Ερευνητές εντόπισαν το κακόβουλο λογισμικό SwiftSlicer που αναπτύχθηκε κατά τη διάρκεια μιας κυβερνοεπίθεσης που στόχευε σε καταστήματα τεχνολογίας της Ουκρανίας. Το λογισμικό κακόβουλου λογισμικού γράφτηκε χρησιμοποιώντας μια γλώσσα πολλαπλών πλατφορμών που ονομάζεται Golang, πιο γνωστή ως Go, και χρησιμοποιεί επίθεση πολιτικής ομάδας Active Directory (AD).

Η ανακοίνωση σημειώνει ότι το κακόβουλο λογισμικό που προσδιορίζεται ως WinGo/Killfiles.C. Κατά την εκτέλεση, το SwiftSlicer διαγράφει σκιώδη αντίγραφα και αντικαθιστά αναδρομικά τα αρχεία και, στη συνέχεια, επανεκκινεί τον υπολογιστή. Αντικαθιστά τα δεδομένα χρησιμοποιώντας μπλοκ μήκους 4.096 byte που αποτελούνται από τυχαία δημιουργημένα byte. Τα αρχεία που έχουν αντικατασταθεί βρίσκονται συνήθως στα %CSIDL_SYSTEM%\drivers, στο %CSIDL_SYSTEM_DRIVE%\Windows\NTDS και σε πολλές άλλες θέσεις, εκτός συστήματος.

Οι αναλυτές απέδωσαν το κακόβουλο λογισμικό τύπου wiper στην ομάδα hacking Sandworm, η οποία εξυπηρετεί την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU) και το Κύριο Κέντρο Ειδικών Τεχνολογιών (GTsST). Η τελευταία επίθεση θυμίζει τις πρόσφατες επιθέσεις με τα HermeticWiper και CaddyWiper που αναπτύχθηκαν κατά τη διάρκεια της εισβολής της Ρωσίας.

Οι ερευνητές παρατήρησαν ότι οι χάκερ μόλυναν τους στόχους και στις τρεις επιθέσεις μέσω του ίδιου φορέα που βασίζεται σε Active Directory. Οι ομοιότητες στις μεθόδους ανάπτυξης κάνουν την ESET να πιστεύει ότι η ομάδα Sandworm μπορεί να είχε πάρει τον έλεγχο των περιβαλλόντων Active Directory του στόχου τους πριν ξεκινήσει η επίθεση.

Το να πούμε ότι η ομάδα Sandworm ήταν απασχολημένη από τη σύγκρουση στην Ουκρανία θα ήταν υποτιμητικό. Η Ουκρανική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT-UA) ανακάλυψε πρόσφατα έναν άλλο συνδυασμό πολλών πακέτων κακόβουλου λογισμικού που διαγράφουν δεδομένα να έχουν αναπτυχθεί στα δίκτυα του πρακτορείου ειδήσεων Ukrinform. Οι επιθέσεις κακόβουλου λογισμικού στόχευαν συστήματα Windows, Linux και FreeBSD και τα μόλυναν με πολλαπλά φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένων των CaddyWiper, ZeroWipe, SDelete, AwfulShred και BidSwipe.

Σύμφωνα με το CERT-UA, οι επιθέσεις ήταν μόνο εν μέρει επιτυχείς. Ένα από τα πακέτα κακόβουλου λογισμικού της ομάδας Sandworm, το CaddyWiper, ανακαλύφθηκε επίσης σε μια αποτυχημένη επίθεση που είχε στόχο έναν από τους μεγαλύτερους παρόχους ενέργειας της Ουκρανίας τον Απρίλιο του 2022. Ερευνητές της ESET βοήθησαν κατά τη διάρκεια αυτής της επίθεσης συνεργαζόμενοι με το CERT-UA για την αποκατάσταση και την προστασία του δικτύου.

Το Bitwarden και άλλοι διαχειριστές κωδικών πρόσβασης στοχεύονται σε καμπάνιες ηλεκτρονικού "ψαρέματος" διαφημίσεων Google για να κλέψουν τα διαπιστευτήρια αποθήκευσης κωδικών πρόσβασης των χρηστών. 

Την αυτή τη βδομάδα, οι χρήστες του Bitwarden άρχισαν να βλέπουν μια διαφήμιση Google με τίτλο "Bitward - Password Manager" στα αποτελέσματα αναζήτησης για "bitwarden password manager". Ο αρθρογράφος του BleepingComputer δεν μπόρεσε να αναπαραγάγει αυτήν τη διαφήμιση, οι χρήστες του Bitwarden την είδαν στο Reddit [1, 2] και στο φόρουμ του Bitwarden.

Ο τομέας που χρησιμοποιήθηκε στη διαφήμιση ήταν ο "appbitwarden.com" και, ανακατεύθυνε τους χρήστες στον ιστότοπο "bitwardenlogin.com".

Η σελίδα στο 'bitwardenlogin.com' ήταν ένα ακριβές αντίγραφο της νόμιμης σελίδας σύνδεσης του Bitwarden Web Vault, όπως φαίνεται παρακάτω.

Σε δοκιμές που έκανε το bleepingcomputer.com, η σελίδα ηλεκτρονικού ψαρέματος δέχεται διαπιστευτήρια και, αφού αυτά υποβληθούν, θα ανακατευθύνει τους χρήστες στη νόμιμη σελίδα σύνδεσης του Bitwarden. Ωστόσο, οι αρχικές δοκιμές τους χρησιμοποίησαν πλαστά διαπιστευτήρια και η σελίδα σταμάτησε να λειτουργεί τη στιγμή που ξεκίνησαν τη δοκιμή με πραγματικά διαπιστευτήρια σύνδεσης δοκιμαστικού λογαριασμού Bitwarden. Επομένως, δεν είναι δυνατό να διαπιστώσουν εάν η σελίδα ηλεκτρονικού ψαρέματος θα επιχειρούσε επίσης να υποκλέψει cookie περιόδου σύνδεσης που υποστηρίζονται από MFA (authentication tokens) όπως κάνουν πολλές προηγμένες σελίδες ηλεκτρονικού ψαρέματος.

