητη από τους phishers. Αρκετές εκστρατείες που ήρθαν στο φως τους τελευταίους μήνες υπογράμμισαν την ευπάθεια των συστημάτων MFA που χρησιμοποιούν TOTPs, συντομογραφία για τους κωδικούς πρόσβασης μιας χρήσης με βάση το χρόνο (time-based one-time passwords), οι οποίοι παράγονται από εφαρμογές ελέγχου ταυτότητας. Μια εκστρατεία, που αποκαλύφθηκε από τη Microsoft, είχε ως στόχο περισσότερους από 10.000 επιχειρήσεις και οργανισμούς σε διάστημα 10 μηνών. Η άλλη παραβίασε με επιτυχία το δίκτυο της εταιρείας ασφαλείας Twilio.

Όπως και το phishing κιτ που παρουσίασε λεπτομερώς η Microsoft την Τρίτη, οι δύο παραπάνω εκστρατείες χρησιμοποίησαν μια τεχνική γνωστή ως AitM, που σημαίνει adversary in the middle (αντίπαλος στη μέση). Λειτουργεί με την τοποθέτηση ενός ιστότοπου phishing μεταξύ του στοχευόμενου χρήστη και του ιστότοπου στον οποίο ο χρήστης προσπαθεί να συνδεθεί. Όταν ο χρήστης εισάγει τον κωδικό πρόσβασης στην ψεύτικη τοποθεσία, η ψεύτικη τοποθεσία τον μεταβιβάζει στην πραγματική τοποθεσία σε πραγματικό χρόνο. Εάν ο πραγματικός ιστότοπος απαντήσει με μια προτροπή για ένα TOTP, ο ψεύτικος ιστότοπος λαμβάνει την προτροπή και τη διαβιβάζει πίσω στον στόχο, επίσης σε πραγματικό χρόνο. Όταν ο στόχος εισάγει το TOTP στον ψεύτικο ιστότοπο, ο ψεύτικος ιστότοπος το στέλνει στον πραγματικό ιστότοπο.

Για να διασφαλιστεί ότι το TOTP εισάγεται εντός του χρονικού ορίου (συνήθως περίπου 30 δευτερόλεπτα), οι phishers χρησιμοποιούν bots που βασίζονται στο Telegram ή σε άλλα προγράμματα ανταλλαγής μηνυμάτων σε πραγματικό χρόνο που εισάγουν αυτόματα τα διαπιστευτήρια γρήγορα. Μόλις ολοκληρωθεί η διαδικασία, ο πραγματικός ιστότοπος στέλνει ένα cookie ελέγχου ταυτότητας στον ψεύτικο ιστότοπο. Με αυτό, οι phishers έχουν όλα όσα χρειάζονται για να καταλάβουν τον λογαριασμό.

Τον περασμένο Μάιο, μια εγκληματική ομάδα που η Microsoft εντοπίζει ως DEV-1101 άρχισε να διαφημίζει ένα phishing κιτ που νικά όχι μόνο το MFA που βασίζεται σε κωδικούς πρόσβασης μιας χρήσης αλλά και άλλες αυτοματοποιημένες άμυνες που χρησιμοποιούνται ευρέως. Ένα χαρακτηριστικό εισάγει ένα CAPTCHA στη διαδικασία, για να διασφαλίσει ότι τα προγράμματα περιήγησης που λειτουργούν με ανθρώπινη βοήθεια μπορούν να έχουν πρόσβαση στην τελική σελίδα phishing, αλλά όχι οι αυτοματοποιημένες άμυνες. Μια άλλη λειτουργία ανακατευθύνει για λίγο το πρόγραμμα περιήγησης του στόχου από τον αρχικό σύνδεσμο που περιλαμβάνεται στο μήνυμα ηλεκτρονικού ταχυδρομείου phishing σε έναν καλοήθη ιστότοπο πριν φτάσει στον ιστότοπο phishing. Η ανακατεύθυνση βοηθάει να νικηθούν οι λίστες αποκλεισμού γνωστών κακόβουλων διευθύνσεων URL.

Οι διαφημίσεις που άρχισαν να εμφανίζονται τον περασμένο Μάιο περιέγραφαν το κιτ ως μια εφαρμογή phishing γραμμένη σε NodeJS που προσφέρει δυνατότητες PHP reverse-proxy για την παράκαμψη των MFA και CAPTCHA και ανακατευθύνσεις για την παράκαμψη άλλων αμυντικών συστημάτων. Οι διαφημίσεις προωθούν άλλες δυνατότητες, όπως η αυτοματοποιημένη εγκατάσταση και ένα ευρύ φάσμα προεγκατεστημένων προτύπων για τη μίμηση υπηρεσιών όπως το Microsoft Office ή το Outlook.

"Αυτά τα χαρακτηριστικά καθιστούν το κιτ ελκυστικό για πολλούς διαφορετικούς φορείς που το χρησιμοποιούν συνεχώς από τότε που έγινε διαθέσιμο τον Μάιο του 2022", έγραψαν οι ερευνητές της Microsoft. "Οι δράστες που χρησιμοποιούν αυτό το κιτ έχουν διαφορετικά κίνητρα και στόχευση και μπορεί να στοχεύουν σε οποιαδήποτε βιομηχανία ή τομέα".

Η δημοσίευση συνέχισε να απαριθμεί διάφορα μέτρα που μπορούν να χρησιμοποιήσουν οι πελάτες για να αντιμετωπίσουν τις δυνατότητες αποφυγής του κιτ, συμπεριλαμβανομένου του Windows Defender και των λύσεων anti-phishing. Δυστυχώς, η ανάρτηση παρέβλεψε το πιο αποτελεσματικό μέτρο, το οποίο είναι η MFA με βάση το βιομηχανικό πρότυπο που είναι γνωστό ως FIDO2. Μέχρι στιγμής, δεν υπάρχουν γνωστές επιθέσεις ηλεκτρονικού ψαρέματος διαπιστευτηρίων που να νικούν το FIDO2, καθιστώντας το ένα από τα πιο αποτελεσματικά εμπόδια για την κατάληψη λογαριασμών.

Για περισσότερες πληροφορίες σχετικά με τη συμβατή με το FIDO2 MFA δείτε εδώ, εδώ και εδώ.
Η επίθεση phishing που παραβίασε το δίκτυο της Twilio λειτούργησε επειδή ένας από τους στοχευμένους υπαλλήλους εισήγαγε ένα TOTP που δημιουργήθηκε από τον ελεγκτή αυθεντικότητας στον ψεύτικο ιστότοπο σύνδεσης του επιτιθέμενου. Η ίδια εκστρατεία απέτυχε εναντίον του δικτύου διανομής περιεχομένου Cloudflare επειδή η εταιρεία χρησιμοποίησε MFA με βάση το FIDO2.

