Ερευνητές ασφαλείας ανακάλυψαν μια νέα κακόβουλη επέκταση προγράμματος περιήγησης με την ονομασία Rilide, η οποία στοχεύει σε προϊόντα που βασίζονται στο Chromium, όπως το Google Chrome, το Brave, το Opera και το Microsoft Edge. Το κακόβουλο λογισμικό έχει σχεδιαστεί για την παρακολούθηση της δραστηριότητας του προγράμματος περιήγησης, τη λήψη στιγμιότυπων οθόνης και την κλοπή κρυπτονομισμάτων μέσω σεναρίων που εισάγονται σε ιστοσελίδες. Οι ερευνητές της Trustwave SpiderLabs διαπίστωσαν ότι το Rilide μιμείται τις νόμιμες επεκτάσεις του Google Drive για να κρύβεται σε κοινή θέα, ενώ κάνει κατάχρηση των ενσωματωμένων λειτουργιών του Chrome. Η εταιρεία κυβερνοασφάλειας εντόπισε δύο ξεχωριστές εκστρατείες που διακινούσαν το Rilide. Η μία χρησιμοποιούσε τις διαφημίσεις Google και το Aurora Stealer για να φορτώσει την επέκταση χρησιμοποιώντας έναν φορτωτή Rust. Η άλλη διακινούσε την κακόβουλη επέκταση χρησιμοποιώντας το Ekipa trojan απομακρυσμένης πρόσβασης (RAT).

Δύο εκστρατείες που προωθούν το Rilide (Trustwave)

Ενώ η προέλευση του κακόβουλου λογισμικού είναι άγνωστη, η Trustwave αναφέρει ότι έχει επικαλύψεις με παρόμοιες επεκτάσεις που πωλούνται σε εγκληματίες του κυβερνοχώρου. Ταυτόχρονα, τμήματα του κώδικά του διέρρευσαν πρόσφατα σε ένα υπόγειο φόρουμ λόγω μιας διαμάχης μεταξύ κυβερνοεγκληματιών για ανεκπλήρωτη πληρωμή.

Ο loader του Rilide τροποποιεί τα αρχεία συντόμευσης του προγράμματος περιήγησης ιστού για να αυτοματοποιήσει την εκτέλεση της κακόβουλης επέκτασης που πέφτει στο μολυσμένο σύστημα.

Κακόβουλη επέκταση στον Edge (Trustwave)

Κατά την εκτέλεση, το κακόβουλο λογισμικό εκτελεί ένα σενάριο για να προσαρτήσει έναν ακροατή που παρακολουθεί πότε το θύμα αλλάζει καρτέλες, λαμβάνει περιεχόμενο ιστού ή ολοκληρώνει τη φόρτωση ιστοσελίδων. Επίσης, ελέγχει εάν η τρέχουσα τοποθεσία ταιριάζει με μια λίστα στόχων που είναι διαθέσιμη από τον (C2) διακομιστή εντολών και ελέγχου. Εάν υπάρχει ταύτιση, η επέκταση φορτώνει πρόσθετα σενάρια που εισάγονται στην ιστοσελίδα για να κλέψουν από το θύμα πληροφορίες που σχετίζονται με κρυπτονομίσματα, διαπιστευτήρια λογαριασμού ηλεκτρονικού ταχυδρομείου κ.λπ. Η επέκταση απενεργοποιεί επίσης την "Πολιτική ασφάλειας περιεχομένου", ένα χαρακτηριστικό ασφαλείας που έχει σχεδιαστεί για την προστασία από επιθέσεις cross-site scripting (XSS), για να φορτώνει ελεύθερα εξωτερικούς πόρους που κανονικά θα μπλοκάρει το πρόγραμμα περιήγησης. Εκτός από τα παραπάνω, η επέκταση αποκρύπτει τακτικά το ιστορικό περιήγησης και μπορεί επίσης να καταγράφει στιγμιότυπα οθόνης και να τα στέλνει στο C2.

Γράφημα δυνατοτήτων του Rilide (Trustwave)

Ένα ενδιαφέρον χαρακτηριστικό του Rilide είναι το σύστημα παράκαμψης του 2FA, το οποίο χρησιμοποιεί πλαστά παράθυρα διαλόγου για να εξαπατήσει τα θύματα ώστε να εισάγουν τους προσωρινούς κωδικούς τους. Το σύστημα ενεργοποιείται όταν το θύμα ξεκινά αίτημα ανάληψης κρυπτονομισμάτων σε μια υπηρεσία ανταλλαγής που στοχεύει το Rilide. Το κακόβουλο λογισμικό παρεμβαίνει την κατάλληλη στιγμή για να εισάγει το σενάριο στο παρασκήνιο και να επεξεργαστεί αυτόματα το αίτημα. Μόλις ο χρήστης εισάγει τον κωδικό του στον ψεύτικο διάλογο, το Rilide τον χρησιμοποιεί για να ολοκληρώσει τη διαδικασία ανάληψης στη διεύθυνση πορτοφολιού του δράστη. "Οι επιβεβαιώσεις ηλεκτρονικού ταχυδρομείου αντικαθίστανται επίσης on the fly, εάν ο χρήστης εισέλθει στο γραμματοκιβώτιο χρησιμοποιώντας το ίδιο πρόγραμμα περιήγησης ιστού", εξηγεί η Trustwave στην έκθεση. "Το email με το αίτημα ανάληψης αντικαθίσταται με ένα αίτημα εξουσιοδότησης συσκευής που εξαπατά τον χρήστη ώστε να δώσει τον κωδικό εξουσιοδότησης".

Αντικατάσταση του νόμιμου email (δεξιά) ενώ εξάγεται ο κωδικός 2FA (Trustwave)

To Rilide αναδεικνύει την αυξανόμενη πολυπλοκότητα των κακόβουλων επεκτάσεων του προγράμματος περιήγησης που διαθέτουν πλέον συστήματα ζωντανής παρακολούθησης και αυτοματοποιημένης κλοπής χρημάτων. Ενώ η εξάπλωση του Manifest v3 σε όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium θα βελτιώσει την αντίσταση κατά των κακόβουλων επεκτάσεων, η Trustwave σχολιάζει ότι δεν θα εξαλείψει το πρόβλημα.

Ειδικοί σε θέματα ασφάλειας αυτοκινήτων δηλώνουν ότι έχουν αποκαλύψει μια μέθοδο κλοπής αυτοκινήτων που βασίζεται στην άμεση πρόσβαση στο σύστημα bus του οχήματος μέσω της καλωδίωσης ενός έξυπνου προβολέα. Όλα ξεκίνησαν όταν ένα Toyota RAV4 που ανήκε σε έναν από τους γκουρού της τεχνολογίας υπέστη ύποπτη ζημιά στο μπροστινό φτερό και στο περίβλημα των προβολέων και τελικά εκλάπη με επιτυχία. Κάποια έρευνα και αντίστροφη μηχανική αποκάλυψε πώς έγινε η κλοπή.

Ο Ken Tindell, CTO της Canis Automotive Labs, δήλωσε ότι τα στοιχεία έδειξαν ότι οι κλέφτες εκτέλεσαν επιτυχώς τη λεγόμενη έγχυση CAN (CAN Injection). Ένας δίαυλος Controller Area Network (CAN) υπάρχει σχεδόν σε όλα τα σύγχρονα αυτοκίνητα και χρησιμοποιείται από μικροελεγκτές και άλλες συσκευές για να συνομιλούν μεταξύ τους μέσα στο όχημα και να εκτελούν τις εργασίες που πρέπει να κάνουν. Σε μια επίθεση CAN injection, οι κλέφτες αποκτούν πρόσβαση στο δίκτυο και εισάγουν πλαστά μηνύματα σαν να προέρχονται από τον δέκτη έξυπνων κλειδιών του αυτοκινήτου. Αυτά τα μηνύματα προκαλούν ουσιαστικά το σύστημα ασφαλείας να ξεκλειδώσει το όχημα και να απενεργοποιήσει το σύστημα ακινητοποίησης κινητήρα, επιτρέποντας την κλοπή του. Για να αποκτήσουν αυτή την πρόσβαση στο δίκτυο, οι απατεώνες μπορούν, για παράδειγμα, να σπάσουν έναν προβολέα και να χρησιμοποιήσουν τη σύνδεσή του με τον δίαυλο για να στείλουν μηνύματα. Από εκείνο το σημείο, μπορούν απλά να χειριστούν άλλες συσκευές για να κλέψουν το όχημα. "Στα περισσότερα αυτοκίνητα που κυκλοφορούν σήμερα στους δρόμους, αυτά τα εσωτερικά μηνύματα δεν προστατεύονται: οι παραλήπτες απλώς τα εμπιστεύονται", ανέφερε λεπτομερώς ο Tindell σε ένα τεχνικό κείμενο αυτή την εβδομάδα.

