Τρεις νεαροί ηλικίας 18 έως 21 ετών συνελήφθησαν στην Ολλανδία για το ρόλο τους σε ένα εκτεταμένο σύστημα εκβιασμού δεδομένων που έθεσε σε κίνδυνο χιλιάδες μικρές και μεγάλες επιχειρήσεις παγκοσμίως, συμπεριλαμβανομένων εκπαιδευτικών ιδρυμάτων, εταιρειών λογισμικού, επιχειρήσεων φιλοξενίας, ηλεκτρονικών καταστημάτων και οργανισμών που συνδέονται με κρίσιμες υποδομές και υπηρεσίες. Εκτιμάται ότι κατά τη διάρκεια των παραβιάσεων εκλάπησαν προσωπικά δεδομένα δεκάδων εκατομμυρίων ανθρώπων, προκαλώντας ζημιές εκατομμυρίων ευρώ.

Οι ύποπτοι κατηγορούνται για παραβίαση υπολογιστών, κλοπή δεδομένων, εκβιασμό και εκβιασμό, καθώς και για ξέπλυμα χρήματος. Αφού παραβίαζαν μια εταιρεία και έκλεβαν τα δεδομένα της, οι "κυβερνο-κλέφτες" απειλούσαν το θύμα ότι θα καταστρέψουν την ψηφιακή υποδομή του ή θα διαρρεύσουν τις κλεμμένες πληροφορίες στο διαδίκτυο, εάν δεν καταβάλλονταν λύτρα. Το ποσό των λύτρων κυμαινόταν μεταξύ 100.000 και 700.000 ευρώ, ανάλογα με το μέγεθος του οργανισμού που είχαν παραβιάσει οι χάκερς. Συχνά, οι εγκληματίες πωλούσαν τα κλεμμένα δεδομένα στο διαδίκτυο με σκοπό το κέρδος, ανεξάρτητα από το αν τα θύματα πλήρωναν τα λύτρα.

Η LastPass, της οποία η αξιοπιστία ήταν ήδη πληγωμένη από μια παραβίαση που έθεσε μερικώς κρυπτογραφημένα δεδομένα σύνδεσης στα χέρια κακόβουλων χρηστών, δήλωσε τη Δευτέρα ότι οι ίδιοι κακόβουλοι χρήστες παραβίασαν τον οικιακό υπολογιστή ενός υπαλλήλου και απέκτησαν ένα αποκρυπτογραφημένο θησαυροφυλάκιο που ήταν διαθέσιμο μόνο σε λίγους developers της εταιρείας.

Παρόλο που η αρχική εισβολή στην LastPass έληξε στις 12 Αυγούστου, οι υπάλληλοι του κορυφαίου διαχειριστή κωδικών πρόσβασης δήλωσαν ότι ο δράστης απειλής "συμμετείχε ενεργά σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, απαρίθμησης και διαρροής" από τις 12 έως τις 26 Αυγούστου. Κατά τη διαδικασία, ο άγνωστος δράστης απειλής κατάφερε να κλέψει έγκυρα διαπιστευτήρια από έναν ανώτερο μηχανικό DevOps και να αποκτήσει πρόσβαση στο περιεχόμενο ενός θησαυροφυλακίου δεδομένων της LastPass. Μεταξύ άλλων, το θησαυροφυλάκιο έδινε πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud που περιείχε τα κλειδιά κρυπτογράφησης για τα αντίγραφα ασφαλείας του θησαυροφυλακίου πελατών που ήταν αποθηκευμένα σε κάδους Amazon S3.
"Αυτό επιτεύχθηκε με τη στόχευση του οικιακού υπολογιστή του μηχανικού DevOps και την εκμετάλλευση ενός ευάλωτου πακέτου λογισμικού πολυμέσων τρίτου μέρους, το οποίο επέτρεψε τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και επέτρεψε στον δράστη της απειλής να εμφυτεύσει κακόβουλο λογισμικό keylogger", έγραψαν οι υπεύθυνοι της LastPass. "Ο δράστης της απειλής ήταν σε θέση να καταγράψει τον κύριο κωδικό πρόσβασης του υπαλλήλου κατά την εισαγωγή του, αφού ο υπάλληλος πιστοποιήθηκε με MFA, και να αποκτήσει πρόσβαση στο εταιρικό θησαυροφυλάκιο LastPass του μηχανικού DevOps".