Τον Φεβρουάριο, επιτιθέμενοι από την ομάδα λύτρων BlackCat με έδρα τη Ρωσία χτύπησαν ένα ιατρείο στην κομητεία Lackawanna της Πενσυλβάνια, το οποίο ανήκει στο Lehigh Valley Health Network (LVHN). Τότε, το LVHN δήλωσε ότι η επίθεση "αφορούσε" ένα σύστημα φωτογραφιών ασθενών που σχετιζόταν με την ακτινοθεραπεία ογκολογίας. Ο όμιλος υγειονομικής περίθαλψης δήλωσε ότι η BlackCat είχε εκδώσει αίτημα για λύτρα, "αλλά το LVHN αρνήθηκε να πληρώσει αυτή την εγκληματική επιχείρηση".

Μετά από μερικές εβδομάδες, η BlackCat απείλησε να δημοσιεύσει τα δεδομένα που είχαν κλαπεί από το σύστημα. "Το ιστολόγιό μας παρακολουθείται από πολλά μέσα ενημέρωσης παγκοσμίως, η υπόθεση θα δημοσιοποιηθεί ευρέως και θα προκαλέσει σημαντική ζημιά στην επιχείρησή σας", έγραψε η BlackCat στον ιστότοπο εκβιασμού στο σκοτεινό διαδίκτυο. "Ο χρόνος σας τελειώνει. Είμαστε έτοιμοι να εξαπολύσουμε όλη μας τη δύναμη εναντίον σας!" Στη συνέχεια, οι επιτιθέμενοι δημοσίευσαν τρία στιγμιότυπα οθόνης με καρκινοπαθείς που έλαβαν ακτινοθεραπεία και επτά έγγραφα που περιείχαν πληροφορίες ασθενών.

Οι ιατρικές φωτογραφίες είναι γραφικές και προσωπικές, απεικονίζοντας γυμνά στήθη ασθενών σε διάφορες γωνίες και θέσεις. Και ενώ τα νοσοκομεία και οι εγκαταστάσεις υγειονομικής περίθαλψης αποτελούν εδώ και καιρό αγαπημένο στόχο των συμμοριών ransomware, οι ερευνητές λένε ότι η κατάσταση στο LVHN μπορεί να υποδηλώνει μια αλλαγή στην απελπισία των επιτιθέμενων και την προθυμία τους να φτάσουν σε ακρότητες χωρίς το παραμικρό έλεος, καθώς οι στόχοι ransomware αρνούνται όλο και περισσότερο να πληρώσουν.
"Καθώς όλο και λιγότερα θύματα πληρώνουν τα λύτρα, οι δράστες ransomware γίνονται πιο επιθετικοί στις τεχνικές εκβιασμού τους", λέει ο Allan Liska, αναλυτής της εταιρείας ασφαλείας Recorded Future που ειδικεύεται στο ransomware. "Νομίζω ότι θα δούμε περισσότερα τέτοια φαινόμενα. Ακολουθεί στενά τα πρότυπα σε περιπτώσεις απαγωγών, όπου όταν οι οικογένειες των θυμάτων αρνούνταν να πληρώσουν, οι απαγωγείς μπορεί να έστελναν ένα αυτί ή άλλο μέρος του σώματος του θύματος".

Οι ερευνητές λένε ότι ένα άλλο παράδειγμα αυτών των βίαιων κλιμακώσεων ήρθε την Τρίτη, όταν η αναδυόμενη συμμορία ransomware Medusa δημοσίευσε δείγματα δεδομένων που κλάπηκαν από τα δημόσια σχολεία της Μινεάπολης σε μια επίθεση του Φεβρουαρίου, η οποία συνοδεύτηκε από απαίτηση λύτρων ύψους 1 εκατομμυρίου δολαρίων. Τα στιγμιότυπα οθόνης που διέρρευσαν περιλαμβάνουν σαρώσεις χειρόγραφων σημειώσεων που περιγράφουν ισχυρισμούς για σεξουαλική επίθεση και τα ονόματα ενός μαθητή και δύο μαθητριών που εμπλέκονται στο περιστατικό.

"Σημειώστε ότι η MPS δεν κατέβαλε λύτρα", ανέφερε η σχολική περιφέρεια της Μινεσότα σε ανακοίνωσή της στις αρχές Μαρτίου. Η σχολική περιφέρεια εγγράφει περισσότερους από 36.000 μαθητές, αλλά τα δεδομένα προφανώς περιέχουν αρχεία που αφορούν μαθητές, προσωπικό και γονείς που χρονολογούνται από το 1995. Την περασμένη εβδομάδα, η Medusa δημοσίευσε ένα βίντεο διάρκειας 50 λεπτών, στο οποίο οι επιτιθέμενοι εμφανίζονταν να ξεφυλλίζουν και να εξετάζουν όλα τα δεδομένα που έκλεψαν από το σχολείο, μια ασυνήθιστη τεχνική για να διαφημίσουν ποιες ακριβώς πληροφορίες κατέχουν αυτή τη στιγμή. Η Medusa προσφέρει τρία κουμπιά στον ιστότοπό της στο dark-web, ένα για να πληρώσει κάποιος 1 εκατομμύριο δολάρια για να αγοράσει τα κλεμμένα δεδομένα του MPS, ένα για να πληρώσει η ίδια η σχολική περιφέρεια τα λύτρα και να διαγραφούν τα κλεμμένα δεδομένα και ένα για να πληρώσει 50.000 δολάρια για να παρατείνει την προθεσμία των λύτρων κατά μία ημέρα.

"Αυτό που είναι αξιοσημείωτο εδώ, νομίζω, είναι ότι στο παρελθόν οι συμμορίες έπρεπε πάντα να βρίσκουν μια ισορροπία μεταξύ του να πιέζουν τα θύματά τους να πληρώσουν και να μην κάνουν τόσο αποτρόπαια, τρομερά, κακά πράγματα που τα θύματα να μην θέλουν να ασχοληθούν μαζί τους", λέει ο Brett Callow, αναλυτής απειλών στην εταιρεία antivirus Emsisoft. "Αλλά επειδή οι στόχοι δεν πληρώνουν τόσο συχνά, οι συμμορίες πιέζουν τώρα περισσότερο. Είναι κακή δημοσιότητα να έχεις μια επίθεση ransomware, αλλά όχι τόσο τρομερή όσο ήταν κάποτε - και είναι πραγματικά κακή δημοσιότητα να σε βλέπουν να πληρώνεις έναν οργανισμό που κάνει τρομερά, αποτρόπαια πράγματα".

Η δημόσια πίεση αυξάνεται σίγουρα. Σε απάντηση στις φωτογραφίες ασθενών που διέρρευσαν αυτή την εβδομάδα, για παράδειγμα, το LVHN ανέφερε σε δήλωσή του: "Αυτή η ασυνείδητη εγκληματική πράξη εκμεταλλεύεται τους ασθενείς που λαμβάνουν θεραπεία για τον καρκίνο και το LVHN καταδικάζει αυτή την κατάπτυστη συμπεριφορά".