Η ανακάλυψη έγινε μετά από έρευνα του Ian Tabor, ερευνητή κυβερνοασφάλειας και συμβούλου μηχανικών αυτοκινήτων που εργάζεται για την EDAG Engineering Group. Αφορμή στάθηκε η κλοπή του RAV4 του Tabor. Ερευνώντας το έγκλημα, ο Tabor παρατήρησε ότι ο μπροστινός προφυλακτήρας και η ζάντα της καμάρας είχαν αφαιρεθεί από κάποιον και ότι είχε αφαιρεθεί το βύσμα καλωδίωσης του προβολέα. Η γύρω περιοχή ήταν γδαρμένη με σημάδια από κατσαβίδι, τα οποία, σε συνδυασμό με το γεγονός ότι η ζημιά ήταν στην μεριά του πεζοδρομίου, φάνηκε να αποκλείουν τη ζημιά που προκλήθηκε από διερχόμενο όχημα. Αργότερα έγιναν κι άλλοι βανδαλισμοί στο αυτοκίνητο: χαρακιές στη βαφή, αφαιρεμένα κλιπς χύτευσης και χαλασμένοι προβολείς. Λίγες ημέρες αργότερα, το Toyota κλάπηκε. Αρνούμενος να δεχτεί την κλοπή, ο Tabor χρησιμοποίησε την εμπειρία του για να προσπαθήσει να καταλάβει πώς οι κλέφτες είχαν κάνει τη δουλειά. Η εφαρμογή MyT της Toyota - η οποία, μεταξύ άλλων, σας επιτρέπει να επιθεωρείτε τα αρχεία καταγραφής δεδομένων του οχήματός σας - βοήθησε. Παρείχε αποδείξεις ότι οι ηλεκτρονικές μονάδες ελέγχου (ECU) στο RAV4 είχαν εντοπίσει δυσλειτουργίες, οι οποίες καταγράφηκαν ως διαγνωστικοί κώδικες προβλημάτων (DTC), πριν από την κλοπή. Διάφορα συστήματα φαίνεται να είχαν αποτύχει ή υποστεί βλάβες, συμπεριλαμβανομένων των μπροστινών καμερών και του συστήματος ελέγχου του υβριδικού κινητήρα. Με κάποια περαιτέρω ανάλυση κατέστη σαφές ότι τα ECU πιθανώς δεν είχαν χαλάσει, αλλά η επικοινωνία μεταξύ τους είχε χαθεί ή διακοπεί. Ο κοινός παράγοντας ήταν ο δίαυλος CAN.

Στην πραγματικότητα, οι βλάβες δημιουργήθηκαν καθώς οι κλέφτες έσπασαν έναν μπροστινό προβολέα και έβγαλαν την καλωδίωση και χρησιμοποίησαν αυτές τις εκτεθειμένες συνδέσεις για να αποκτήσουν ηλεκτρική πρόσβαση στον δίαυλο CAN και να στείλουν μηνύματα που έλεγαν σε άλλα μέρη του συστήματος να δώσουν ουσιαστικά στους κλέφτες το αυτοκίνητο. Η αποσύνδεση του προβολέα προκάλεσε το κύμα των προαναφερθέντων αποτυχιών επικοινωνίας του δικτύου. Αλλά πώς στάλθηκαν στην πραγματικότητα τα κρίσιμα μηνύματα ξεκλειδώματος; Ο Tabor μπήκε στο σκοτεινό διαδίκτυο για να αναζητήσει εξοπλισμό που μπορεί να εμπλέκεται στην κλοπή του αυτοκινήτου του και βρήκε μια σειρά από συσκευές που στοχεύουν στο δίαυλο CAN. Συνεργάστηκε με τον Noel Lowdon από την εταιρεία εγκληματολογικών ερευνών οχημάτων Harper Shaw για να εξετάσει την αντίστροφη μηχανική ενός contender - ένα gadget ικανό να μιλάει σε ένα συνδεδεμένο CAN bus και πονηρά κρυμμένο μέσα σε ένα κανονικό έξυπνο ηχείο Bluetooth. Το ψεύτικο ηχείο συνοδεύεται από καλώδια που εισάγετε σε έναν εκτεθειμένο σύνδεσμο του διαύλου, πατάτε ένα κουμπί στο κουτί και αυτό στέλνει τα απαιτούμενα μηνύματα για να ξεκλειδώσει το αυτοκίνητο. Δεδομένου ότι ο Tindell είχε συμβάλει στην ανάπτυξη της πρώτης πλατφόρμας αυτοκινήτων της Volvo που βασίζεται στο CAN, κλήθηκε να βοηθήσει στην κατανόηση της συμμετοχής του gadget στην κλοπή του αυτοκινήτου. Περισσότερες τεχνικές λεπτομέρειες παρέχονται στο προαναφερθέν τεχνικό κείμενο.

Καθώς η αυτοκινητοβιομηχανία αναπτύσσει ολοένα και πιο εξελιγμένα τεχνολογικά συστήματα για τα οχήματά της, οι κλέφτες βρίσκουν όλο και πιο εφευρετικούς τρόπους για να καταχραστούν αυτά τα συστήματα για τους δικούς τους σκοπούς. Πέρυσι, επιδείχθηκε ένα exploit για την είσοδο χωρίς κλειδί σε Honda Civic που κατασκευάστηκαν μεταξύ 2016 και 2020. Η αδύναμη κρυπτογράφηση που χρησιμοποιείται στο σύστημα εισόδου χωρίς κλειδί στο Model S της Tesla ενοχοποιήθηκε για την ευκολία με την οποία οι ερευνητές μπορούσαν να αποκτήσουν πρόσβαση. Πίσω στο 2016, ερευνητές ασφαλείας έδειξαν πώς οι απατεώνες μπορούσαν να εισβάλουν σε αυτοκίνητα κατά βούληση χρησιμοποιώντας ασύρματα σήματα που θα μπορούσαν να ξεκλειδώσουν εκατομμύρια ευάλωτα VW. 

Η Western Digital ανακοίνωσε σήμερα ότι το δίκτυό της έχει παραβιαστεί και ένα μη εξουσιοδοτημένο μέρος απέκτησε πρόσβαση σε πολλά συστήματα της εταιρείας.

Η εταιρεία κατασκευής δίσκων υπολογιστών και παροχής υπηρεσιών αποθήκευσης δεδομένων με έδρα την Καλιφόρνια αναφέρει σε δελτίο τύπου ότι το περιστατικό ασφαλείας του δικτύου εντοπίστηκε την περασμένη Κυριακή, στις 26 Μαρτίου.

Η έρευνα βρίσκεται σε πρώιμο στάδιο και η εταιρεία συντονίζει τις προσπάθειές της με τις αρχές επιβολής του νόμου.

"Με την ανακάλυψη του συμβάντος, η εταιρεία εφάρμοσε προσπάθειες αντιμετώπισης του συμβάντος και ξεκίνησε έρευνα με τη βοήθεια κορυφαίων εξωτερικών εμπειρογνωμόνων ασφάλειας και εγκληματολογίας", αναφέρει η Western Digital στην ανακοίνωση.

Με βάση τα στοιχεία που έχουν βρεθεί μέχρι στιγμής, η εταιρεία πιστεύει ότι ο εισβολέας είχε πρόσβαση σε ορισμένα από τα δεδομένα της εταιρείας. "Με βάση τη μέχρι σήμερα έρευνα, η εταιρεία πιστεύει ότι ο μη εξουσιοδοτημένος έλαβε ορισμένα δεδομένα από τα συστήματά της και εργάζεται για να κατανοήσει τη φύση και το εύρος αυτών των δεδομένων.", δήλωσαν από την Western Digital

Στον απόηχο της επίθεσης, η κατασκευάστρια εταιρεία αποθήκευσης εφάρμοσε πρόσθετα μέτρα ασφαλείας για τη διασφάλιση των συστημάτων και των λειτουργιών της. Τα μέτρα αυτά ενδέχεται να επηρεάσουν ορισμένες από τις υπηρεσίες της Western Digital.