Είναι σημαντικό να προστατεύετε σωστά τα θησαυροφυλάκια (Vaults) κωδικών πρόσβασης σας. Η πρώτη γραμμή άμυνας είναι πάντα να επιβεβαιώσετε ότι εισάγετε τα διαπιστευτήριά σας στον σωστό ιστότοπο. Εκτός από αυτό, σημαντικό είναι να χρησιμοποιείτε μεθόδους πολλαπλών παραγόντων MFA (multi-factor authentication). Οι καλύτερες μέθοδοι επαλήθευσης MFA που μπορείτε να χρησιμοποιήσετε κατά την ασφάλεια του λογαριασμού σας, από το καλύτερο στο χειρότερο, είναι τα κλειδιά ασφαλείας υλικού (τα καλύτερα αλλά πιο δυσκίνητα), μια εφαρμογή ελέγχου ταυτότητας (καλή και πιο εύκολη στη χρήση) και η επαλήθευση SMS (μπορεί να παραβιαστεί σε επιθέσεις sim swapping).

Εκατοντάδες μητρικές της MSI είναι ευάλωτες σε κακόβουλο λογισμικό. Όπως αναφέρει το BleepingComputer, η ευπάθεια ανακαλύφθηκε από τον Πολωνό ερευνητή ασφαλείας Dawid Potocki όταν αποφάσισε να εγκαταστήσει το Secure Boot στον νέο του επιτραπέζιο υπολογιστή. 

Αυτό που βρήκε ο Potocki ήταν ότι η MSI είχε αλλάξει τις προεπιλεγμένες ρυθμίσεις Secure Boot στο firmware της, έτσι ώστε μια επιλογή που ονομάζεται "Image Execution Policy" να είναι ορισμένη σε "Always Execute". Σημαίνει ότι ακόμα κι αν εντοπιστούν παραβιάσεις ασφαλείας και το λειτουργικό σύστημα δεν είναι αξιόπιστο, η μητρική θα του επιτρέψει να εκτελεστεί.

Οι τελικοί χρήστες δεν θα έχουν ιδέα ότι το σύστημά τους είναι ευάλωτο, εκτός εάν αποφασίσουν να ελέγξουν οι ίδιοι τις ρυθμίσεις Secure Boot. Ακόμα χειρότερο, είναι το γεγονός ότι ο Potocki ανακάλυψε ότι περισσότερες από 290 μητρικές MSI κινδυνεύουν, με την πλήρη λίστα να είναι διαθέσιμη για προβολή στο GitHub.

Εάν έχετε μητρική MSI η οποία επηρεάζεται από την εν λόγω ευπάθεια, η καλύτερη ενέργεια είναι να ενημερώσετε το firmware και στη συνέχεια ελέγξτε ότι η το Image Execution Policy έχει οριστεί σε "Deny Execute" για "Removable Media" και "Fixed Media".

Η Gen Digital, πρώην Symantec Corporation και NortonLifeLock, στέλνει ειδοποιήσεις παραβίασης δεδομένων στους πελάτες, ενημερώνοντάς τους ότι χάκερ έχουν παραβιάσει με επιτυχία λογαριασμούς Norton Password Manager σε πρόσφατες επιθέσεις.

Σύμφωνα με επιστολή που κοινοποιήθηκε στο Γραφείο του Γενικού Εισαγγελέα του Βερμόντ, οι επιθέσεις δεν προέκυψαν από παραβίαση της εταιρείας αλλά από παραβίαση λογαριασμού σε άλλες πλατφόρμες.

"Τα δικά μας συστήματα δεν παραβιάστηκαν. Ωστόσο, πιστεύουμε ακράδαντα ότι ένα μη εξουσιοδοτημένο τρίτο μέρος γνωρίζει και έχει χρησιμοποιήσει το όνομα χρήστη και τον κωδικό πρόσβασής σας για τον λογαριασμό σας", δήλωσε η NortonLifeLock.

"Αυτός ο συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης ενδέχεται να είναι επίσης γνωστός σε άλλους."

Πιο συγκεκριμένα, η ειδοποίηση εξηγεί ότι γύρω στην 1η Δεκεμβρίου 2022, ένας εισβολέας χρησιμοποίησε κωδικούς ονόματος χρήστη και κωδικού πρόσβασης που αγόρασε από το dark web για να προσπαθήσει να συνδεθεί σε λογαριασμούς πελατών Norton.

Η εταιρεία εντόπισε «έναν ασυνήθιστα μεγάλο όγκο» αποτυχημένων προσπαθειών σύνδεσης στις 12 Δεκεμβρίου 2022, υποδεικνύοντας επιθέσεις credential stuffing όπου οι επιτιθέμενοι δοκιμάζουν τα διαπιστευτήρια μαζικά.

Μέχρι τις 22 Δεκεμβρίου 2022, η εταιρεία είχε ολοκληρώσει την εσωτερική της έρευνα, η οποία αποκάλυψε ότι οι επιθέσεις credential stuffing είχαν θέσει σε κίνδυνο έναν άγνωστο αριθμό λογαριασμών πελατών.