Το Internet Crime Complaint Center (IC3) του FBI,  ανέφερε στην ετήσια έκθεσή του για το έγκλημα στο Διαδίκτυο, ότι έλαβε 2.385 αναφορές για επιθέσεις ransomware το 2022, συνολικής αξίας 34,3 εκατομμυρίων δολαρίων σε απώλειες. Οι αριθμοί ήταν μειωμένοι από 3.729 καταγγελίες ransomware και 49 εκατομμύρια δολάρια σε συνολικές απώλειες το 2021. "Ήταν πρόκληση για το FBI να εξακριβώσει τον πραγματικό αριθμό των θυμάτων ransomware, καθώς πολλές μολύνσεις δεν δηλώνονται στην επιβολή του νόμου", σημειώνεται στην έκθεση.

Αλλά η έκθεση κάνει ειδική αναφορά στην εξελισσόμενη και πιο επιθετική συμπεριφορά εκβιασμού. "Το 2022, το IC3 είδε αύξηση σε μια πρόσθετη τακτική εκβιασμού που χρησιμοποιείται για τη διευκόλυνση του ransomware", γράφει το FBI. "Οι φορείς απειλών πιέζουν τα θύματα να πληρώσουν απειλώντας να δημοσιεύσουν τα κλεμμένα δεδομένα εάν δεν πληρώσουν τα λύτρα".

Κατά κάποιο τρόπο, η αλλαγή είναι ένα θετικό σημάδι ότι οι προσπάθειες για την καταπολέμηση του ransomware αποδίδουν. Εάν αρκετοί οργανισμοί διαθέτουν τους πόρους και τα εργαλεία για να αντισταθούν στην καταβολή λύτρων, οι επιτιθέμενοι μπορεί τελικά να μην είναι σε θέση να δημιουργήσουν τα έσοδα που επιθυμούν και, ιδανικά, θα εγκαταλείψουν εντελώς το ransomware. Αυτό όμως καθιστά αυτή τη στροφή προς πιο επιθετικές τακτικές μια επισφαλή στιγμή.

"Πραγματικά δεν έχουμε ξαναδεί τέτοια πράγματα. Ομάδες έχουν κάνει δυσάρεστα πράγματα, αλλά ήταν ενήλικες που είχαν ως στόχο, δεν ήταν ασθενείς με καρκίνο ή μαθητές", λέει ο Callow της Emsisoft. "Ελπίζω ότι αυτές οι τακτικές θα τους γυρίσουν μπούμερανγκ και ότι οι εταιρείες θα πουν όχι, δεν μπορούμε να φανούμε ότι χρηματοδοτούμε μια οργάνωση που κάνει αυτά τα αποτρόπαια πράγματα. Αυτή είναι η δική μου ελπίδα τουλάχιστον. Το αν θα αντιδράσουν με αυτόν τον τρόπο μένει να το δούμε".

Δεν υπάρχει απλούστερος τρόπος για να παραβιάσετε το λογαριασμό κάποιου από το να εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής του. Στην πραγματικότητα, οι φορείς απειλών διαρρέουν συστηματικά τα διαπιστευτήρια σύνδεσης των χρηστών στο Dark Web, όπου μπορούν να αγοραστούν από εγκληματίες του κυβερνοχώρου και απατεώνες για τη διάπραξη περαιτέρω εγκλημάτων.

Σύμφωνα με έρευνα που δημοσιεύθηκε σήμερα από τον πάροχο αναλυτικών στοιχείων κυβερνοεγκλήματος, SpyCloud, οι ερευνητές ανακάλυψαν 721,5 εκατομμύρια εκτεθειμένα διαπιστευτήρια πρόσβασης στο διαδίκτυο το 2022. Πολλά από αυτά τα διαπιστευτήρια συλλέχθηκαν από επιχειρηματικές εφαρμογές τρίτων που εκτέθηκαν σε κακόβουλο λογισμικό.

Για να χειροτερέψουν τα πράγματα, οι ερευνητές διαπίστωσαν επίσης ότι το 72% των χρηστών των οποίων τα διαπιστευτήρια εκτέθηκαν στις παραβιάσεις του περασμένου έτους βρέθηκε να εξακολουθούν να χρησιμοποιούν ήδη παραβιασμένους κωδικούς πρόσβασης.

Για τους επικεφαλής ασφαλείας, η έρευνα αυτή υπογραμμίζει ότι η ασφάλεια των κωδικών πρόσβασης - και η διασφάλιση ότι οι εργαζόμενοι δεν επαναχρησιμοποιούν εκτεθειμένα διαπιστευτήρια - είναι απαραίτητη για τον μετριασμό των κινδύνων για τα περιουσιακά στοιχεία δεδομένων. Η αποτυχία σε αυτό μπορεί να οδηγήσει σε σημαντική έκθεση σε απόπειρες κατάληψης λογαριασμού.

"Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν εκτεθειμένα διαπιστευτήρια για να αποκτήσουν παράνομη πρόσβαση σε εταιρικά δίκτυα με το πρόσχημα λογαριασμών εργαζομένων και καταναλωτών, ανοίγοντας την πόρτα για περισσότερες επιθέσεις στον κυβερνοχώρο, όπως η διανομή ransomware και κακόβουλου λογισμικού, η πρόσθετη κλοπή δεδομένων και η δημιουργία συνθετικών ταυτοτήτων", δήλωσε ο Trevor Hilligoss, διευθυντής έρευνας ασφαλείας της SpyCloud.

"Εάν τα διαπιστευτήρια εκλάπησαν πρόσφατα μέσω κακόβουλου λογισμικού και παραμένουν ενεργά, αποτελούν μακροπρόθεσμη απειλή για τις εταιρείες, καθώς οι εγκληματίες μπορούν να χρησιμοποιήσουν τα ίδια διαπιστευτήρια για πρόσβαση σε λογαριασμούς μέχρι να εντοπιστεί και να αντιμετωπιστεί το πρόβλημα", δήλωσε ο Hilligoss. 

Με έναν τόσο μεγάλο όγκο εκτεθειμένων διαπιστευτηρίων σύνδεσης που είναι διαθέσιμα στο διαδίκτυο, είναι σημαντικό να υπενθυμίζετε σε όλους να επιλέγουν ισχυρούς κωδικούς πρόσβασης, να τους αλλάζουν περιοδικά (ιδίως αν πιστεύουν ότι έχουν εκτεθεί στο διαδίκτυο) και να χρησιμοποιούν μια λύση διαχείρισης κωδικών πρόσβασης για να αποφεύγεται η επαναχρησιμοποίηση των διαπιστευτηρίων σε πολλούς διαδικτυακούς λογαριασμούς και υπηρεσίες.