Η εταιρεία δήλωσε ότι το περιστατικό "έχει προκαλέσει και μπορεί να συνεχίσει να προκαλεί διαταραχές σε τμήματα των επιχειρηματικών δραστηριοτήτων της εταιρείας".

Από την Κυριακή, πολλοί χρήστες της υπηρεσίας My Cloud της Western Digital ανέφεραν ότι δεν μπορούσαν να έχουν πρόσβαση στα αποθετήρια πολυμέσων που φιλοξενούνται στο cloud. Τη στιγμή που γράφεται το άρθρο, η προσπάθεια σύνδεσης στην υπηρεσία, συμπεριλαμβανομένης της έκδοσης Home, εμφανίζει το σφάλμα "503 Service Temporarily Unavailable".

Έχουν περάσει περισσότερες από 24 ώρες από τις πρώτες αναφορές για τη διακοπή λειτουργίας, με το cloud, το proxy, το web, τον έλεγχο ταυτότητας, τα email και τις ειδοποιήσεις push να μην είναι διαθέσιμα.

Η σελίδα κατάστασης της υπηρεσίας My Cloud σημειώνει ότι το πρόβλημα επηρεάζει τα ακόλουθα προϊόντα: My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποίησαν για απειλητικούς παράγοντες που κάνουν κατάχρηση ενός κενού ασφαλείας σε μια υπηρεσία εταιρίας VoIP που χρησιμοποιείται από ορισμένες από τις μεγαλύτερες εταιρίες παγκοσμίως.

Πολλές εταιρείες κυβερνοασφάλειας έχουν κρούσει τον κώδωνα του κινδύνου για την 3CX, συμπεριλαμβανομένης της Sophos, και της CrowdStrike, λέγοντας ότι οι απειλητικοί φορείς στοχεύουν ενεργά τους χρήστες των παραβιασμένων εφαρμογών της 3CX τόσο στα Windows όσο και στο macOS.

Η πλατφόρμα VoIP από την 3CX έχει περισσότερους από 600.000 πελάτες και περισσότερους από 12 εκατομμύρια καθημερινούς χρήστες, σύμφωνα με έκθεση του BleepingComputer, με πελάτες όπως η American Express, η Coca-Cola, η McDonald's, η BMW και πολλοί άλλοι. 

Οι ευάλωτες εκδόσεις της εφαρμογής 3CXDesktop App περιλαμβάνουν τις 18.12.407 και 18.12.416 για Windows και 18.11.1213 για macOS. Ένας από τους trojanized clients υπογράφηκε ψηφιακά στις αρχές Μαρτίου, με ένα νόμιμο πιστοποιητικό της 3CX που εκδόθηκε από την DigiCert, όπως διαπίστωσε η δημοσίευση.

"Η κακόβουλη δραστηριότητα περιλαμβάνει beaconing σε υποδομές που ελέγχονται από τους δράστες, ανάπτυξη ωφέλιμων φορτίων δεύτερου σταδίου και, σε μικρό αριθμό περιπτώσεων, δραστηριότητα πληκτρολογίου", αναφέρει η CrowdStrike. "Η πιο συνηθισμένη δραστηριότητα μετά την εκμετάλλευση που έχει παρατηρηθεί μέχρι σήμερα είναι η δημιουργία ενός διαδραστικού κελύφους εντολών (command shell)", αναφέρει η έκθεση της Sophos.

Μια άλλη εταιρεία κυβερνοασφάλειας, η SentinelOne, πρόσθεσε ότι το κακόβουλο λογισμικό είναι ικανό να κλέψει πληροφορίες συστήματος, καθώς και δεδομένα που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome, Edge, Brave και Firefox. Αυτά συχνά περιλαμβάνουν στοιχεία σύνδεσης και πληροφορίες πληρωμής.

Ενώ οι ερευνητές δεν μπορούν να καταλήξουν σε συναίνεση σχετικά με την ταυτότητα των επιτιθέμενων, η CrowdStrike υποψιάζεται την Labyrinth Collima, μια ομάδα χάκερ που χρηματοδοτείται από το κράτος της Βόρειας Κορέας.

"Η Labyrinth Collima είναι ένα υποσύνολο αυτού που έχει περιγραφεί ως Lazarus Group (@DEADLAZARUS), το οποίο περιλαμβάνει άλλους αντιπάλους που συνδέονται με τη Λαϊκή Δημοκρατία της Βόρειας Κορέας, συμπεριλαμβανομένων των Silent Chollima και Stardust Chollima ".

Η εταιρεία αναγνώρισε την επίθεση μέσω μιας δημοσίευσης στο ιστολόγιό της και επιβεβαίωσε ότι εργάζεται πάνω σε μια διόρθωση:

"Με λύπη μας ενημερώνουμε τους συνεργάτες και τους πελάτες μας ότι η εφαρμογή Electron Windows App που παραδόθηκε με την ενημέρωση 7, με αριθμούς έκδοσης 18.12.407 & 18.12.416, περιλαμβάνει ένα πρόβλημα ασφαλείας. Οι πωλητές Anti Virus έχουν επισημάνει το εκτελέσιμο αρχείο 3CXDesktopApp.exe και σε πολλές περιπτώσεις το απεγκαθιστούν", αναφέρεται στην ανακοίνωση. "Το πρόβλημα φαίνεται να αφορά μία από τις βιβλιοθήκες που συνοδεύουν το πακέτο και τις οποίες μεταγλωττίσαμε στην εφαρμογή Windows Electron App μέσω του GIT. Εξακολουθούμε να ερευνούμε το θέμα για να είμαστε σε θέση να δώσουμε μια πιο εμπεριστατωμένη απάντηση αργότερα σήμερα. Εν τω μεταξύ, ζητάμε συγγνώμη για ό,τι συνέβη και θα κάνουμε ό,τι περνάει από το χέρι μας για να επανορθώσουμε αυτό το σφάλμα".

Κατά την πρώτη ημέρα του Pwn2Own Vancouver 2023, ερευνητές ασφαλείας παρουσίασαν με επιτυχία τα exploits και τις αλυσίδες exploits μηδενικής ημέρας (0-day) για τα Tesla Model 3, Windows 11 και macOS για να κερδίσουν 375.000 δολάρια και ένα Tesla Model 3.

Ο πρώτος που έπεσε ήταν το Adobe Reader στην κατηγορία των επιχειρηματικών εφαρμογών, αφού ο Abdul Aziz Hariri (@abdhariri) της Haboob SA χρησιμοποίησε μια αλυσίδα exploit που στόχευε σε μια λογική αλυσίδα 6 σφαλμάτων που έκανε κατάχρηση πολλαπλών αποτυχημένων επιδιορθώσεων, η οποία ξέφυγε από το sandbox και παρέκαμψε μια απαγορευμένη λίστα API στο macOS για να κερδίσει 50.000 δολάρια.

Η ομάδα STAR Labs (@starlabs_sg) παρουσίασε μια αλυσίδα εκμετάλλευσης μηδενικής ημέρας που στόχευε την πλατφόρμα ομαδικής συνεργασίας SharePoint της Microsoft και τους απέφερε αμοιβή 100.000 δολαρίων, ενώ παραβίασε επιτυχώς το Ubuntu Desktop με ένα ήδη γνωστό exploit για 15.000 δολάρια.

Η Synacktiv (@Synacktiv) πήρε 100.000 δολάρια και ένα Tesla Model 3 μετά την επιτυχή εκτέλεση μιας επίθεσης TOCTOU (time-of-check to time-of-use) εναντίον του Tesla - Gateway στην κατηγορία Automotive. Χρησιμοποίησαν επίσης μια ευπάθεια μηδενικής ημέρας TOCTOU για την κλιμάκωση προνομίων στο macOS της Apple και κέρδισαν 40.000 δολάρια.

Το Oracle VirtualBox παραβιάστηκε χρησιμοποιώντας μια OOB Read και μια αλυσίδα εκμετάλλευσης υπερχείλισης buffer overflow που βασίζεται σε στοίβες (αξίας 40.000 δολαρίων) από τον Bien Pham (@bienpnn) της Qrious Security.