Ο παραβιασμένος λογαριασμός του μηχανικού DevOps ήταν ένας από τους τέσσερις μόνο υπαλλήλους της LastPass με πρόσβαση στο εταιρικό θησαυροφυλάκιο. Μόλις κατέλαβε το αποκρυπτογραφημένο θησαυροφυλάκιο, ο δράστης της απειλής εξήγαγε τις καταχωρήσεις, συμπεριλαμβανομένων των "κλειδιών αποκρυπτογράφησης που απαιτούνται για την πρόσβαση στα αντίγραφα ασφαλείας παραγωγής AWS S3 LastPass, σε άλλους πόρους αποθήκευσης που βασίζονται στο cloud και σε ορισμένα σχετικά κρίσιμα αντίγραφα ασφαλείας βάσεων δεδομένων".

Η ενημέρωση της Δευτέρας έρχεται δύο μήνες μετά την προηγούμενη ενημέρωση-βόμβα της LastPass, η οποία για πρώτη φορά ανέφερε ότι, σε αντίθεση με τους προηγούμενους ισχυρισμούς, οι επιτιθέμενοι απέκτησαν δεδομένα του θησαυροφυλακίου πελατών που περιείχαν τόσο κρυπτογραφημένα όσο και δεδομένα απλού κειμένου. Η LastPass ανέφερε τότε ότι ο δράστης της απειλής είχε επίσης αποκτήσει ένα κλειδί πρόσβασης στο cloud storage και δύο κλειδιά αποκρυπτογράφησης του storage container, επιτρέποντας την αντιγραφή των δεδομένων αντιγράφων ασφαλείας του θησαυροφυλακίου πελατών από το κρυπτογραφημένο storage container.

Τα δεδομένα αντιγράφων ασφαλείας περιείχαν τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστοτόπων, όσο και ονόματα χρηστών και κωδικούς πρόσβασης ιστοτόπων, ασφαλείς σημειώσεις και δεδομένα που είχαν συμπληρωθεί σε φόρμες, τα οποία είχαν ένα πρόσθετο επίπεδο κρυπτογράφησης με χρήση 256-bit AES. Οι νέες λεπτομέρειες εξηγούν πώς ο δράστης της απειλής απέκτησε τα κλειδιά κρυπτογράφησης S3.

Η ενημέρωση της Δευτέρας ανέφερε ότι οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν στο πρώτο περιστατικό ήταν διαφορετικές από εκείνες που χρησιμοποιήθηκαν στο δεύτερο και ότι, ως εκ τούτου, δεν ήταν αρχικά σαφές στους ερευνητές ότι τα δύο περιστατικά σχετίζονταν άμεσα. Κατά τη διάρκεια του δεύτερου περιστατικού, ο δράστης της απειλής χρησιμοποίησε τις πληροφορίες που απέκτησε κατά τη διάρκεια του πρώτου περιστατικού για να απαριθμήσει και να εξαγάγει τα δεδομένα που ήταν αποθηκευμένα στους κάδους S3.

"Η ειδοποίηση και η καταγραφή ήταν ενεργοποιημένη κατά τη διάρκεια αυτών των συμβάντων, αλλά δεν έδειξε αμέσως την ανώμαλη συμπεριφορά που έγινε σαφέστερη εκ των υστέρων κατά τη διάρκεια της έρευνας", έγραψαν οι υπάλληλοι της LastPass. "Συγκεκριμένα, ο δράστης της απειλής ήταν σε θέση να χρησιμοποιήσει έγκυρα διαπιστευτήρια που είχαν κλαπεί από έναν ανώτερο μηχανικό DevOps για να αποκτήσει πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud, γεγονός που αρχικά δυσκόλεψε τους ερευνητές να διαφοροποιήσουν τη δραστηριότητα του δράστη της απειλής από τη συνεχιζόμενη νόμιμη δραστηριότητα".