"Πρόσφατα εντοπίσαμε ένα περιστατικό μη εξουσιοδοτημένης πρόσβασης σε έναν από τους διακομιστές εγγράφων μας για τους τεχνικούς επισκευών. Ενώ η έρευνά μας βρίσκεται σε εξέλιξη, προς το παρόν δεν υπάρχει καμία ένδειξη ότι αποθηκεύτηκαν δεδομένα καταναλωτών σε αυτόν τον διακομιστή", δήλωσε η Acer στο SecurityWeek μέσω ηλεκτρονικού ταχυδρομείου.

Η Acer εξέδωσε τη δήλωση αφού ένας χάκερ ανακοίνωσε σε ένα δημοφιλές φόρουμ για το κυβερνοέγκλημα ότι πουλάει περισσότερα από 2.800 αρχεία συνολικής χωρητικότητας 160 Gb για ένα απροσδιόριστο ποσό κρυπτονομίσματος Monero.

Ο χρήστης kernelware, ισχυρίζεται ότι τα αρχεία περιλαμβάνουν εμπιστευτικές διαφάνειες, εγχειρίδια προσωπικού, εμπιστευτική τεκμηρίωση προϊόντων, binary αρχεία, πληροφορίες σχετικά με την backend υποδομή της εταιρίας, εικόνες δίσκων, ψηφιακά κλειδιά αντικατάστασης προϊόντων και πληροφορίες που σχετίζονται με το BIOS των προϊόντων της.

Ο kernelware, ο οποίος έχει καλή φήμη στο φόρουμ όπου τα δεδομένα προσφέρθηκαν προς πώληση, ισχυρίστηκε ότι τα δεδομένα εκλάπησαν στα μέσα Φεβρουαρίου.

Αυτή δεν είναι η πρώτη φορά που η Acer επιβεβαιώνει παραβίαση δεδομένων. Τον Οκτώβριο του 2021, η εταιρία παραδέχτηκε ότι διακομιστές στην Ινδία και την Ταϊβάν παραβιάστηκαν από μια ομάδα που ισχυρίστηκε ότι έκλεψε περισσότερα από 60 Gb δεδομένων από τα συστήματα της εταιρείας.

Τρεις νεαροί ηλικίας 18 έως 21 ετών συνελήφθησαν στην Ολλανδία για το ρόλο τους σε ένα εκτεταμένο σύστημα εκβιασμού δεδομένων που έθεσε σε κίνδυνο χιλιάδες μικρές και μεγάλες επιχειρήσεις παγκοσμίως, συμπεριλαμβανομένων εκπαιδευτικών ιδρυμάτων, εταιρειών λογισμικού, επιχειρήσεων φιλοξενίας, ηλεκτρονικών καταστημάτων και οργανισμών που συνδέονται με κρίσιμες υποδομές και υπηρεσίες. Εκτιμάται ότι κατά τη διάρκεια των παραβιάσεων εκλάπησαν προσωπικά δεδομένα δεκάδων εκατομμυρίων ανθρώπων, προκαλώντας ζημιές εκατομμυρίων ευρώ.

Οι ύποπτοι κατηγορούνται για παραβίαση υπολογιστών, κλοπή δεδομένων, εκβιασμό και εκβιασμό, καθώς και για ξέπλυμα χρήματος. Αφού παραβίαζαν μια εταιρεία και έκλεβαν τα δεδομένα της, οι "κυβερνο-κλέφτες" απειλούσαν το θύμα ότι θα καταστρέψουν την ψηφιακή υποδομή του ή θα διαρρεύσουν τις κλεμμένες πληροφορίες στο διαδίκτυο, εάν δεν καταβάλλονταν λύτρα. Το ποσό των λύτρων κυμαινόταν μεταξύ 100.000 και 700.000 ευρώ, ανάλογα με το μέγεθος του οργανισμού που είχαν παραβιάσει οι χάκερς. Συχνά, οι εγκληματίες πωλούσαν τα κλεμμένα δεδομένα στο διαδίκτυο με σκοπό το κέρδος, ανεξάρτητα από το αν τα θύματα πλήρωναν τα λύτρα.

Η LastPass, της οποία η αξιοπιστία ήταν ήδη πληγωμένη από μια παραβίαση που έθεσε μερικώς κρυπτογραφημένα δεδομένα σύνδεσης στα χέρια κακόβουλων χρηστών, δήλωσε τη Δευτέρα ότι οι ίδιοι κακόβουλοι χρήστες παραβίασαν τον οικιακό υπολογιστή ενός υπαλλήλου και απέκτησαν ένα αποκρυπτογραφημένο θησαυροφυλάκιο που ήταν διαθέσιμο μόνο σε λίγους developers της εταιρείας.

Παρόλο που η αρχική εισβολή στην LastPass έληξε στις 12 Αυγούστου, οι υπάλληλοι του κορυφαίου διαχειριστή κωδικών πρόσβασης δήλωσαν ότι ο δράστης απειλής "συμμετείχε ενεργά σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, απαρίθμησης και διαρροής" από τις 12 έως τις 26 Αυγούστου. Κατά τη διαδικασία, ο άγνωστος δράστης απειλής κατάφερε να κλέψει έγκυρα διαπιστευτήρια από έναν ανώτερο μηχανικό DevOps και να αποκτήσει πρόσβαση στο περιεχόμενο ενός θησαυροφυλακίου δεδομένων της LastPass. Μεταξύ άλλων, το θησαυροφυλάκιο έδινε πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud που περιείχε τα κλειδιά κρυπτογράφησης για τα αντίγραφα ασφαλείας του θησαυροφυλακίου πελατών που ήταν αποθηκευμένα σε κάδους Amazon S3.
"Αυτό επιτεύχθηκε με τη στόχευση του οικιακού υπολογιστή του μηχανικού DevOps και την εκμετάλλευση ενός ευάλωτου πακέτου λογισμικού πολυμέσων τρίτου μέρους, το οποίο επέτρεψε τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και επέτρεψε στον δράστη της απειλής να εμφυτεύσει κακόβουλο λογισμικό keylogger", έγραψαν οι υπεύθυνοι της LastPass. "Ο δράστης της απειλής ήταν σε θέση να καταγράψει τον κύριο κωδικό πρόσβασης του υπαλλήλου κατά την εισαγωγή του, αφού ο υπάλληλος πιστοποιήθηκε με MFA, και να αποκτήσει πρόσβαση στο εταιρικό θησαυροφυλάκιο LastPass του μηχανικού DevOps".

Ο παραβιασμένος λογαριασμός του μηχανικού DevOps ήταν ένας από τους τέσσερις μόνο υπαλλήλους της LastPass με πρόσβαση στο εταιρικό θησαυροφυλάκιο. Μόλις κατέλαβε το αποκρυπτογραφημένο θησαυροφυλάκιο, ο δράστης της απειλής εξήγαγε τις καταχωρήσεις, συμπεριλαμβανομένων των "κλειδιών αποκρυπτογράφησης που απαιτούνται για την πρόσβαση στα αντίγραφα ασφαλείας παραγωγής AWS S3 LastPass, σε άλλους πόρους αποθήκευσης που βασίζονται στο cloud και σε ορισμένα σχετικά κρίσιμα αντίγραφα ασφαλείας βάσεων δεδομένων".