Τέλος, ο Marcin Wiązowski αύξησε τα προνόμιά του στα Windows 11 χρησιμοποιώντας μια μη ορθή επικύρωση εισόδου zero-day που συνοδεύτηκε από έπαθλο 30.000 δολαρίων.

Καθ' όλη τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι ερευνητές ασφαλείας θα στοχεύουν σε προϊόντα των κατηγοριών εταιρικών εφαρμογών, εταιρικών επικοινωνιών, τοπικής κλιμάκωσης προνομίων (EoP), διακομιστών, εικονικοποίησης και αυτοκινήτων.

Τη δεύτερη ημέρα, οι διαγωνιζόμενοι του Pwn2Own θα παρουσιάσουν εκμεταλλεύσεις μηδενικής ημέρας που στοχεύουν στις Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root και Ubuntu Desktop.

Την τελευταία ημέρα του διαγωνισμού, οι ερευνητές ασφαλείας θα θέσουν ξανά ως στόχο το Ubuntu Desktop και θα επιχειρήσουν να παραβιάσουν τα Microsoft Teams, τα Windows 11 και το VMware Workstation.

Μεταξύ 22 και 24 Μαρτίου, οι διαγωνιζόμενοι μπορούν να κερδίσουν 1.080.000 δολάρια σε μετρητά και βραβεία, συμπεριλαμβανομένου ενός αυτοκινήτου Tesla Model 3. Το κορυφαίο βραβείο για το hacking ενός Tesla είναι τώρα 150.000 δολάρια, καθώς και το ίδιο το αυτοκίνητο.

Μετά την επίδειξη και την αποκάλυψη των ευπαθειών μηδενικής ημέρας κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν 90 ημέρες για να δημιουργήσουν και να κυκλοφορήσουν διορθώσεις ασφαλείας για όλες τις αναφερθείσες ατέλειες πριν η πρωτοβουλία Zero Day Initiative της Trend Micro τις δημοσιοποιήσει.

Κατά τη διάρκεια του περσινού διαγωνισμού Pwn2Own στο Βανκούβερ, οι ερευνητές ασφαλείας κέρδισαν 1.155.000 δολάρια αφού χάκαραν έξι φορές τα Windows 11, τέσσερις φορές το Ubuntu Desktop και επέδειξαν με επιτυχία τρία zero-day του Microsoft Teams.

Ανέφεραν επίσης πολλά zero-days στο Apple Safari, στο Oracle Virtualbox και στο Mozilla Firefox και χάκαραν το σύστημα Infotainment του Tesla Model 3.

Εδώ και χρόνια, μια συνηθισμένη απάτη περιλαμβάνει ένα τηλεφώνημα από κάποιον που παριστάνει κάποιον κρατικό υπάλληλο, π.χ. έναν αστυνομικό, και σας ζητά επειγόντως να πληρώσετε χρήματα για να βοηθήσετε κάποιον φίλο ή μέλος της οικογένειας να βγει από τη δύσκολη θέση.

Τώρα, προειδοποιούν οι ομοσπονδιακές ρυθμιστικές αρχές, μια τέτοια κλήση μπορεί να προέρχεται από κάποιον που ακούγεται ακριβώς όπως αυτός ο φίλος ή το μέλος της οικογένειας - αλλά στην πραγματικότητα είναι απατεώνας που χρησιμοποιεί κλωνοποιημένη τη φωνή τους.

Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) εξέδωσε αυτή την εβδομάδα μια προειδοποίηση για τους καταναλωτές, προτρέποντας τους να είναι σε επαγρύπνηση για κλήσεις που χρησιμοποιούν κλώνους φωνής που παράγονται από τεχνητή νοημοσύνη, μια από τις τελευταίες τεχνικές που χρησιμοποιούν οι εγκληματίες που ελπίζουν να εξαπατήσουν τους ανθρώπους για να τους αποσπάσουν χρήματα.

"Το μόνο που χρειάζεται [ο απατεώνας] είναι ένα σύντομο ηχητικό απόσπασμα της φωνής του μέλους της οικογένειάς σας - το οποίο θα μπορούσε να πάρει από περιεχόμενο που έχει αναρτηθεί στο διαδίκτυο - και ένα πρόγραμμα κλωνοποίησης φωνής", προειδοποίησε η Επιτροπή. "Όταν ο απατεώνας σας καλεί, θα ακούγεται ακριβώς όπως το αγαπημένο σας πρόσωπο".

Αν δεν είστε σίγουροι ότι πρόκειται για φίλο ή συγγενή, κλείστε το τηλέφωνο και καλέστε τους
Η FTC προτείνει ότι αν κάποιος που ακούγεται σαν φίλος ή συγγενής σας ζητά χρήματα -ιδιαίτερα αν θέλει να πληρωθεί μέσω εμβάσματος, κρυπτονομίσματος ή δωροκάρτας- θα πρέπει να κλείσετε το τηλέφωνο και να καλέσετε απευθείας το άτομο για να επαληθεύσετε την ιστορία του. Εκπρόσωπος της FTC δήλωσε ότι ο οργανισμός δεν μπορεί να παράσχει εκτίμηση του αριθμού των αναφορών που έχουν εξαπατηθεί από κλέφτες που χρησιμοποιούν τεχνολογία φωνητικής κλωνοποίησης.

Αλλά αυτό που ακούγεται σαν πλοκή από ιστορία επιστημονικής φαντασίας δεν είναι καθόλου επινοημένο. Το 2019, απατεώνες που παρίσταναν το αφεντικό ενός διευθύνοντος συμβούλου ενεργειακής εταιρείας με έδρα το Ηνωμένο Βασίλειο απαίτησαν 243.000 δολάρια. Ένας διευθυντής τράπεζας στο Χονγκ Κονγκ ξεγελάστηκε από κάποιον που χρησιμοποίησε τεχνολογία φωνητικής κλωνοποίησης για να κάνει μεγάλες μεταφορές στις αρχές του 2020. Τουλάχιστον οκτώ ηλικιωμένοι πολίτες στον Καναδά έχασαν συνολικά 200.000 δολάρια νωρίτερα φέτος σε μια προφανή απάτη φωνητικής κλωνοποίησης.

Τα "Deepfake" βίντεο που υποτίθεται ότι δείχνουν διασημότητες να κάνουν και να λένε πράγματα που δεν έκαναν, γίνονται όλο και πιο εξελιγμένα και οι ειδικοί λένε ότι η τεχνολογία κλωνοποίησης φωνής εξελίσσεται επίσης.

Ο Subbarao Kambhampati, καθηγητής πληροφορικής στο Κρατικό Πανεπιστήμιο της Αριζόνα, δήλωσε στο NPR ότι το κόστος της κλωνοποίησης φωνής μειώνεται επίσης, καθιστώντας την πιο προσιτή στους απατεώνες.

"Πριν, απαιτούσε μια εξελιγμένη επιχείρηση", δήλωσε ο Kambhampati. "Τώρα πλέον, οι μικροαπατεώνες μπορούν να το χρησιμοποιήσουν".

Όταν οι χάκερς αναζητούν ευπάθειες 0-day για να τα εκμεταλλευτούν και να αποκτήσουν πρόσβαση στο τελικό σημείο-στόχο, συνήθως αναζητούν είτε προϊόντα της Microsoft, της Google είτε της Apple, σύμφωνα με νέα έκθεση των ερευνητών κυβερνοασφάλειας Mandiant, η οποία υποστηρίζει ότι από τις σημαντικότερες ευπάθειες 0-day που αξιοποιήθηκαν πέρυσι, οι περισσότερες στόχευαν τις τρεις μεγάλες εταιρείες.

Οι ευπάθειες zero-day είναι ελαττώματα που δεν έχουν ακόμη ανακαλυφθεί από ερευνητές ασφαλείας, συνεπώς οι ομάδες πληροφορικής έχουν ουσιαστικά "μηδέν ημέρες" για να επιδιορθώσουν τα συστήματά τους. Ως εκ τούτου, είναι το πιο πολύτιμο απόκτημα κάθε χάκερ, καθώς η κατάχρησή τους δεν ενεργοποιεί κανέναν συναγερμό.