Σύμφωνα με την NortonLifeLock, "Κατά την πρόσβαση στον λογαριασμό σας με το όνομα χρήστη και τον κωδικό πρόσβασής σας, το μη εξουσιοδοτημένο τρίτο μέρος μπορεί να έχει δει το όνομα, το επώνυμο, τον αριθμό τηλεφώνου και την ταχυδρομική σας διεύθυνση"

Για πελάτες που χρησιμοποιούν το Norton Password Manager, η προειδοποιούνται ότι οι εισβολείς ενδέχεται να είχαν λάβει στοιχεία αποθηκευμένα στα ιδιωτικά vaults τους.

Ανάλογα με το τι αποθηκεύουν οι χρήστες στους λογαριασμούς τους, αυτό θα μπορούσε να οδηγήσει σε παραβίαση άλλων διαδικτυακών λογαριασμών, κλοπή ψηφιακών στοιχείων, αποκάλυψη μυστικών και πολλά άλλα.

Το NortonLifeLock υπογραμμίζει ότι ο κίνδυνος είναι ιδιαίτερα μεγάλος για όσους χρησιμοποιούν παρόμοιους κωδικούς πρόσβασης λογαριασμού Norton και του Password Manager, επιτρέποντας στους εισβολείς να μεταβούν πιο εύκολα από τον ένα λογαριασμό στον άλλο.

Η εταιρεία λέει ότι έχει επαναφέρει τους κωδικούς πρόσβασης Norton σε λογαριασμούς που επηρεάζονται για να αποτρέψει τους εισβολείς από το να αποκτήσουν ξανά πρόσβαση σε αυτούς στο μέλλον και επίσης εφάρμοσε πρόσθετα μέτρα για την αντιμετώπιση των κακόβουλων προσπαθειών.

Το NortonLifeLock συμβουλεύει επίσης τους πελάτες να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων για να προστατεύσουν τους λογαριασμούς τους και να ανταποκριθούν στην προσφορά για μια υπηρεσία παρακολούθησης πιστώσεων.

Η εταιρεία δεν έχει ακόμη αποκαλύψει τον ακριβή αριθμό των ανθρώπων που επηρεάστηκαν από αυτό το περιστατικό. Το BleepingComputer έχει επικοινωνήσει με το NortonLifeLock και έλαβε τη παρακάτω δήλωση:

"Η οικογένεια εταιριών της Gen προσφέρει προϊόντα και υπηρεσίες σε περίπου 500 εκατομμύρια χρήστες. Έχουμε ασφαλίσει 925.000 ανενεργούς και ενεργούς λογαριασμούς που μπορεί να έχουν γίνει στόχος επιθέσεων credential stuffing.

Η κορυφαία προτεραιότητά μας είναι να βοηθήσουμε τους πελάτες μας να εξασφαλίσουν την ψηφιακή τους ζωή. Η ομάδα ασφαλείας μας εντόπισε μεγάλο αριθμό προσπαθειών σύνδεσης λογαριασμού Norton που υποδεικνύουν επιθέσεις credential stuffing που στοχεύουν τους πελάτες μας και λάβαμε γρήγορα μια ποικιλία ενεργειών για να βοηθήσουμε στην ασφάλεια των λογαριασμών των πελατών μας και των προσωπικών τους στοιχείων. Τα συστήματα δεν έχουν παραβιαστεί και είναι ασφαλή και λειτουργικά, αλλά όπως είναι πολύ συνηθισμένο στον σημερινό κόσμο οι επιτιθέμενοι να παίρνουν διαπιστευτήρια που βρίσκονται αλλού, όπως ο σκοτεινός ιστός, και να δημιουργούν αυτοματοποιημένες επιθέσεις για να αποκτήσουν πρόσβαση σε άλλους άσχετους λογαριασμούς.

Παρακολουθούμε στενά, επισημαίνουμε λογαριασμούς με ύποπτες προσπάθειες σύνδεσης και απαιτούμε προληπτικά από αυτούς τους πελάτες να επαναφέρουν τους κωδικούς πρόσβασής τους κατά τη σύνδεσή τους μαζί με πρόσθετα μέτρα ασφαλείας για την προστασία των πελατών μας. Συνεχίζουμε να εργαζόμαστε με τους πελάτες μας για να τους βοηθήσουμε να προστατεύσουν τους λογαριασμούς και τα προσωπικά τους στοιχεία."

Σοβαρό πρόβλημα στις παραδόσεις της Royal Mail στο εξωτερικό έχει προκληθεί από ransomware που συνδέεται με Ρώσους εγκληματίες, σύμφωνα με το BBC.Η κυβερνοεπίθεση έχει επηρεάσει τα συστήματα υπολογιστών που χρησιμοποιεί η Royal Mail για την αποστολή αλληλογραφίας στο εξωτερικό. Η τελευταία συμβουλή της εταιρίας στο κοινό είναι να μην προσπαθούν να στείλουν διεθνείς επιστολές και δέματα μέχρι να επιλυθεί το πρόβλημα.

Το ransomware που χρησιμοποιήθηκε στην επίθεση είναι το "Lockbit". Το BBC είδε ένα σημείωμα για τα λύτρα που στάλθηκε στη Royal Mail το οποίο γράφει: «Τα δεδομένα σας έχουν κλαπεί και κρυπτογραφηθεί». Το ποσό των λύτρων αναμένεται να ανέλθει σε εκατομμύρια, αν και πηγές κοντά στην έρευνα αναφέρουν ότι υπάρχουν «λύσεις» για να επαναλειτουργήσει το σύστημα. Σύμφωνα με την νόρμα, θα δοθεί κάποια προθεσμία και είναι πιθανό να απειλούν τη Royal Mail με την προοπτική της δημοσίευσης δυνητικών ευαίσθητων δεδομένων.