Η ενημέρωση της Δευτέρας έρχεται δύο μήνες μετά την προηγούμενη ενημέρωση-βόμβα της LastPass, η οποία για πρώτη φορά ανέφερε ότι, σε αντίθεση με τους προηγούμενους ισχυρισμούς, οι επιτιθέμενοι απέκτησαν δεδομένα του θησαυροφυλακίου πελατών που περιείχαν τόσο κρυπτογραφημένα όσο και δεδομένα απλού κειμένου. Η LastPass ανέφερε τότε ότι ο δράστης της απειλής είχε επίσης αποκτήσει ένα κλειδί πρόσβασης στο cloud storage και δύο κλειδιά αποκρυπτογράφησης του storage container, επιτρέποντας την αντιγραφή των δεδομένων αντιγράφων ασφαλείας του θησαυροφυλακίου πελατών από το κρυπτογραφημένο storage container.

Τα δεδομένα αντιγράφων ασφαλείας περιείχαν τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστοτόπων, όσο και ονόματα χρηστών και κωδικούς πρόσβασης ιστοτόπων, ασφαλείς σημειώσεις και δεδομένα που είχαν συμπληρωθεί σε φόρμες, τα οποία είχαν ένα πρόσθετο επίπεδο κρυπτογράφησης με χρήση 256-bit AES. Οι νέες λεπτομέρειες εξηγούν πώς ο δράστης της απειλής απέκτησε τα κλειδιά κρυπτογράφησης S3.

Η ενημέρωση της Δευτέρας ανέφερε ότι οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν στο πρώτο περιστατικό ήταν διαφορετικές από εκείνες που χρησιμοποιήθηκαν στο δεύτερο και ότι, ως εκ τούτου, δεν ήταν αρχικά σαφές στους ερευνητές ότι τα δύο περιστατικά σχετίζονταν άμεσα. Κατά τη διάρκεια του δεύτερου περιστατικού, ο δράστης της απειλής χρησιμοποίησε τις πληροφορίες που απέκτησε κατά τη διάρκεια του πρώτου περιστατικού για να απαριθμήσει και να εξαγάγει τα δεδομένα που ήταν αποθηκευμένα στους κάδους S3.

"Η ειδοποίηση και η καταγραφή ήταν ενεργοποιημένη κατά τη διάρκεια αυτών των συμβάντων, αλλά δεν έδειξε αμέσως την ανώμαλη συμπεριφορά που έγινε σαφέστερη εκ των υστέρων κατά τη διάρκεια της έρευνας", έγραψαν οι υπάλληλοι της LastPass. "Συγκεκριμένα, ο δράστης της απειλής ήταν σε θέση να χρησιμοποιήσει έγκυρα διαπιστευτήρια που είχαν κλαπεί από έναν ανώτερο μηχανικό DevOps για να αποκτήσει πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud, γεγονός που αρχικά δυσκόλεψε τους ερευνητές να διαφοροποιήσουν τη δραστηριότητα του δράστη της απειλής από τη συνεχιζόμενη νόμιμη δραστηριότητα".

Η LastPass έμαθε για το δεύτερο περιστατικό από τις προειδοποιήσεις της Amazon για ανώμαλη συμπεριφορά, όταν ο δράστης απειλής προσπάθησε να χρησιμοποιήσει ρόλους Cloud Identity and Access Management (IAM) για να εκτελέσει μη εξουσιοδοτημένη δραστηριότητα.

Σύμφωνα με άτομο που ενημερώθηκε για μια ιδιωτική αναφορά της LastPass και μίλησε υπό τον όρο της ανωνυμίας, το πακέτο λογισμικού πολυμέσων που αξιοποιήθηκε στον οικιακό υπολογιστή του υπαλλήλου ήταν το Plex. Είναι ενδιαφέρον ότι η Plex ανέφερε τη δική της εισβολή στο δίκτυο στις 24 Αυγούστου, μόλις 12 ημέρες μετά την έναρξη του δεύτερου περιστατικού. Η παραβίαση επέτρεψε στον δράστη της απειλής να αποκτήσει πρόσβαση σε μια ιδιόκτητη βάση δεδομένων και να εξαφανιστεί με δεδομένα κωδικών πρόσβασης, ονόματα χρηστών και μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν σε μερικούς από τους 30 εκατομμύρια πελάτες της. Η Plex είναι ένας σημαντικός πάροχος υπηρεσιών ροής πολυμέσων που επιτρέπει στους χρήστες να μεταδίδουν ταινίες και ήχο, να παίζουν παιχνίδια και να έχουν πρόσβαση στο δικό τους περιεχόμενο που φιλοξενείται σε οικιακούς ή εσωτερικούς διακομιστές πολυμέσων.
Δεν είναι σαφές αν η παραβίαση της Plex έχει κάποια σχέση με τις εισβολές της LastPass. Εκπρόσωποι της LastPass και της Plex δεν απάντησαν σε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχόλια για το θέμα αυτό.

Ο δράστης της απειλής πίσω από την παραβίαση της LastPass έχει αποδειχθεί ιδιαίτερα επινοητικός και η αποκάλυψη ότι εκμεταλλεύτηκε με επιτυχία μια ευπάθεια λογισμικού στον οικιακό υπολογιστή ενός υπαλλήλου ενισχύει περαιτέρω αυτή την άποψη. Όπως συμβούλευσε η ArsTechnica τον Δεκέμβριο, όλοι οι χρήστες του LastPass θα πρέπει να αλλάξουν τους κύριους κωδικούς πρόσβασης και όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στα θησαυροφυλάκια τους. Αν και δεν είναι σαφές αν ο δράστης της απειλής έχει πρόσβαση σε κάποιο από τα δύο, οι προφυλάξεις είναι δικαιολογημένες.