Από όλα τα πιθανά προϊόντα που θα μπορούσαν να έχουν στοχοποιηθεί, οι κακόβουλοι χρήστες ήταν αυστηρά εστιασμένοι στα λειτουργικά συστήματα, τα προγράμματα περιήγησης στο διαδίκτυο και τα προϊόντα διαχείρισης δικτύων. Στα Windows αξιοποιήθηκαν 15 ευπάθειες, στον Chrome, εννέα και στο iOS, πέντε. Το MacOS συμπληρώνει την πρώτη τετράδα με τέσσερις ευπάθειες 0-day που αξιοποιήθηκαν.

Αν αναλύσουμε τα ευρήματα γεωγραφικά, η Mandiant αναφέρει ότι η πλειονότητα των zero-day αξιοποιήθηκε από Κινέζους κρατικά υποστηριζόμενους φορείς απειλών (7), ακολουθούμενοι από τους Ρώσους (2 - μία επικαλυπτόμενη) και τους Βορειοκορεάτες (2). Για τρεις, δεν κατέστη δυνατό να προσδιοριστεί η προέλευση. Δεκατρείς εκμεταλλεύτηκαν από ομάδες κυβερνοκατασκοπείας. 

Συνήθως, αναζητούσαν ελαττώματα που θα τους επέτρεπαν να αποκτήσουν αυξημένα προνόμια ή να εκτελέσουν απομακρυσμένο κώδικα σε ευάλωτες συσκευές (53 από τα 55 ελαττώματα).

Μεταξύ των υποδομών τελικού χρήστη και των υπηρεσιών νέφους, οι απατεώνες ενδιαφέρονταν κυρίως για τις πρώτες, καθώς αυτά τα προϊόντα συνήθως δεν διαθέτουν τις κατάλληλες άμυνες κυβερνοασφάλειας και είναι πιο πιθανό να παραβιαστούν χωρίς να ειδοποιηθούν οι ομάδες πληροφορικής. Ταυτόχρονα, καθώς περισσότερες επιχειρήσεις μεταναστεύουν στο cloud, ο αριθμός των αποκαλυπτόμενων zero-days ενδέχεται να συρρικνωθεί, καθώς οι πάροχοι υπηρεσιών cloud αναφέρουν διαφορετικά τα περιστατικά ασφαλείας, υποστηρίζει η Mandiant.

Σε κάθε περίπτωση, το 2022 είχε λιγότερες αποκαλυφθείσες ευπάθειες zero-day (55) σε σύγκριση με το προηγούμενο έτος (80), και παρόλο που αυτό ακούγεται θετικό, το 2022 έσπασε ρεκόρ όσον αφορά τον αριθμό των zero-day που αξιοποιήθηκαν ενεργά. Οι ερευνητές πιστεύουν ότι η τάση θα επιδεινωθεί φέτος.

Το Project Zero, η ομάδα της Google που ασχολείται με την έρευνα ασφάλειας, βρήκε μερικά μεγάλα προβλήματα στα μόντεμ της Samsung που τροφοδοτούν συσκευές όπως τα Pixel 6, Pixel 7 και ορισμένα μοντέλα των Galaxy S22 και A53. Σύμφωνα με την ανάρτησή της στο blog, μια σειρά από μόντεμ Exynos έχουν μια σειρά από ευπάθειες που θα μπορούσαν να "επιτρέψουν σε έναν εισβολέα να θέσει σε κίνδυνο ένα τηλέφωνο από απόσταση σε επίπεδο baseband χωρίς καμία αλληλεπίδραση με τον χρήστη" χωρίς να χρειάζεται κάτι περισσότερο από τον αριθμό τηλεφώνου του θύματος. Και, δυστυχώς, φαίνεται ότι η Samsung καθυστερεί να το διορθώσει.

Η ομάδα προειδοποιεί επίσης ότι έμπειροι χάκερ θα μπορούσαν να εκμεταλλευτούν το ζήτημα "με περιορισμένη μόνο πρόσθετη έρευνα και ανάπτυξη". Η Google λέει ότι η ενημερωμένη έκδοση ασφαλείας του Μαρτίου για τα Pixel θα πρέπει να επιδιορθώσει το πρόβλημα - αν και το 9to5Google σημειώνει ότι δεν είναι ακόμη διαθέσιμη για τα Pixel 6, 6 Pro και 6a. Οι ερευνητές λένε ότι πιστεύουν ότι οι ακόλουθες συσκευές μπορεί να διατρέχουν κίνδυνο:

• Κινητές συσκευές της Samsung, συμπεριλαμβανομένων εκείνων των σειρών Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 και A04
• Κινητές συσκευές της Vivo, συμπεριλαμβανομένων εκείνων των σειρών S16, S15, S6, X70, X60 και X30.
• τυχόν φορητές συσκευές που χρησιμοποιούν το chipset Exynos W920
• οποιαδήποτε οχήματα που χρησιμοποιούν το chipset Exynos Auto T5123

Αξίζει να σημειωθεί ότι, για να είναι ευάλωτες οι συσκευές, πρέπει να χρησιμοποιούν ένα από τα επηρεαζόμενα μόντεμ της Samsung. Για πολλούς κατόχους του S22, αυτό θα μπορούσε να είναι μια ανακούφιση - τα τηλέφωνα που πωλούνται εκτός Ευρώπης και ορισμένων αφρικανικών χωρών έχουν επεξεργαστή Qualcomm και χρησιμοποιούν επίσης μόντεμ Qualcomm, και επομένως θα πρέπει να είναι ασφαλή από αυτά τα συγκεκριμένα ζητήματα. Αλλά τα τηλέφωνα με επεξεργαστές Exynos, όπως το δημοφιλές midrange A53 και το ευρωπαϊκό S22, μπορεί να είναι ευάλωτα.

Θεωρητικά, τα S21 και S23 είναι ασφαλή - οι πιο πρόσφατες ναυαρχίδες της Samsung χρησιμοποιούν Qualcomm παγκοσμίως, και οι παλαιότερες με τσιπ Exynos χρησιμοποιούν ένα μόντεμ που δεν εμφανίζεται στη λίστα της Samsung με τα επηρεαζόμενα τσιπ.

Εάν γνωρίζετε ότι το τηλέφωνό σας χρησιμοποιεί ένα από τα ευάλωτα μόντεμ και ανησυχείτε για την ασφάλεια σας (θυμηθείτε, οι επιθέσεις θα μπορούσαν να "θέσουν σε κίνδυνο τις επηρεαζόμενες συσκευές σιωπηλά και εξ αποστάσεως"), το Project Zero αναφέρει ότι μπορείτε να προστατευτείτε απενεργοποιώντας τις κλήσεις Wi-Fi και το Voice-over-LTE. Ναι, οι κλήσεις σας θα είναι χειρότερες, αλλά μάλλον αξίζει τον κόπο.

Παραδοσιακά, οι ερευνητές ασφαλείας περιμένουν μέχρι να είναι διαθέσιμη μια διόρθωση πριν ανακοινώσουν ότι βρήκαν το σφάλμα ή μέχρι να περάσει ένα συγκεκριμένο χρονικό διάστημα από τότε που το ανέφεραν χωρίς να είναι ορατή κάποια διόρθωση. Φαίνεται ότι πρόκειται για τη δεύτερη περίπτωση εδώ - όπως σημειώνει το TechCrunch, η ερευνήτρια του Project Zero, Maddie Stone, έγραψε στο Twitter ότι "οι τελικοί χρήστες δεν έχουν ακόμα patches 90 ημέρες μετά την αναφορά", το οποίο φαίνεται να είναι μια προτροπή προς τη Samsung και άλλους προμηθευτές ότι πρέπει να ασχοληθούν με το ζήτημα.

Συνολικά, το Project Zero βρήκε 18 ευπάθειες στα μόντεμ. Τέσσερις είναι οι πραγματικά κακές που επιτρέπουν την "απομακρυσμένη εκτέλεση κώδικα από το Internet σε baseband" και η Google λέει ότι δεν μοιράζεται πρόσθετες πληροφορίες σχετικά με αυτές αυτή τη στιγμή, παρά τη συνήθη πολιτική αποκάλυψης. (Και πάλι, λόγω του γεγονότος ότι πιστεύει ότι θα μπορούσαν πολύ εύκολα να αξιοποιηθούν). Τα υπόλοιπα ήταν πιο ήσσονος σημασίας, απαιτώντας "είτε έναν κακόβουλο φορέα εκμετάλλευσης κινητού δικτύου είτε έναν εισβολέα με τοπική πρόσβαση στη συσκευή". Για να είμαστε σαφείς, αυτό δεν είναι ακόμα σπουδαίο - έχουμε δει πόσο σαθρή μπορεί να είναι η ασφάλεια των παρόχων - αλλά τουλάχιστον δεν είναι τόσο κακές όσο οι άλλες.