Η LastPass έμαθε για το δεύτερο περιστατικό από τις προειδοποιήσεις της Amazon για ανώμαλη συμπεριφορά, όταν ο δράστης απειλής προσπάθησε να χρησιμοποιήσει ρόλους Cloud Identity and Access Management (IAM) για να εκτελέσει μη εξουσιοδοτημένη δραστηριότητα.

Σύμφωνα με άτομο που ενημερώθηκε για μια ιδιωτική αναφορά της LastPass και μίλησε υπό τον όρο της ανωνυμίας, το πακέτο λογισμικού πολυμέσων που αξιοποιήθηκε στον οικιακό υπολογιστή του υπαλλήλου ήταν το Plex. Είναι ενδιαφέρον ότι η Plex ανέφερε τη δική της εισβολή στο δίκτυο στις 24 Αυγούστου, μόλις 12 ημέρες μετά την έναρξη του δεύτερου περιστατικού. Η παραβίαση επέτρεψε στον δράστη της απειλής να αποκτήσει πρόσβαση σε μια ιδιόκτητη βάση δεδομένων και να εξαφανιστεί με δεδομένα κωδικών πρόσβασης, ονόματα χρηστών και μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν σε μερικούς από τους 30 εκατομμύρια πελάτες της. Η Plex είναι ένας σημαντικός πάροχος υπηρεσιών ροής πολυμέσων που επιτρέπει στους χρήστες να μεταδίδουν ταινίες και ήχο, να παίζουν παιχνίδια και να έχουν πρόσβαση στο δικό τους περιεχόμενο που φιλοξενείται σε οικιακούς ή εσωτερικούς διακομιστές πολυμέσων.
Δεν είναι σαφές αν η παραβίαση της Plex έχει κάποια σχέση με τις εισβολές της LastPass. Εκπρόσωποι της LastPass και της Plex δεν απάντησαν σε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχόλια για το θέμα αυτό.

Ο δράστης της απειλής πίσω από την παραβίαση της LastPass έχει αποδειχθεί ιδιαίτερα επινοητικός και η αποκάλυψη ότι εκμεταλλεύτηκε με επιτυχία μια ευπάθεια λογισμικού στον οικιακό υπολογιστή ενός υπαλλήλου ενισχύει περαιτέρω αυτή την άποψη. Όπως συμβούλευσε η ArsTechnica τον Δεκέμβριο, όλοι οι χρήστες του LastPass θα πρέπει να αλλάξουν τους κύριους κωδικούς πρόσβασης και όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στα θησαυροφυλάκια τους. Αν και δεν είναι σαφές αν ο δράστης της απειλής έχει πρόσβαση σε κάποιο από τα δύο, οι προφυλάξεις είναι δικαιολογημένες.

Η αυτοκινητοβιομηχανία Hyundai και η θυγατρική της Kia άρχισαν να κυκλοφορούν δωρεάν ενημέρωση λογισμικού στις 14 Φεβρουαρίου 2023, για να αντιμετωπίσουν ένα ελάττωμα στο αντικλεπτικό λογισμικό τους, το οποίο επισημάνθηκε σε μια πρόκληση στα μέσα κοινωνικής δικτύωσης. Η κυκλοφορία της ενημερωμένης έκδοσης ήρθε εννέα μήνες μετά την έξαρση των κλοπών αυτοκινήτων των επηρεαζόμενων μοντέλων στις ΗΠΑ και στην Αυστραλία

"Το λογισμικό επικαιροποιεί τη λογική του λογισμικού συναγερμού κλοπής για να επεκτείνει τη διάρκεια του ήχου του συναγερμού από 30 δευτερόλεπτα σε ένα λεπτό και απαιτεί το κλειδί να βρίσκεται στο διακόπτη ανάφλεξης για να ενεργοποιηθεί το όχημα", δήλωσε η Εθνική Υπηρεσία Ασφάλειας Οδικής Κυκλοφορίας των ΗΠΑ (NHTSA). "Η προσπάθεια αυτή αποτελεί απάντηση σε μια πρόκληση του TikTok στα μέσα κοινωνικής δικτύωσης που έχει εξαπλωθεί σε εθνικό επίπεδο και έχει οδηγήσει σε τουλάχιστον 14 αναφερόμενα ατυχήματα και οκτώ θανάτους".