Οι επιθέσεις ransomware είναι μια επίμονη απειλή για οργανισμούς σε όλο τον κόσμο, με τις επιθέσεις να συμβαίνουν σχεδόν σε καθημερινή βάση. Αλλά αυτή η κατάσταση είναι εξαιρετικά σημαντική, καθώς η Royal Mail είναι αυτό που θεωρείται «κρίσιμης σημασίας εθνική υποδομή» - δηλαδή είναι κρίσιμο για την οικονομία του Ηνωμένου Βασιλείου. Η επίθεση δεν επηρεάζει μόνο μια εταιρεία και τους πελάτες της, αλλά τις επικοινωνίες και τις επιχειρήσεις των πολιτών στο εσωτερικό και στο εξωτερικό.

Το LockBit πιστεύεται ότι έχει ισχυρές ρωσικές ρίζες, αλλά αυτός που πραγματοποίησε την επίθεση θα μπορούσε να είναι οπουδήποτε.

Τον Νοέμβριο, ένας Ρωσο-Καναδός υπήκοος συνελήφθη επειδή φέρεται να διενεργούσε επιθέσεις με το LockBit από τον Καναδά.

Η εταιρεία εξακολουθεί να μην μπορεί να στείλει επιστολές και δέματα στο εξωτερικό και λέει ότι «εργάζεται σκληρά» για να διορθώσει το πρόβλημα. Υπάρχουν επίσης μικρές καθυστερήσεις για την αποστολή στο Ηνωμένο Βασίλειο, αλλά οι εγχώριες παραδόσεις δεν επηρεάζονται. Ανέφερε ότι ορισμένοι πελάτες που είχαν αποστείλει αντικείμενα στο εξωτερικό ακόμη και πριν από το "συμβάν" ενδέχεται να δουν καθυστερήσεις. Ένας εκπρόσωπος της Εθνικής Υπηρεσίας Εγκλήματος δήλωσε ότι «γνωρίζει για ένα περιστατικό που έπληξε τη Royal Mail» και εργαζόταν μαζί με το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο, το οποίο αποτελεί μέρος της υπηρεσίας κυβερνο-πληροφοριών του Ηνωμένου Βασιλείου GCHQ, για να κατανοήσει τον αντίκτυπό του.

Το σύστημα back office που έχει επηρεαστεί χρησιμοποιείται από τη Royal Mail για την προετοιμασία αλληλογραφίας για αποστολή στο εξωτερικό και για την παρακολούθηση και τον εντοπισμό αντικειμένων στο εξωτερικό. Χρησιμοποιείται σε έξι τοποθεσίες, συμπεριλαμβανομένου του τεράστιου κέντρου διανομής της Royal Mail στο Heathrow και στο Slough, καθώς και του χώρου του στο Bristol.

Σήμερα, η Intel ανακοίνωσε την κυκλοφορία των επεξεργαστών Intel Xeon 4ης γενιάς και των CPU και GPU της σειράς Intel Max, παράλληλα με την κυκλοφορία μιας λύσης ασφάλειας δεδομένων για εικονικές μηχανές (VM) και μιας ανεξάρτητης υπηρεσίας επαλήθευσης εμπιστοσύνης που θα βοηθήσει στη δημιουργία του "πιο ολοκληρωμένου εμπιστευτικού χαρτοφυλακίου της βιομηχανίας υπολογιστών."

Η λύση απομόνωσης VM της Intel, Intel Trust Domain Extension (TDX), έχει σχεδιαστεί για να προστατεύει τα δεδομένα που είναι αποθηκευμένα στα VM μέσα σε ένα αξιόπιστο περιβάλλον εκτέλεσης (TEE-Τrusted Εxecution Εnvironment) που είναι απομονωμένο από το υπόλοιπο υλικό. Αυτό σημαίνει ότι τα δεδομένα που υποβάλλονται σε επεξεργασία εντός του ΤΕΕ δεν είναι προσβάσιμα από τους παρόχους υπηρεσιών cloud.

Ο οργανισμός επιβεβαίωσε επίσης ότι το Project Amber, η υπηρεσία επαλήθευσης εμπιστοσύνης και πιστοποίησης λογισμικού σε πολλά συστήματα cloud, θα ξεκινήσει στα μέσα του 2023, για να βοηθήσει τις επιχειρήσεις να επαληθεύσουν την αξιοπιστία των TEE.

Μέσω της επέκτασης του εμπιστευτικού υπολογιστικού της οικοσυστήματος, η Intel στοχεύει να προσφέρει στους οργανισμούς ένα σύνολο λύσεων για την προστασία των δεδομένων κατά τη μεταφορά και την αποθήκευση, ώστε να μπορούν να δημιουργούν πληροφορίες σε εσωτερικό χώρο σε συστήματα cloud και edge, ενώ να επαληθεύουν την ακεραιότητα των στοιχείων και του λογισμικού που παρέχει αυτά τα σύνολα δεδομένων.