Η Microsoft παρουσίασε την Τρίτη ένα λογισμικό προς πώληση σε διαδικτυακά φόρουμ που διευκολύνει τους εγκληματίες να αναπτύσσουν με επιτυχία εκστρατείες phishing ,που θέτουν σε κίνδυνο λογαριασμούς, ακόμη και όταν αυτοί προστατεύονται από την πιο συνηθισμένη μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων (multi-factor authenitcation - MFA).

Το phishing κιτ, είναι ο κινητήρας που τροφοδοτεί περισσότερα από 1 εκατομμύριο κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου κάθε μέρα, δήλωσαν ερευνητές της ομάδας Microsoft Threat Intelligence. Το λογισμικό, το οποίο πωλείται προς 300 δολάρια για μια τυπική έκδοση και 1.000 δολάρια για τους χρήστες VIP, προσφέρει μια σειρά από προηγμένα χαρακτηριστικά για τον εξορθολογισμό της ανάπτυξης των εκστρατειών phishing και την αύξηση των πιθανοτήτων τους να παρακάμψουν τις άμυνες κατά του phishing.

Ένα από τα πιο σημαντικά χαρακτηριστικά είναι η ενσωματωμένη δυνατότητα παράκαμψης ορισμένων μορφών ελέγχου ταυτότητας πολλαπλών παραγόντων. Γνωστή και ως MFA, έλεγχος ταυτότητας δύο παραγόντων ή 2FA, αυτή η προστασία απαιτεί από τους κατόχους λογαριασμών να αποδεικνύουν την ταυτότητά τους όχι μόνο με έναν κωδικό πρόσβασης αλλά και χρησιμοποιώντας κάτι που έχουν μόνο αυτοί (όπως ένα κλειδί ασφαλείας ή μια εφαρμογή ελέγχου ταυτότητας) ή κάτι που είναι μόνο αυτοί (όπως ένα δακτυλικό αποτύπωμα ή μια σάρωση προσώπου). Η MFA έχει γίνει μια σημαντική άμυνα κατά της κλοπής λογαριασμών, επειδή η κλοπή ενός κωδικού πρόσβασης από μόνη της δεν αρκεί για να αποκτήσει ο επιτιθέμενος τον έλεγχο.

Η αποτελεσματικότητα της MFA δεν έχει περάσει απαρατήρητη από τους phishers. Αρκετές εκστρατείες που ήρθαν στο φως τους τελευταίους μήνες υπογράμμισαν την ευπάθεια των συστημάτων MFA που χρησιμοποιούν TOTPs, συντομογραφία για τους κωδικούς πρόσβασης μιας χρήσης με βάση το χρόνο (time-based one-time passwords), οι οποίοι παράγονται από εφαρμογές ελέγχου ταυτότητας. Μια εκστρατεία, που αποκαλύφθηκε από τη Microsoft, είχε ως στόχο περισσότερους από 10.000 επιχειρήσεις και οργανισμούς σε διάστημα 10 μηνών. Η άλλη παραβίασε με επιτυχία το δίκτυο της εταιρείας ασφαλείας Twilio.

Όπως και το phishing κιτ που παρουσίασε λεπτομερώς η Microsoft την Τρίτη, οι δύο παραπάνω εκστρατείες χρησιμοποίησαν μια τεχνική γνωστή ως AitM, που σημαίνει adversary in the middle (αντίπαλος στη μέση). Λειτουργεί με την τοποθέτηση ενός ιστότοπου phishing μεταξύ του στοχευόμενου χρήστη και του ιστότοπου στον οποίο ο χρήστης προσπαθεί να συνδεθεί. Όταν ο χρήστης εισάγει τον κωδικό πρόσβασης στην ψεύτικη τοποθεσία, η ψεύτικη τοποθεσία τον μεταβιβάζει στην πραγματική τοποθεσία σε πραγματικό χρόνο. Εάν ο πραγματικός ιστότοπος απαντήσει με μια προτροπή για ένα TOTP, ο ψεύτικος ιστότοπος λαμβάνει την προτροπή και τη διαβιβάζει πίσω στον στόχο, επίσης σε πραγματικό χρόνο. Όταν ο στόχος εισάγει το TOTP στον ψεύτικο ιστότοπο, ο ψεύτικος ιστότοπος το στέλνει στον πραγματικό ιστότοπο.

Για να διασφαλιστεί ότι το TOTP εισάγεται εντός του χρονικού ορίου (συνήθως περίπου 30 δευτερόλεπτα), οι phishers χρησιμοποιούν bots που βασίζονται στο Telegram ή σε άλλα προγράμματα ανταλλαγής μηνυμάτων σε πραγματικό χρόνο που εισάγουν αυτόματα τα διαπιστευτήρια γρήγορα. Μόλις ολοκληρωθεί η διαδικασία, ο πραγματικός ιστότοπος στέλνει ένα cookie ελέγχου ταυτότητας στον ψεύτικο ιστότοπο. Με αυτό, οι phishers έχουν όλα όσα χρειάζονται για να καταλάβουν τον λογαριασμό.

Τον περασμένο Μάιο, μια εγκληματική ομάδα που η Microsoft εντοπίζει ως DEV-1101 άρχισε να διαφημίζει ένα phishing κιτ που νικά όχι μόνο το MFA που βασίζεται σε κωδικούς πρόσβασης μιας χρήσης αλλά και άλλες αυτοματοποιημένες άμυνες που χρησιμοποιούνται ευρέως. Ένα χαρακτηριστικό εισάγει ένα CAPTCHA στη διαδικασία, για να διασφαλίσει ότι τα προγράμματα περιήγησης που λειτουργούν με ανθρώπινη βοήθεια μπορούν να έχουν πρόσβαση στην τελική σελίδα phishing, αλλά όχι οι αυτοματοποιημένες άμυνες. Μια άλλη λειτουργία ανακατευθύνει για λίγο το πρόγραμμα περιήγησης του στόχου από τον αρχικό σύνδεσμο που περιλαμβάνεται στο μήνυμα ηλεκτρονικού ταχυδρομείου phishing σε έναν καλοήθη ιστότοπο πριν φτάσει στον ιστότοπο phishing. Η ανακατεύθυνση βοηθάει να νικηθούν οι λίστες αποκλεισμού γνωστών κακόβουλων διευθύνσεων URL.

Οι διαφημίσεις που άρχισαν να εμφανίζονται τον περασμένο Μάιο περιέγραφαν το κιτ ως μια εφαρμογή phishing γραμμένη σε NodeJS που προσφέρει δυνατότητες PHP reverse-proxy για την παράκαμψη των MFA και CAPTCHA και ανακατευθύνσεις για την παράκαμψη άλλων αμυντικών συστημάτων. Οι διαφημίσεις προωθούν άλλες δυνατότητες, όπως η αυτοματοποιημένη εγκατάσταση και ένα ευρύ φάσμα προεγκατεστημένων προτύπων για τη μίμηση υπηρεσιών όπως το Microsoft Office ή το Outlook.

"Αυτά τα χαρακτηριστικά καθιστούν το κιτ ελκυστικό για πολλούς διαφορετικούς φορείς που το χρησιμοποιούν συνεχώς από τότε που έγινε διαθέσιμο τον Μάιο του 2022", έγραψαν οι ερευνητές της Microsoft. "Οι δράστες που χρησιμοποιούν αυτό το κιτ έχουν διαφορετικά κίνητρα και στόχευση και μπορεί να στοχεύουν σε οποιαδήποτε βιομηχανία ή τομέα".

Η δημοσίευση συνέχισε να απαριθμεί διάφορα μέτρα που μπορούν να χρησιμοποιήσουν οι πελάτες για να αντιμετωπίσουν τις δυνατότητες αποφυγής του κιτ, συμπεριλαμβανομένου του Windows Defender και των λύσεων anti-phishing. Δυστυχώς, η ανάρτηση παρέβλεψε το πιο αποτελεσματικό μέτρο, το οποίο είναι η MFA με βάση το βιομηχανικό πρότυπο που είναι γνωστό ως FIDO2. Μέχρι στιγμής, δεν υπάρχουν γνωστές επιθέσεις ηλεκτρονικού ψαρέματος διαπιστευτηρίων που να νικούν το FIDO2, καθιστώντας το ένα από τα πιο αποτελεσματικά εμπόδια για την κατάληψη λογαριασμών.