Η αυτοκινητοβιομηχανία Hyundai και η θυγατρική της Kia άρχισαν να κυκλοφορούν δωρεάν ενημέρωση λογισμικού στις 14 Φεβρουαρίου 2023, για να αντιμετωπίσουν ένα ελάττωμα στο αντικλεπτικό λογισμικό τους, το οποίο επισημάνθηκε σε μια πρόκληση στα μέσα κοινωνικής δικτύωσης. Η κυκλοφορία της ενημερωμένης έκδοσης ήρθε εννέα μήνες μετά την έξαρση των κλοπών αυτοκινήτων των επηρεαζόμενων μοντέλων στις ΗΠΑ και στην Αυστραλία

"Το λογισμικό επικαιροποιεί τη λογική του λογισμικού συναγερμού κλοπής για να επεκτείνει τη διάρκεια του ήχου του συναγερμού από 30 δευτερόλεπτα σε ένα λεπτό και απαιτεί το κλειδί να βρίσκεται στο διακόπτη ανάφλεξης για να ενεργοποιηθεί το όχημα", δήλωσε η Εθνική Υπηρεσία Ασφάλειας Οδικής Κυκλοφορίας των ΗΠΑ (NHTSA). "Η προσπάθεια αυτή αποτελεί απάντηση σε μια πρόκληση του TikTok στα μέσα κοινωνικής δικτύωσης που έχει εξαπλωθεί σε εθνικό επίπεδο και έχει οδηγήσει σε τουλάχιστον 14 αναφερόμενα ατυχήματα και οκτώ θανάτους".

Η "Kia Challenge" έγινε viral στο TikTok τον Αύγουστο του 2022. Οι κλέφτες, γνωστοί ως "Kia Boys" ή "Kia Boyz", έδειξαν πώς να παρακάμπτουν το σύστημα ασφαλείας της Kia χρησιμοποιώντας απλά εργαλεία όπως ένα κατσαβίδι και ένα καλώδιο USB. Λέγεται ότι αυτή η μέθοδος κλοπής είναι τόσο εύκολη επειδή πολλά αυτοκίνητα Kia και Hyunday του 2015-2019 δεν διαθέτουν ηλεκτρονικά immobilizer, τα οποία χρησιμοποιούν ηλεκτρονικά σήματα για να αποτρέψουν τους κλέφτες από το να "βάζουν μπρός" τα αυτοκίνητα.

Οι έφηβοι έδωσαν οδηγίες στους θεατές να αφαιρέσουν με τη βία το κάλυμμα της κολόνας του τιμονιού (που βρίσκεται ακριβώς κάτω από το τιμόνι) για να αποκαλυφθεί μια θύρα όπου στη συνέχεια μπαίνει ένα βύσμα USB-A.

Απ' ό,τι μάθαμε, το viral βίντεο του TikTok ήταν ένα απόσπασμα από ένα ντοκιμαντέρ του Tommy G στο YouTube με τίτλο Kia Boys Documentary (A Story of Teenage Car Theft). Η εν λόγω σκηνή βρέθηκε στο τελευταίο κομμάτι του βίντεο.

Μόνο τα αυτοκίνητα που χρησιμοποιούν κλειδιά φαίνονται ευάλωτα σε αυτού του είδους την κλοπή. Τα push-to-start αυτοκίνητα, δηλαδή τα οχήματα που εκκινούνται με το πάτημα ενός κουμπιού, είναι απρόσβλητα.

"Η αναβάθμιση του λογισμικού τροποποιεί ορισμένες μονάδες ελέγχου του οχήματος στα οχήματα Hyundai που είναι εξοπλισμένα με τα τυπικά συστήματα ανάφλεξης "turn-key-to-start"", ανέφερε η Hyundai σε δελτίο τύπου. "Ως αποτέλεσμα, το κλείδωμα των θυρών με το μπρελόκ θα θέσει σε λειτουργία τον εργοστασιακό συναγερμό και θα ενεργοποιήσει μια λειτουργία 'ignition kill', ώστε τα οχήματα να μην μπορούν να εκκινηθούν όταν υπόκεινται στην εκλαϊκευμένη λειτουργία κλοπής. Οι πελάτες πρέπει να χρησιμοποιήσουν το μπρελόκ για να ξεκλειδώσουν τα οχήματά τους για να απενεργοποιήσουν τη λειτουργία 'ignition kill'".

Συνολικά 8,3 εκατομμύρια αυτοκίνητα είναι επιλέξιμα για τη δωρεάν ενημέρωση. Οι ιδιοκτήτες των επηρεαζόμενων μοντέλων Hyundai και Kia ενθαρρύνονται να επισκεφθούν την τοπική τους αντιπροσωπεία για να εγκαταστήσουν την αναβάθμιση λογισμικού. Τα ενημερωμένα οχήματα λαμβάνουν επίσης ένα αυτοκόλλητο στο παρμπρίζ που υποδεικνύει ότι έχουν εξοπλιστεί με αντικλεπτικό λογισμικό.

Η Hyundai θα κυκλοφορήσει επίσης την επιδιόρθωση σε φάσεις, το χρονοδιάγραμμα των οποίων μπορείτε να δείτε στην ιστοσελίδα της. Για την κυκλοφορία στις 14 Φεβρουαρίου (μέρος της Φάσης 1), οι ιδιοκτήτες Hyundai Elantra 2017-2020 μπορούν να λάβουν την ενημέρωση. Το μοντέλο που θα λάβει το patch στη συνέχεια είναι το Accent 2018-2022 τον Ιούνιο του 2023 (μέρος της Φάσης 2). Το χρονοδιάγραμμα για τα υπόλοιπα μοντέλα δεν έχει ακόμη ανακοινωθεί.

Ερευνητές ανακάλυψαν ένα έξυπνο κομμάτι κακόβουλου λογισμικού που διεγείρει κρυφά δεδομένα και εκτελεί κακόβουλο κώδικα από συστήματα Windows, κάνοντας κατάχρηση μιας δυνατότητας στις υπηρεσίες πληροφοριών Internet της Microsoft (IIS - Internet Information Services).

Ο IIS είναι ένας διακομιστής ιστού γενικής χρήσης που εκτελείται σε συσκευές Windows. Ως διακομιστής ιστού, δέχεται αιτήματα από απομακρυσμένους πελάτες και επιστρέφει την κατάλληλη απάντηση. Τον Ιούλιο του 2021, η εταιρεία πληροφοριών δικτύου Netcraft είπε ότι υπήρχαν 51,6 εκατομμύρια συστήματα με IIS κατανεμημένα σε 13,5 εκατομμύρια μοναδικούς τομείς.

Οι υπηρεσίες IIS προσφέρουν μια δυνατότητα που ονομάζεται Failed Request Event Buffering (FREB) που συλλέγει μετρήσεις και άλλα δεδομένα σχετικά με αιτήματα ιστού που λαμβάνονται από απομακρυσμένους πελάτες. Οι διευθύνσεις IP πελάτη και οι κεφαλίδες θύρας και HTTP με cookies είναι δύο παραδείγματα των δεδομένων που μπορούν να συλλεχθούν. Το FREB βοηθά τους διαχειριστές να αντιμετωπίσουν αποτυχημένα αιτήματα ιστού ανακτώντας αυτά που πληρούν ορισμένα κριτήρια από ένα buffer και γράφοντάς τα στο δίσκο. Ο μηχανισμός μπορεί να βοηθήσει στον προσδιορισμό της αιτίας των σφαλμάτων 401 ή 404 ή στην απομόνωση της αιτίας των αιτημάτων που έχουν σταματήσει ή ακυρώνονται.