Η Meta δεν είναι η μόνη εταιρία τεχνολογίας που δημιουργεί εργαλεία που βοηθούν στην εξάλειψη του τρομοκρατικού περιεχομένου από τον Παγκόσμιο Ιστό. Οι Financial Times έμαθαν ότι το Jigsaw της Google αναπτύσσει ένα δωρεάν εργαλείο για να βοηθήσει τους μικρότερους ιστότοπους να εντοπίσουν και να αφαιρέσουν εξτρεμιστικό υλικό. Το έργο, που δημιουργήθηκε με τη βοήθεια της υποστηριζόμενης από τον ΟΗΕ Tech Against Terrorism, διευκολύνει τις ομάδες συντονιστών να αντιμετωπίσουν δυνητικά παράνομο περιεχόμενο. Η προσπάθεια έχει τη βοήθεια του Παγκόσμιου Φόρουμ Διαδικτύου για την Καταπολέμηση της Τρομοκρατίας (που ιδρύθηκε από την Google, τη Meta, τη Microsoft και το Twitter), το οποίο προσφέρει μια βάση δεδομένων πολλαπλών υπηρεσιών για τρομοκρατικές υποθέσεις. Δύο ιστότοποι που δεν κατονομάζονται θα δοκιμάσουν τον κώδικα αργότερα φέτος.

Όπως και με το βοηθητικό πρόγραμμα ανοιχτού κώδικα της Meta, το εργαλείο της Google προορίζεται να βοηθήσει ιστότοπους που δεν έχουν την οικονομική δυνατότητα να αναπτύξουν αλγόριθμους ανίχνευσης τεχνητής νοημοσύνης ή να προσλάβουν αρκετό προσωπικό εποπτείας περιεχομένου. Αυτό μπορεί να είναι κρίσιμο όταν ο Νόμος για τις Ψηφιακές Υπηρεσίες της Ευρωπαϊκής Ένωσης και το επικείμενο νομοσχέδιο του Ηνωμένου Βασιλείου για την Ασφάλεια στο Διαδίκτυο θα απαιτήσουν και οι δύο από τους χειριστές του ιστότοπου να κατεβάζουν εξτρεμιστικό περιεχόμενο για να αποφύγουν τις κυρώσεις.

Τόσο η Google όσο και η Tech Against Terrorism θεωρούν το έργο τους απαραίτητο για να καλύψουν ένα χάσμα στην αντιμετώπιση της διαδικτυακής τρομοκρατικής δραστηριότητας. Οι εξτρεμιστές και οι ευαγγελιστές παραπληροφόρησης που διώχθηκαν από τις μεγάλες πλατφόρμες, συχνά στρέφονται σε μικρότερους δικτυακούς τόπους που δεν μπορούν πάντα να αστυνομεύουν επαρκώς τους χρήστες. Στην ιδανική περίπτωση, αυτό θα μειώσει τις πιθανότητες να βρουν οι τρομοκράτες αλλού ασφαλή καταφύγια.

Βέβαια υπάρχουν περιορισμοί. Ορισμένες πλατφόρμες κοινωνικής δικτύωσης ήταν απρόθυμες να μετριάσουν περιεχόμενο ακόμα και όταν οι διαχειριστές των καταστημάτων εφαρμογών λένε ότι αυτό υποκινεί τη βία. Δηλαδή, το εργαλείο της Google δεν θα είναι πολύ χρήσιμο σε ιστότοπους που δεν θέλουν να το χρησιμοποιήσουν. Επίσης, δεν θα εμποδίσει τους τρομοκράτες να μοιράζονται υλικό μέσω καλά κρυπτογραφημένων υπηρεσιών ανταλλαγής μηνυμάτων ή του Dark Web, όπου οι πάροχοι δεν μπορούν εύκολα να παρακολουθούν την ανταλλαγή δεδομένων. Μπορεί, ωστόσο, να δυσκολέψει τη μετάβαση σε άλλες εναλλακτικές λύσεις.

Την περασμένη εβδομάδα, λίγο πριν τα Χριστούγεννα, το LastPass δημοσίευσε μια ανακοίνωση βόμβα· ως αποτέλεσμα μιας παραβίασης τον Αύγουστο, που οδήγησε σε άλλη παραβίαση τον Νοέμβριο, οι χάκερ είχαν βάλει στα χέρια τους τα θησαυροφυλάκια κωδικών πρόσβασης των χρηστών. Ενώ η εταιρεία επιμένει ότι τα στοιχεία σύνδεσής σας εξακολουθούν να είναι ασφαλή, ορισμένοι ειδικοί στον τομέα της κυβερνοασφάλειας επικρίνουν έντονα τη δημοσίευσή της, λέγοντας ότι θα μπορούσε να κάνει τους ανθρώπους να αισθάνονται πιο ασφαλείς από ό,τι είναι στην πραγματικότητα και επισημαίνοντας ότι αυτό είναι μόνο το πιο πρόσφατο σε μια σειρά περιστατικών που κάνουν είναι δύσκολο να εμπιστευτείς τον διαχειριστή κωδικών πρόσβασης.

Η δήλωση της 22ας Δεκεμβρίου του LastPass ήταν «γεμάτη παραλείψεις, μισές αλήθειες και ξεκάθαρα ψέματα», αναφέρει μια ανάρτηση ιστολογίου από τον Wladimir Palant, έναν ερευνητή ασφαλείας γνωστό ότι βοήθησε στην αρχική ανάπτυξη του AdBlock Pro, μεταξύ άλλων. Μερικές από τις επικρίσεις του αφορούν τον τρόπο με τον οποίο η εταιρεία έχει πλαισιώσει το περιστατικό και πόσο διαφανές είναι· κατηγορεί την εταιρεία ότι προσπάθησε να παρουσιάσει το περιστατικό του Αυγούστου όπου το LastPass λέει ότι «κλάπηκαν μέρος του πηγαίου κώδικα και τεχνικές πληροφορίες» ως ξεχωριστή παραβίαση, όταν στην πραγματικότητα λέει ότι η εταιρεία «απέτυχε να περιορίσει» την παραβίαση.