Για περισσότερες πληροφορίες σχετικά με τη συμβατή με το FIDO2 MFA δείτε εδώ, εδώ και εδώ.
Η επίθεση phishing που παραβίασε το δίκτυο της Twilio λειτούργησε επειδή ένας από τους στοχευμένους υπαλλήλους εισήγαγε ένα TOTP που δημιουργήθηκε από τον ελεγκτή αυθεντικότητας στον ψεύτικο ιστότοπο σύνδεσης του επιτιθέμενου. Η ίδια εκστρατεία απέτυχε εναντίον του δικτύου διανομής περιεχομένου Cloudflare επειδή η εταιρεία χρησιμοποίησε MFA με βάση το FIDO2.

Τον Φεβρουάριο, επιτιθέμενοι από την ομάδα λύτρων BlackCat με έδρα τη Ρωσία χτύπησαν ένα ιατρείο στην κομητεία Lackawanna της Πενσυλβάνια, το οποίο ανήκει στο Lehigh Valley Health Network (LVHN). Τότε, το LVHN δήλωσε ότι η επίθεση "αφορούσε" ένα σύστημα φωτογραφιών ασθενών που σχετιζόταν με την ακτινοθεραπεία ογκολογίας. Ο όμιλος υγειονομικής περίθαλψης δήλωσε ότι η BlackCat είχε εκδώσει αίτημα για λύτρα, "αλλά το LVHN αρνήθηκε να πληρώσει αυτή την εγκληματική επιχείρηση".

Μετά από μερικές εβδομάδες, η BlackCat απείλησε να δημοσιεύσει τα δεδομένα που είχαν κλαπεί από το σύστημα. "Το ιστολόγιό μας παρακολουθείται από πολλά μέσα ενημέρωσης παγκοσμίως, η υπόθεση θα δημοσιοποιηθεί ευρέως και θα προκαλέσει σημαντική ζημιά στην επιχείρησή σας", έγραψε η BlackCat στον ιστότοπο εκβιασμού στο σκοτεινό διαδίκτυο. "Ο χρόνος σας τελειώνει. Είμαστε έτοιμοι να εξαπολύσουμε όλη μας τη δύναμη εναντίον σας!" Στη συνέχεια, οι επιτιθέμενοι δημοσίευσαν τρία στιγμιότυπα οθόνης με καρκινοπαθείς που έλαβαν ακτινοθεραπεία και επτά έγγραφα που περιείχαν πληροφορίες ασθενών.

Οι ιατρικές φωτογραφίες είναι γραφικές και προσωπικές, απεικονίζοντας γυμνά στήθη ασθενών σε διάφορες γωνίες και θέσεις. Και ενώ τα νοσοκομεία και οι εγκαταστάσεις υγειονομικής περίθαλψης αποτελούν εδώ και καιρό αγαπημένο στόχο των συμμοριών ransomware, οι ερευνητές λένε ότι η κατάσταση στο LVHN μπορεί να υποδηλώνει μια αλλαγή στην απελπισία των επιτιθέμενων και την προθυμία τους να φτάσουν σε ακρότητες χωρίς το παραμικρό έλεος, καθώς οι στόχοι ransomware αρνούνται όλο και περισσότερο να πληρώσουν.
"Καθώς όλο και λιγότερα θύματα πληρώνουν τα λύτρα, οι δράστες ransomware γίνονται πιο επιθετικοί στις τεχνικές εκβιασμού τους", λέει ο Allan Liska, αναλυτής της εταιρείας ασφαλείας Recorded Future που ειδικεύεται στο ransomware. "Νομίζω ότι θα δούμε περισσότερα τέτοια φαινόμενα. Ακολουθεί στενά τα πρότυπα σε περιπτώσεις απαγωγών, όπου όταν οι οικογένειες των θυμάτων αρνούνταν να πληρώσουν, οι απαγωγείς μπορεί να έστελναν ένα αυτί ή άλλο μέρος του σώματος του θύματος".

Οι ερευνητές λένε ότι ένα άλλο παράδειγμα αυτών των βίαιων κλιμακώσεων ήρθε την Τρίτη, όταν η αναδυόμενη συμμορία ransomware Medusa δημοσίευσε δείγματα δεδομένων που κλάπηκαν από τα δημόσια σχολεία της Μινεάπολης σε μια επίθεση του Φεβρουαρίου, η οποία συνοδεύτηκε από απαίτηση λύτρων ύψους 1 εκατομμυρίου δολαρίων. Τα στιγμιότυπα οθόνης που διέρρευσαν περιλαμβάνουν σαρώσεις χειρόγραφων σημειώσεων που περιγράφουν ισχυρισμούς για σεξουαλική επίθεση και τα ονόματα ενός μαθητή και δύο μαθητριών που εμπλέκονται στο περιστατικό.

"Σημειώστε ότι η MPS δεν κατέβαλε λύτρα", ανέφερε η σχολική περιφέρεια της Μινεσότα σε ανακοίνωσή της στις αρχές Μαρτίου. Η σχολική περιφέρεια εγγράφει περισσότερους από 36.000 μαθητές, αλλά τα δεδομένα προφανώς περιέχουν αρχεία που αφορούν μαθητές, προσωπικό και γονείς που χρονολογούνται από το 1995. Την περασμένη εβδομάδα, η Medusa δημοσίευσε ένα βίντεο διάρκειας 50 λεπτών, στο οποίο οι επιτιθέμενοι εμφανίζονταν να ξεφυλλίζουν και να εξετάζουν όλα τα δεδομένα που έκλεψαν από το σχολείο, μια ασυνήθιστη τεχνική για να διαφημίσουν ποιες ακριβώς πληροφορίες κατέχουν αυτή τη στιγμή. Η Medusa προσφέρει τρία κουμπιά στον ιστότοπό της στο dark-web, ένα για να πληρώσει κάποιος 1 εκατομμύριο δολάρια για να αγοράσει τα κλεμμένα δεδομένα του MPS, ένα για να πληρώσει η ίδια η σχολική περιφέρεια τα λύτρα και να διαγραφούν τα κλεμμένα δεδομένα και ένα για να πληρώσει 50.000 δολάρια για να παρατείνει την προθεσμία των λύτρων κατά μία ημέρα.

"Αυτό που είναι αξιοσημείωτο εδώ, νομίζω, είναι ότι στο παρελθόν οι συμμορίες έπρεπε πάντα να βρίσκουν μια ισορροπία μεταξύ του να πιέζουν τα θύματά τους να πληρώσουν και να μην κάνουν τόσο αποτρόπαια, τρομερά, κακά πράγματα που τα θύματα να μην θέλουν να ασχοληθούν μαζί τους", λέει ο Brett Callow, αναλυτής απειλών στην εταιρεία antivirus Emsisoft. "Αλλά επειδή οι στόχοι δεν πληρώνουν τόσο συχνά, οι συμμορίες πιέζουν τώρα περισσότερο. Είναι κακή δημοσιότητα να έχεις μια επίθεση ransomware, αλλά όχι τόσο τρομερή όσο ήταν κάποτε - και είναι πραγματικά κακή δημοσιότητα να σε βλέπουν να πληρώνεις έναν οργανισμό που κάνει τρομερά, αποτρόπαια πράγματα".

Η δημόσια πίεση αυξάνεται σίγουρα. Σε απάντηση στις φωτογραφίες ασθενών που διέρρευσαν αυτή την εβδομάδα, για παράδειγμα, το LVHN ανέφερε σε δήλωσή του: "Αυτή η ασυνείδητη εγκληματική πράξη εκμεταλλεύεται τους ασθενείς που λαμβάνουν θεραπεία για τον καρκίνο και το LVHN καταδικάζει αυτή την κατάπτυστη συμπεριφορά".

Το Internet Crime Complaint Center (IC3) του FBI,  ανέφερε στην ετήσια έκθεσή του για το έγκλημα στο Διαδίκτυο, ότι έλαβε 2.385 αναφορές για επιθέσεις ransomware το 2022, συνολικής αξίας 34,3 εκατομμυρίων δολαρίων σε απώλειες. Οι αριθμοί ήταν μειωμένοι από 3.729 καταγγελίες ransomware και 49 εκατομμύρια δολάρια σε συνολικές απώλειες το 2021. "Ήταν πρόκληση για το FBI να εξακριβώσει τον πραγματικό αριθμό των θυμάτων ransomware, καθώς πολλές μολύνσεις δεν δηλώνονται στην επιβολή του νόμου", σημειώνεται στην έκθεση.