Η "Kia Challenge" έγινε viral στο TikTok τον Αύγουστο του 2022. Οι κλέφτες, γνωστοί ως "Kia Boys" ή "Kia Boyz", έδειξαν πώς να παρακάμπτουν το σύστημα ασφαλείας της Kia χρησιμοποιώντας απλά εργαλεία όπως ένα κατσαβίδι και ένα καλώδιο USB. Λέγεται ότι αυτή η μέθοδος κλοπής είναι τόσο εύκολη επειδή πολλά αυτοκίνητα Kia και Hyunday του 2015-2019 δεν διαθέτουν ηλεκτρονικά immobilizer, τα οποία χρησιμοποιούν ηλεκτρονικά σήματα για να αποτρέψουν τους κλέφτες από το να "βάζουν μπρός" τα αυτοκίνητα.

Οι έφηβοι έδωσαν οδηγίες στους θεατές να αφαιρέσουν με τη βία το κάλυμμα της κολόνας του τιμονιού (που βρίσκεται ακριβώς κάτω από το τιμόνι) για να αποκαλυφθεί μια θύρα όπου στη συνέχεια μπαίνει ένα βύσμα USB-A.

Απ' ό,τι μάθαμε, το viral βίντεο του TikTok ήταν ένα απόσπασμα από ένα ντοκιμαντέρ του Tommy G στο YouTube με τίτλο Kia Boys Documentary (A Story of Teenage Car Theft). Η εν λόγω σκηνή βρέθηκε στο τελευταίο κομμάτι του βίντεο.

Μόνο τα αυτοκίνητα που χρησιμοποιούν κλειδιά φαίνονται ευάλωτα σε αυτού του είδους την κλοπή. Τα push-to-start αυτοκίνητα, δηλαδή τα οχήματα που εκκινούνται με το πάτημα ενός κουμπιού, είναι απρόσβλητα.

"Η αναβάθμιση του λογισμικού τροποποιεί ορισμένες μονάδες ελέγχου του οχήματος στα οχήματα Hyundai που είναι εξοπλισμένα με τα τυπικά συστήματα ανάφλεξης "turn-key-to-start"", ανέφερε η Hyundai σε δελτίο τύπου. "Ως αποτέλεσμα, το κλείδωμα των θυρών με το μπρελόκ θα θέσει σε λειτουργία τον εργοστασιακό συναγερμό και θα ενεργοποιήσει μια λειτουργία 'ignition kill', ώστε τα οχήματα να μην μπορούν να εκκινηθούν όταν υπόκεινται στην εκλαϊκευμένη λειτουργία κλοπής. Οι πελάτες πρέπει να χρησιμοποιήσουν το μπρελόκ για να ξεκλειδώσουν τα οχήματά τους για να απενεργοποιήσουν τη λειτουργία 'ignition kill'".

Συνολικά 8,3 εκατομμύρια αυτοκίνητα είναι επιλέξιμα για τη δωρεάν ενημέρωση. Οι ιδιοκτήτες των επηρεαζόμενων μοντέλων Hyundai και Kia ενθαρρύνονται να επισκεφθούν την τοπική τους αντιπροσωπεία για να εγκαταστήσουν την αναβάθμιση λογισμικού. Τα ενημερωμένα οχήματα λαμβάνουν επίσης ένα αυτοκόλλητο στο παρμπρίζ που υποδεικνύει ότι έχουν εξοπλιστεί με αντικλεπτικό λογισμικό.

Η Hyundai θα κυκλοφορήσει επίσης την επιδιόρθωση σε φάσεις, το χρονοδιάγραμμα των οποίων μπορείτε να δείτε στην ιστοσελίδα της. Για την κυκλοφορία στις 14 Φεβρουαρίου (μέρος της Φάσης 1), οι ιδιοκτήτες Hyundai Elantra 2017-2020 μπορούν να λάβουν την ενημέρωση. Το μοντέλο που θα λάβει το patch στη συνέχεια είναι το Accent 2018-2022 τον Ιούνιο του 2023 (μέρος της Φάσης 2). Το χρονοδιάγραμμα για τα υπόλοιπα μοντέλα δεν έχει ακόμη ανακοινωθεί.