Υπογραμμίζει επίσης την παραδοχή του LastPass ότι τα δεδομένα που διέρρευσαν περιλάμβαναν "τις διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass", λέγοντας ότι θα μπορούσε να επιτρέψει στους δυνητικά επιτιθέμενους "να δημιουργήσουν ένα πλήρες προφίλ κίνησης" πελατών εάν το LastPass καταγράφει κάθε διεύθυνση IP που χρησιμοποιούσατε με την υπηρεσία του.

Ένας άλλος ερευνητής ασφάλειας, ο Jeremi Gosney, έγραψε μια μεγάλη ανάρτηση στο Mastodon εξηγώντας τη σύστασή του να μετακινηθεί σε άλλο διαχειριστή κωδικών πρόσβασης. «Ο ισχυρισμός του LastPass περί «μηδενικής γνώσης» είναι ένα μεγάλο ψέμα», λέει, υποστηρίζοντας ότι η εταιρεία έχει «όσες γνώσεις μπορεί να έχει ένας διαχειριστής κωδικών πρόσβασης».

Το LastPass ισχυρίζεται ότι η αρχιτεκτονική «μηδενικής γνώσης» κρατά τους χρήστες ασφαλείς, επειδή η εταιρεία δεν έχει ποτέ πρόσβαση στον κύριο κωδικό πρόσβασής σας, κάτι που θα χρειαζόταν οι χάκερ για να ξεκλειδώσουν τα κλεμμένα θησαυροφυλάκια. Αν και ο Gosney δεν αμφισβητεί αυτό το συγκεκριμένο σημείο, λέει ότι η φράση είναι παραπλανητική. "Νομίζω ότι οι περισσότεροι άνθρωποι οραματίζονται το θησαυροφυλάκιό τους ως ένα είδος κρυπτογραφημένης βάσης δεδομένων όπου προστατεύεται ολόκληρο το αρχείο, αλλά όχι — με το LastPass, το θησαυροφυλάκιό σας είναι ένα αρχείο απλού κειμένου και μόνο μερικά επιλεγμένα πεδία είναι κρυπτογραφημένα."

Ο Palant σημειώνει επίσης ότι η κρυπτογράφηση αξίζει μόνο εάν οι χάκερ δεν μπορούν να σπάσουν τον κύριο κωδικό πρόσβασής σας, που αποτελεί την κύρια άμυνα του LastPass στην ανάρτησή του: εάν χρησιμοποιείτε τις οδηγίες τις υπηρεσίας για το μήκος και την ενίσχυση του κωδικού πρόσβασης και δεν τον έχετε ξαναχρησιμοποιήσει αλλού, "Θα χρειαστούν εκατομμύρια χρόνια για να βρεθεί ο κύριος κωδικός πρόσβασης χρησιμοποιώντας τη διαθέσιμη τεχνολογία εύρεσης κωδικών πρόσβασης", έγραψε ο Karim Toubba, Διευθύνων Σύμβουλος της εταιρείας.

«Αυτό προετοιμάζει το έδαφος για να κατηγορηθούν οι πελάτες», γράφει ο Palant, λέγοντας ότι «η LastPass θα πρέπει να γνωρίζει ότι οι κωδικοί πρόσβασης θα αποκρυπτογραφηθούν για τουλάχιστον ορισμένους από τους πελάτες της. Και έχουν ήδη μια βολική εξήγηση: αυτοί οι πελάτες σαφώς δεν ακολούθησαν τις βέλτιστες πρακτικές τους». Ωστόσο, επισημαίνει επίσης ότι το LastPass δεν έχει επιβάλει απαραίτητα αυτά τα πρότυπα. Παρά το γεγονός ότι έκανε τους κωδικούς πρόσβασης 12 χαρακτήρων ως προεπιλογή το 2018, ο Palant λέει: «Μπορώ να συνδεθώ με τον κωδικό πρόσβασής μου οκτώ χαρακτήρων χωρίς προειδοποιήσεις ή προτροπές να τον αλλάξω».

Το φθινόπωρο του 2020, δημοσιεύθηκαν μια σειρά φωτογραφιών σε διαδικτυακά φόρουμ. Οι φωτογραφίες ήταν συνηθισμένες, αν και μερικές φορές ήταν φωτογραφίες μέσα από σπίτια που τραβήχτηκαν από χαμηλές γωνίες - συμπεριλαμβανομένης μιας ιδιαίτερα αποκαλυπτικής φωτογραφίας μιας νεαρής γυναίκας που κάθεται στην τουαλέτα, με το σορτς της κατεβασμένο μέχρι τη μέση του μηρού.

Οι εικόνες δεν τραβήχτηκαν από άτομο, αλλά από το λογισμικό του ρομπότ της σειράς Roomba J7 της iRobot, της εταιρείας που η Amazon απέκτησε πρόσφατα για 1,7 δισεκατομμύρια δολάρια σε μια συμφωνία που ακόμα δεν έχει επικυρωθεί. Στη συνέχεια στάλθηκαν στην Scale AI, μια startup που αναθέτει συμβάσεις σε εργαζομένους σε όλο τον κόσμο για την επισήμανση δεδομένων που χρησιμοποιούνται για την εκπαίδευση της τεχνητής νοημοσύνης.

Νωρίτερα φέτος, το MIT Technology Review απέκτησε 13 στιγμιότυπα οθόνης αυτών των ιδιωτικών φωτογραφιών, οι οποίες είχαν αναρτηθεί σε κλειστές ομάδες μέσων κοινωνικής δικτύωσης. Οι εικόνες δείχνουν τη διαδεδομένη και αυξανόμενη πρακτική της κοινής χρήσης δυνητικά ευαίσθητων δεδομένων για την εκπαίδευση αλγορίθμων. Αποκαλύπτουν επίσης μια ολόκληρη αλυσίδα εφοδιασμού δεδομένων - και νέα σημεία όπου θα μπορούσαν να διαρρεύσουν προσωπικές πληροφορίες - που λίγοι καταναλωτές γνωρίζουν καν.