Αλλά η έκθεση κάνει ειδική αναφορά στην εξελισσόμενη και πιο επιθετική συμπεριφορά εκβιασμού. "Το 2022, το IC3 είδε αύξηση σε μια πρόσθετη τακτική εκβιασμού που χρησιμοποιείται για τη διευκόλυνση του ransomware", γράφει το FBI. "Οι φορείς απειλών πιέζουν τα θύματα να πληρώσουν απειλώντας να δημοσιεύσουν τα κλεμμένα δεδομένα εάν δεν πληρώσουν τα λύτρα".

Κατά κάποιο τρόπο, η αλλαγή είναι ένα θετικό σημάδι ότι οι προσπάθειες για την καταπολέμηση του ransomware αποδίδουν. Εάν αρκετοί οργανισμοί διαθέτουν τους πόρους και τα εργαλεία για να αντισταθούν στην καταβολή λύτρων, οι επιτιθέμενοι μπορεί τελικά να μην είναι σε θέση να δημιουργήσουν τα έσοδα που επιθυμούν και, ιδανικά, θα εγκαταλείψουν εντελώς το ransomware. Αυτό όμως καθιστά αυτή τη στροφή προς πιο επιθετικές τακτικές μια επισφαλή στιγμή.

"Πραγματικά δεν έχουμε ξαναδεί τέτοια πράγματα. Ομάδες έχουν κάνει δυσάρεστα πράγματα, αλλά ήταν ενήλικες που είχαν ως στόχο, δεν ήταν ασθενείς με καρκίνο ή μαθητές", λέει ο Callow της Emsisoft. "Ελπίζω ότι αυτές οι τακτικές θα τους γυρίσουν μπούμερανγκ και ότι οι εταιρείες θα πουν όχι, δεν μπορούμε να φανούμε ότι χρηματοδοτούμε μια οργάνωση που κάνει αυτά τα αποτρόπαια πράγματα. Αυτή είναι η δική μου ελπίδα τουλάχιστον. Το αν θα αντιδράσουν με αυτόν τον τρόπο μένει να το δούμε".

Δεν υπάρχει απλούστερος τρόπος για να παραβιάσετε το λογαριασμό κάποιου από το να εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής του. Στην πραγματικότητα, οι φορείς απειλών διαρρέουν συστηματικά τα διαπιστευτήρια σύνδεσης των χρηστών στο Dark Web, όπου μπορούν να αγοραστούν από εγκληματίες του κυβερνοχώρου και απατεώνες για τη διάπραξη περαιτέρω εγκλημάτων.

Σύμφωνα με έρευνα που δημοσιεύθηκε σήμερα από τον πάροχο αναλυτικών στοιχείων κυβερνοεγκλήματος, SpyCloud, οι ερευνητές ανακάλυψαν 721,5 εκατομμύρια εκτεθειμένα διαπιστευτήρια πρόσβασης στο διαδίκτυο το 2022. Πολλά από αυτά τα διαπιστευτήρια συλλέχθηκαν από επιχειρηματικές εφαρμογές τρίτων που εκτέθηκαν σε κακόβουλο λογισμικό.

Για να χειροτερέψουν τα πράγματα, οι ερευνητές διαπίστωσαν επίσης ότι το 72% των χρηστών των οποίων τα διαπιστευτήρια εκτέθηκαν στις παραβιάσεις του περασμένου έτους βρέθηκε να εξακολουθούν να χρησιμοποιούν ήδη παραβιασμένους κωδικούς πρόσβασης.

Για τους επικεφαλής ασφαλείας, η έρευνα αυτή υπογραμμίζει ότι η ασφάλεια των κωδικών πρόσβασης - και η διασφάλιση ότι οι εργαζόμενοι δεν επαναχρησιμοποιούν εκτεθειμένα διαπιστευτήρια - είναι απαραίτητη για τον μετριασμό των κινδύνων για τα περιουσιακά στοιχεία δεδομένων. Η αποτυχία σε αυτό μπορεί να οδηγήσει σε σημαντική έκθεση σε απόπειρες κατάληψης λογαριασμού.

"Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν εκτεθειμένα διαπιστευτήρια για να αποκτήσουν παράνομη πρόσβαση σε εταιρικά δίκτυα με το πρόσχημα λογαριασμών εργαζομένων και καταναλωτών, ανοίγοντας την πόρτα για περισσότερες επιθέσεις στον κυβερνοχώρο, όπως η διανομή ransomware και κακόβουλου λογισμικού, η πρόσθετη κλοπή δεδομένων και η δημιουργία συνθετικών ταυτοτήτων", δήλωσε ο Trevor Hilligoss, διευθυντής έρευνας ασφαλείας της SpyCloud.

"Εάν τα διαπιστευτήρια εκλάπησαν πρόσφατα μέσω κακόβουλου λογισμικού και παραμένουν ενεργά, αποτελούν μακροπρόθεσμη απειλή για τις εταιρείες, καθώς οι εγκληματίες μπορούν να χρησιμοποιήσουν τα ίδια διαπιστευτήρια για πρόσβαση σε λογαριασμούς μέχρι να εντοπιστεί και να αντιμετωπιστεί το πρόβλημα", δήλωσε ο Hilligoss. 

Με έναν τόσο μεγάλο όγκο εκτεθειμένων διαπιστευτηρίων σύνδεσης που είναι διαθέσιμα στο διαδίκτυο, είναι σημαντικό να υπενθυμίζετε σε όλους να επιλέγουν ισχυρούς κωδικούς πρόσβασης, να τους αλλάζουν περιοδικά (ιδίως αν πιστεύουν ότι έχουν εκτεθεί στο διαδίκτυο) και να χρησιμοποιούν μια λύση διαχείρισης κωδικών πρόσβασης για να αποφεύγεται η επαναχρησιμοποίηση των διαπιστευτηρίων σε πολλούς διαδικτυακούς λογαριασμούς και υπηρεσίες.

"Πρόσφατα εντοπίσαμε ένα περιστατικό μη εξουσιοδοτημένης πρόσβασης σε έναν από τους διακομιστές εγγράφων μας για τους τεχνικούς επισκευών. Ενώ η έρευνά μας βρίσκεται σε εξέλιξη, προς το παρόν δεν υπάρχει καμία ένδειξη ότι αποθηκεύτηκαν δεδομένα καταναλωτών σε αυτόν τον διακομιστή", δήλωσε η Acer στο SecurityWeek μέσω ηλεκτρονικού ταχυδρομείου.

Η Acer εξέδωσε τη δήλωση αφού ένας χάκερ ανακοίνωσε σε ένα δημοφιλές φόρουμ για το κυβερνοέγκλημα ότι πουλάει περισσότερα από 2.800 αρχεία συνολικής χωρητικότητας 160 Gb για ένα απροσδιόριστο ποσό κρυπτονομίσματος Monero.

Ο χρήστης kernelware, ισχυρίζεται ότι τα αρχεία περιλαμβάνουν εμπιστευτικές διαφάνειες, εγχειρίδια προσωπικού, εμπιστευτική τεκμηρίωση προϊόντων, binary αρχεία, πληροφορίες σχετικά με την backend υποδομή της εταιρίας, εικόνες δίσκων, ψηφιακά κλειδιά αντικατάστασης προϊόντων και πληροφορίες που σχετίζονται με το BIOS των προϊόντων της.

Ο kernelware, ο οποίος έχει καλή φήμη στο φόρουμ όπου τα δεδομένα προσφέρθηκαν προς πώληση, ισχυρίστηκε ότι τα δεδομένα εκλάπησαν στα μέσα Φεβρουαρίου.

Αυτή δεν είναι η πρώτη φορά που η Acer επιβεβαιώνει παραβίαση δεδομένων. Τον Οκτώβριο του 2021, η εταιρία παραδέχτηκε ότι διακομιστές στην Ινδία και την Ταϊβάν παραβιάστηκαν από μια ομάδα που ισχυρίστηκε ότι έκλεψε περισσότερα από 60 Gb δεδομένων από τα συστήματα της εταιρείας.