Οι εγκληματίες χάκερ έχουν καταλάβει πώς να κάνουν κατάχρηση αυτής της δυνατότητας FREB για να διακινήσουν και να εκτελέσουν κακόβουλο κώδικα σε προστατευμένες περιοχές ενός ήδη παραβιασμένου δικτύου. Οι χάκερ μπορούν επίσης να χρησιμοποιήσουν το FREB για να διεισδύσουν δεδομένα από τις ίδιες προστατευμένες περιοχές. Επειδή η τεχνική συνδυάζεται με νόμιμα αιτήματα eeb, παρέχει έναν κρυφό τρόπο για περαιτέρω είσοδο στο παραβιασμένο δίκτυο.

Το κακόβουλο λογισμικό ονομάστηκε Frebniis από ερευνητές της Symantec, οι οποίοι ανέφεραν τη χρήση του την Πέμπτη. Το Frebniis πρώτα διασφαλίζει ότι το FREB είναι ενεργοποιημένο και στη συνέχεια παραλαμβάνει την εκτέλεσή του εισάγοντας κακόβουλο κώδικα στη μνήμη διεργασίας των υπηρεσιών IIS και προκαλώντας την εκτέλεσή του. Μόλις τοποθετηθεί ο κώδικας, το Frebniis μπορεί να επιθεωρήσει όλα τα αιτήματα HTTP που λαμβάνονται από τον διακομιστή IIS.

«Με την διείσδυση και την τροποποίηση του κώδικα διακομιστή ιστού IIS, το Frebniis είναι σε θέση να παρεμποδίσει την τακτική ροή του χειρισμού αιτημάτων HTTP και να αναζητήσει ειδικά διαμορφωμένα αιτήματα HTTP», έγραψαν οι ερευνητές της Symantec. «Αυτά τα αιτήματα επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα και τη διαμεσολάβηση σε εσωτερικά συστήματα κρυφά. Δεν θα εκτελούνται αρχεία ή ύποπτες διεργασίες στο σύστημα, καθιστώντας το Frebniis έναν σχετικά μοναδικό και σπάνιο τύπο HTTP backdoor."

Για να μπορέσει να λειτουργήσει το Frebniis, ένας εισβολέας πρέπει πρώτα να διεισδύσει στο σύστημα των Windows που εκτελεί τον διακομιστή IIS. Οι ερευνητές της Symantec δεν έχουν ακόμη καθορίσει πώς το κάνει αυτό ο Frebniis.

Το Frebniis αναλύει όλα τα αιτήματα HTTP POST χρησιμοποιώντας τα αρχεία logon.aspx ή default.aspx, τα οποία χρησιμοποιούνται για τη δημιουργία σελίδων σύνδεσης και την εξυπηρέτηση προεπιλεγμένων ιστοσελίδων, αντίστοιχα. Οι εισβολείς μπορούν να μεταφέρουν τα αιτήματα σε έναν μολυσμένο διακομιστή στέλνοντας ένα από αυτά τα αιτήματα και προσθέτοντας τον κωδικό πρόσβασης "7ux4398!" ως παράμετρο. Μόλις ληφθεί ένα τέτοιο αίτημα, ο Frebniis αποκρυπτογραφεί και εκτελεί τον κώδικα .Net που ελέγχει τις κύριες λειτουργίες του backdoor. Για να γίνει η διαδικασία πιο δύσκολη να ανιχνευτεί, ο κώδικας δεν αφήνει κανένα αρχείο στο δίσκο.

Ο κώδικας .NET εξυπηρετεί δύο σκοπούς. Πρώτον, παρέχει έναν διακομιστή μεσολάβησης που επιτρέπει στους εισβολείς να χρησιμοποιούν τον παραβιασμένο διακομιστή IIS για να αλληλεπιδρούν ή να επικοινωνούν με εσωτερικούς πόρους που διαφορετικά θα ήταν απρόσιτοι από το Διαδίκτυο. Ο παρακάτω πίνακας δείχνει τις εντολές που έχει προγραμματιστεί να εκτελεί:

Ο δεύτερος σκοπός του κώδικα .Net είναι να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα που παρέχεται από τον εισβολέα στον διακομιστή IIS. Στέλνοντας ένα αίτημα στα αρχεία logon.aspx ή default.aspx που περιλαμβάνει κώδικα γραμμένο σε C#, το Frebniis θα τον αποκωδικοποιήσει αυτόματα και θα τον εκτελέσει στη μνήμη. Για άλλη μια φορά, με την εκτέλεση του κώδικα απευθείας στη μνήμη, το backdoor είναι πολύ πιο δύσκολο να εντοπιστεί.

Δεν είναι σαφές πόσο ευρέως χρησιμοποιείται το Frebniis αυτή τη στιγμή. Η ανάρτηση παρέχει δύο file hashes που σχετίζονται με το backdoor, αλλά δεν εξηγεί πώς να μπορεί να γίνει αναζήτηση σε ένα σύστημα για την ανίχνευσή τους.

Η αναζήτηση στο Google για λήψεις δημοφιλούς λογισμικού ήταν πάντα παρακινδυνευμένη, αλλά τους τελευταίους μήνες έχει γίνει εντελώς επικίνδυνη, σύμφωνα με ερευνητές και μια συλλογή ερωτημάτων, σύμφωνα με την Ars Technica.
«Οι ερευνητές των απειλών έχουν συνηθίσει να βλέπουν μια μέτρια ροή κακόβουλης διαφήμισης μέσω του Google Ads», έγραψαν εθελοντές στο Spamhaus την Πέμπτη. "Ωστόσο, τις τελευταίες ημέρες, οι ερευνητές έγιναν μάρτυρες μιας τεράστιας αύξησης που επηρεάζει πολλές διάσημες μάρκες, με πολλαπλά κακόβουλα προγράμματα που χρησιμοποιούνται. Αυτό δεν είναι "ο κανόνας".

Η αύξηση προέρχεται από πολλές οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook και XLoader. Στο παρελθόν, αυτές οι οικογένειες βασίζονταν συνήθως σε ηλεκτρονικό "ψάρεμα" και κακόβουλο ανεπιθύμητο περιεχόμενο που συνέδεε έγγραφα του Microsoft Word με παγιδευμένες μακροεντολές. Τον περασμένο μήνα, το Google Ads έγινε το ιδανικό μέρος για τους εγκληματίες να διαδώσουν τα κακόβουλα προϊόντα τους που είναι μεταμφιεσμένα ως νόμιμες λήψεις υποδυόμενοι επωνυμίες όπως οι Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor και Thunderbird.