Το LastPass λέει ότι άγνωστοι εισβολείς παραβίασαν τον χώρο αποθήκευσης cloud χρησιμοποιώντας πληροφορίες που είχαν κλαπεί κατά τη διάρκεια ενός προηγούμενου περιστατικού ασφαλείας από τον Αύγουστο του 2022. Η εταιρεία πρόσθεσε ότι, μόλις εισήλθαν, οι παράγοντες της απειλής κατάφεραν επίσης να αποκτήσουν πρόσβαση σε δεδομένα πελατών που ήταν αποθηκευμένα στην παραβιασμένη υπηρεσία αποθήκευσης.

«Πρόσφατα εντοπίσαμε ασυνήθιστη δραστηριότητα σε μια υπηρεσία αποθήκευσης cloud τρίτων, την οποία μοιράζονται επί του παρόντος τόσο το LastPass όσο και η θυγατρική του, η GoTo», δήλωσε η εταιρεία. «Διαπιστώσαμε ότι ένα μη εξουσιοδοτημένο μέρος,  χρησιμοποιώντας πληροφορίες που ελήφθησαν στο περιστατικό του Αυγούστου του 2022, μπόρεσε να αποκτήσει πρόσβαση σε ορισμένα στοιχεία των πληροφοριών των πελατών μας».

Η Lastpass είπε ότι προσέλαβε την εταιρεία ασφαλείας Mandiant για να ερευνήσει το περιστατικό και ειδοποίησε τις αρχές επιβολής του νόμου για την επίθεση. Σημείωσε επίσης ότι οι κωδικοί πρόσβασης των πελατών δεν έχουν παραβιαστεί και «παραμένουν κρυπτογραφημένοι με ασφάλεια λόγω της αρχιτεκτονικής Zero Knowledge του LastPass».

«Εργαζόμαστε επιμελώς για να κατανοήσουμε το εύρος του περιστατικού και να εντοπίσουμε ποιες συγκεκριμένες πληροφορίες έχουν πρόσβαση», πρόσθεσε η εταιρία.

Αυτό είναι το δεύτερο περιστατικό ασφαλείας που αποκαλύπτεται από το Lastpass φέτος, αφού επιβεβαίωσε τον Αύγουστο ότι υπήρξε παραβίαση μέσω ενός παραβιασμένου λογαριασμού ενός developer της εταιρίας. Η ενημέρωση αυτή δεν έγινε άμεσα γνωστή στο ευρύ κοινό.  Σε email που στάλθηκαν σε πελάτες εκείνη την εποχή, η Lastpass επιβεβαίωσε ότι οι εισβολείς είχαν κλέψει τον πηγαίο κώδικα και τις ιδιόκτητες τεχνικές πληροφορίες από τα συστήματά της. Σε μια μεταγενέστερη ενημέρωση, η εταιρεία αποκάλυψε ότι οι εισβολείς πίσω από την παραβίαση του Αυγούστου διατήρησαν εσωτερική πρόσβαση στα συστήματά τους για τέσσερις ημέρες έως ότου εκδιώχθηκαν.

Το LastPass βρίσκεται πίσω από ένα από τα πιο δημοφιλή λογισμικά διαχείρισης κωδικών πρόσβασης, υποστηρίζοντας ότι χρησιμοποιείται από περισσότερα από 33 εκατομμύρια άτομα και 100.000 επιχειρήσεις

Η Microsoft προειδοποιεί ότι κακόβουλοι χρήστες εκμεταλλεύονται παροπλισμένους server που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και χρησιμοποιείται σε κοινές συσκευές Internet of Things (IoT) για να στοχεύσουν οργανισμούς στον ενεργειακό τομέα.

Σε μια ανάλυση που δημοσιεύθηκε την Τρίτη, ερευνητές της Microsoft δήλωσαν ότι ανακάλυψαν ένα ευάλωτο στοιχείο ανοιχτού κώδικα στον διακομιστή ιστού Boa, το οποίο εξακολουθεί να χρησιμοποιείται ευρέως σε μια σειρά δρομολογητών και καμερών ασφαλείας, καθώς και σε δημοφιλή κιτ ανάπτυξης λογισμικού (SDK), παρά την απόσυρση του λογισμικού το 2005. Η Microsoft to αναγνώρισε κατά τη διερεύνηση μιας ύποπτης εισβολής στο ηλεκτρικό δίκτυο στην Ινδία που αναφέρθηκε για πρώτη φορά από το Recorded Future τον Απρίλιο, όπου οι Κινέζοι επιτιθέμενοι χρησιμοποίησαν συσκευές IoT για να αποκτήσουν πρόσβαση σε δίκτυα λειτουργικής τεχνολογίας (OT), που χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο βιομηχανικών συστημάτων.

Η Microsoft είπε ότι εντόπισε ένα εκατομμύριο server Boa που είναι εκτεθειμένα στο Διαδίκτυο παγκοσμίως σε διάστημα μιας εβδομάδας, προειδοποιώντας ότι το ευάλωτο στοιχείο ενέχει «κίνδυνο στην εφοδιαστική αλυσίδα που μπορεί να επηρεάσει εκατομμύρια οργανισμούς και συσκευές».

Η εταιρεία πρόσθεσε ότι συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν ελαττώματα της Boa, τα οποία περιλαμβάνουν ένα σφάλμα αποκάλυψης πληροφοριών υψηλής σοβαρότητας (CVE-2021-33558) και ένα άλλο αυθαίρετο ελάττωμα πρόσβασης σε αρχεία (CVE-2017-9833).