Την ίδια ημέρα που το Spamhaus δημοσίευσε την έκθεσή του, ερευνητές από την εταιρεία ασφαλείας Sentinel One τεκμηρίωσαν μια προηγμένη καμπάνια κακόβουλης διαφήμισης της Google που ωθεί πολλαπλούς κακόβουλους loaders. Ο Sentinel One έχει ονομάσει αυτούς τους φορτωτές MalVirt. Προς το παρόν, οι loaders MalVirt χρησιμοποιούνται για τη διανομή του κακόβουλου λογισμικού που είναι πιο γνωστό ως XLoader, διαθέσιμο τόσο για Windows όσο και για macOS. Το XLoader είναι διάδοχος του κακόβουλου λογισμικού γνωστό και ως Formbook. Οι δράστες απειλών χρησιμοποιούν το XLoader για να κλέψουν δεδομένα επαφών και άλλες ευαίσθητες πληροφορίες από μολυσμένες συσκευές. Οι φορτωτές MalVirt χρησιμοποιούν ασαφή εικονικοποίηση για να αποφύγουν την προστασία και την ανάλυση τελικού σημείου (end point protection and analysis). Για να συγκαλύψει την πραγματική κυκλοφορία C2 και να αποφύγει τις ανιχνεύσεις δικτύου, το MalVirt χρησιμοποιεί "φάρους" για να παραπλανήσει τους διακομιστές εντολών και ελέγχου που φιλοξενούνται σε παρόχους όπως οι Azure, Tucows, Choopa και Namecheap.
"Μέχρι η Google να βρεί νέες άμυνες, οι τομείς παραπλάνησης και άλλες τεχνικές συσκότισης παραμένουν ένας αποτελεσματικός τρόπος απόκρυψης των διακομιστών πραγματικού ελέγχου που χρησιμοποιούνται στις ανεξέλεγκτες καμπάνιες MalVirt και σε άλλες καμπάνιες κακόβουλης διαφήμισης", καταλήγει ο δικτυακός τόπος Ars Technica. "Είναι σαφές αυτή τη στιγμή ότι οι κακόβουλοι διαφημιστές έχουν κερδίσει το πάνω χέρι έναντι της σημαντικής ισχύος της Google."

Οι εταιρίες που χρησιμοποιούν το Microsoft Defender for Endpoint θα μπορούν πλέον να απομονώνουν συσκευές Linux από τα δίκτυά τους για να περιορίζουν τυχόν εισβολές και οτιδήποτε άλλο μπορεί να προκύψει. Η δυνατότητα απομόνωσης συσκευής είναι σε δημόσια προεπισκόπηση και αντικατοπτρίζει αυτό που κάνει ήδη το προϊόν για τα συστήματα με Windows.

«Ορισμένα σενάρια επίθεσης μπορεί να απαιτήσουν από εσάς να απομονώσετε μια συσκευή από το δίκτυο», έγραψε η Microsoft σε μια ανάρτηση ιστολογίου. "Αυτή η ενέργεια μπορεί να βοηθήσει στην αποτροπή του εισβολέα από τον έλεγχο της παραβιασμένης συσκευής και την εκτέλεση περαιτέρω δραστηριοτήτων, όπως η εξαγωγή δεδομένων και η περαιτέρω διείσδυση."

Οι εισβολείς δεν θα μπορούν να συνδεθούν με τη συσκευή ή να εκτελέσουν λειτουργίες όπως η ανάληψη μη εξουσιοδοτημένου ελέγχου του συστήματος ή η κλοπή ευαίσθητων δεδομένων, ισχυρίζεται η Microsoft. Σύμφωνα με τον προμηθευτή, όταν η συσκευή είναι απομονωμένη, περιορίζεται στις διαδικασίες και στους προορισμούς Ιστού που επιτρέπονται. Αυτό σημαίνει ότι αν βρίσκονται πίσω από μια πλήρη σήραγγα VPN, δεν θα μπορούν να προσεγγίσουν τις υπηρεσίες cloud της Microsoft Defender for Endpoint.

Η Microsoft συνιστά στις επιχειρήσεις να χρησιμοποιούν ένα split-tunneling VPN για κίνηση που βασίζεται σε σύννεφο και για το Defender for Endpoint και για το Defender Antivirus. Μόλις ξεκαθαριστεί η κατάσταση που προκάλεσε την απομόνωση, οι οργανισμοί θα μπορούν να επανασυνδέσουν τη συσκευή στο δίκτυο.

Η απομόνωση του συστήματος γίνεται μέσω API. Οι χρήστες μπορούν να μεταβούν στη σελίδα συσκευής των συστημάτων Linux μέσω της πύλης Microsoft 365 Defender, όπου θα δουν μια καρτέλα "Απομόνωση συσκευής" επάνω δεξιά μεταξύ των άλλων ενεργειών. Η Microsoft έχει παρουσιάσει τα API τόσο για την απομόνωση της συσκευής όσο και για την απελευθέρωσή της από το κλείδωμα.

Οι συσκευές Linux που μπορούν να χρησιμοποιήσουν το Defender για Endpoint περιλαμβάνουν τις Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Amazon Web Services (AWS) Linux και Fedora.

Η απομόνωση συσκευών Linux είναι το πιο πρόσφατο χαρακτηριστικό ασφαλείας που έχει θέσει η Microsoft στην υπηρεσία cloud. Νωρίτερα αυτό το μήνα, η εταιρεία επέκτεινε την προστασία από παραβιάσεις για το Defender for Endpoint για να συμπεριλάβει εξαιρέσεις προστασίας από ιούς.

Όλα αυτά αποτελούν μέρος ενός ευρύτερου σχεδίου ενίσχυσης του Defender με προσοχή στον ανοιχτό κώδικα. Στην έκθεσή της στο Ignite τον Οκτώβριο του 2022, η Microsoft ανακοίνωσε ότι ενσωματώνει την πλατφόρμα παρακολούθησης δικτύου ανοιχτού κώδικα Zeek ως στοιχείο του Defender for Endpoint για βαθιά επιθεώρηση πακέτων της κυκλοφορίας δικτύου.

Επίσης στην εκδήλωση, η εταιρία μίλησε για τις νέες δυνατότητες που στοχεύουν να επιτρέψουν στις ομάδες επιχειρήσεων ασφαλείας να ανιχνεύουν νωρίτερα επιθέσεις εντολής και ελέγχου (C2), επιτρέποντάς τους να περιορίσουν την εξάπλωση της ζημιάς και να αφαιρέσουν κακόβουλα αρχεία.

Η νέα λειτουργικότητα έρχεται επίσης μόλις δύο εβδομάδες αφότου οι ενημερώσεις στο Defender for Endpoint τρόμαξαν τους επαγγελματίες ασφαλείας –την Παρασκευή 13– αφαιρώντας ακούσια εικονίδια και συντομεύσεις εφαρμογών από την επιφάνεια εργασίας, τη γραμμή εργασιών και το μενού Έναρξης στα συστήματα Windows 10 και 11. Η Microsoft διόρθωσε το πρόβλημα, αλλά ακόμα και πάλι κάποιοι χρήστες έχασαν ορισμένα αρχεία.