«Οι γνωστές ευπάθειες που επηρεάζουν τέτοια στοιχεία μπορούν να επιτρέψουν σε έναν εισβολέα να συλλέγει πληροφορίες σχετικά με στοιχεία δικτύου πριν από την έναρξη επιθέσεων και να αποκτήσει πρόσβαση σε ένα δίκτυο που δεν ανιχνεύεται με την απόκτηση έγκυρων διαπιστευτηρίων», είπε η Microsoft, προσθέτοντας ότι αυτό μπορεί να επιτρέψει στους εισβολείς να κάνουν πολύ μεγάλη ζημιά μόλις ξεκινήσει η επίθεση.

Η Microsoft είπε ότι η πιο πρόσφατη επίθεση που παρατήρησε ήταν στην Tata Power τον Οκτώβριο. Αυτή η παραβίαση είχε ως αποτέλεσμα η ομάδα ransomware Hive να δημοσιεύει δεδομένα που κλάπηκαν από τον ινδικό ενεργειακό γίγαντα, τα οποία περιελάμβαναν ευαίσθητες πληροφορίες εργαζομένων, μηχανολογικά σχέδια, οικονομικά και τραπεζικά αρχεία, αρχεία πελατών και ορισμένα ιδιωτικά κλειδιά κρυπτογράφησης.

«Η Microsoft συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν τα τρωτά σημεία της Boa πέρα από το χρονικό πλαίσιο της δημοσιευμένης αναφοράς, υποδεικνύοντας ότι εξακολουθεί να στοχεύεται ως φορέας επίθεσης», δήλωσε η Microsoft.

Η εταιρεία έχει προειδοποιήσει ότι ο αντιμετώπιση των ελαττωμάτων της Boa είναι δύσκολος τόσο λόγω της συνεχιζόμενης δημοτικότητας του πλέον ανενεργού διακομιστή web όσο και της περίπλοκης φύσης του τρόπου με τον οποίο είναι ενσωματωμένος στην αλυσίδα εφοδιασμού συσκευών IoT. Η Microsoft συνιστά στους οργανισμούς και τους χειριστές δικτύων να "patchάρουν" τις ευάλωτες συσκευές όπου είναι δυνατόν, να αναγνωρίζουν συσκευές με ευάλωτα στοιχεία και να διαμορφώνουν κανόνες ανίχνευσης για τον εντοπισμό κακόβουλης δραστηριότητας.

Η προειδοποίηση της Microsoft υπογραμμίζει και πάλι τον κίνδυνο της εφοδιαστικής αλυσίδας από ελαττώματα σε ευρέως χρησιμοποιούμενες συσκευές δικτύου. Το Log4Shell, μια ευπάθεια zero-day που εντοπίστηκε πέρυσι στο Log4j, τη βιβλιοθήκη καταγραφής Apache ανοιχτού κώδικα, εκτιμάται ότι έχει επηρεάσει δυνητικά πάνω από τρία δισεκατομμύρια συσκευές.

Το The Register αναφέρει ότι οι απόπειρες phishing με στόχο θύματα στη Μέση Ανατολή αυξήθηκαν κατά 100% τον περασμένο μήνα ενόψει του Παγκοσμίου Κυπέλλου στο Κατάρ, σύμφωνα με την Trellix. Την περίοδο Σεπτέμβριος- Οκτώβριος οι επιθέσεις αυτού του τύπου διπλασιάστηκαν. Οι κακοποιοί προέβαλαν τη FIFA και άλλα δέλεαρ που σχετίζονται με το ποδόσφαιρο ως φορέα και οι ερευνητές ασφαλείας περιέγραψαν λεπτομερώς διάφορα δείγματα email που βρήκαν ελεύθερα.

Σε ένα από αυτά, το μήνυμα ηλεκτρονικού ταχυδρομείου δήθεν προερχόταν από το γραφείο υποστήριξης του FIFA Transfer Matching System, δηλαδή της διαδικτυακής πλατφόρμας για τις Ενώσεις Μελών της FIFA για την καταγραφή των μεταγραφών παικτών μεταξύ συλλόγων. Μάλιστα περιλάμβανε μια ψεύτικη ειδοποίηση ότι δήθεν ο έλεγχος ταυτότητας δύο παραγόντων είχε απενεργοποιηθεί. Στη συνέχεια παρέπεμπε το χρήστη σε έναν ιστότοπο που στην πραγματικότητα είναι υπό τον έλεγχο του δράστη, ο οποίος επιτρέπει στους απατεώνες να κλέψουν στη συνέχεια τα διαπιστευτήρια των χρηστών.

Ο Τζέικ Μουρ, Σύμβουλος Παγκόσμιας Κυβερνοασφάλειας της ESET, αναφέρει σχετικά: «Συνήθως οι μεγάλες διοργανώσεις προσελκύουν απατεώνες που προσπαθούν σε μεγάλη κλίμακα να δελεάσουν τους ανθρώπους ώστε να παραδώσουν τα διαπιστευτήρια σύνδεσης. Τα μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται στην κατάλληλη στιγμή πετυχαίνουν να φαίνονται πιο αυθεντικά στα μάτια των αποδεκτών και έτσι έχουν περισσότερες πιθανότητες να λειτουργήσουν. Για αυτό είναι σημαντικό, να είμαστε πάντα σε επιφυλακή όταν μας ζητούν να παραδώσουμε διαπιστευτήρια ή κωδικούς ελέγχου ταυτότητας δύο παραγόντων και να τα διατηρούμε ιδιωτικά».