Ερευνητές ανακάλυψαν ένα έξυπνο κομμάτι κακόβουλου λογισμικού που διεγείρει κρυφά δεδομένα και εκτελεί κακόβουλο κώδικα από συστήματα Windows, κάνοντας κατάχρηση μιας δυνατότητας στις υπηρεσίες πληροφοριών Internet της Microsoft (IIS - Internet Information Services).

Ο IIS είναι ένας διακομιστής ιστού γενικής χρήσης που εκτελείται σε συσκευές Windows. Ως διακομιστής ιστού, δέχεται αιτήματα από απομακρυσμένους πελάτες και επιστρέφει την κατάλληλη απάντηση. Τον Ιούλιο του 2021, η εταιρεία πληροφοριών δικτύου Netcraft είπε ότι υπήρχαν 51,6 εκατομμύρια συστήματα με IIS κατανεμημένα σε 13,5 εκατομμύρια μοναδικούς τομείς.

Οι υπηρεσίες IIS προσφέρουν μια δυνατότητα που ονομάζεται Failed Request Event Buffering (FREB) που συλλέγει μετρήσεις και άλλα δεδομένα σχετικά με αιτήματα ιστού που λαμβάνονται από απομακρυσμένους πελάτες. Οι διευθύνσεις IP πελάτη και οι κεφαλίδες θύρας και HTTP με cookies είναι δύο παραδείγματα των δεδομένων που μπορούν να συλλεχθούν. Το FREB βοηθά τους διαχειριστές να αντιμετωπίσουν αποτυχημένα αιτήματα ιστού ανακτώντας αυτά που πληρούν ορισμένα κριτήρια από ένα buffer και γράφοντάς τα στο δίσκο. Ο μηχανισμός μπορεί να βοηθήσει στον προσδιορισμό της αιτίας των σφαλμάτων 401 ή 404 ή στην απομόνωση της αιτίας των αιτημάτων που έχουν σταματήσει ή ακυρώνονται.

Οι εγκληματίες χάκερ έχουν καταλάβει πώς να κάνουν κατάχρηση αυτής της δυνατότητας FREB για να διακινήσουν και να εκτελέσουν κακόβουλο κώδικα σε προστατευμένες περιοχές ενός ήδη παραβιασμένου δικτύου. Οι χάκερ μπορούν επίσης να χρησιμοποιήσουν το FREB για να διεισδύσουν δεδομένα από τις ίδιες προστατευμένες περιοχές. Επειδή η τεχνική συνδυάζεται με νόμιμα αιτήματα eeb, παρέχει έναν κρυφό τρόπο για περαιτέρω είσοδο στο παραβιασμένο δίκτυο.

Το κακόβουλο λογισμικό ονομάστηκε Frebniis από ερευνητές της Symantec, οι οποίοι ανέφεραν τη χρήση του την Πέμπτη. Το Frebniis πρώτα διασφαλίζει ότι το FREB είναι ενεργοποιημένο και στη συνέχεια παραλαμβάνει την εκτέλεσή του εισάγοντας κακόβουλο κώδικα στη μνήμη διεργασίας των υπηρεσιών IIS και προκαλώντας την εκτέλεσή του. Μόλις τοποθετηθεί ο κώδικας, το Frebniis μπορεί να επιθεωρήσει όλα τα αιτήματα HTTP που λαμβάνονται από τον διακομιστή IIS.

«Με την διείσδυση και την τροποποίηση του κώδικα διακομιστή ιστού IIS, το Frebniis είναι σε θέση να παρεμποδίσει την τακτική ροή του χειρισμού αιτημάτων HTTP και να αναζητήσει ειδικά διαμορφωμένα αιτήματα HTTP», έγραψαν οι ερευνητές της Symantec. «Αυτά τα αιτήματα επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα και τη διαμεσολάβηση σε εσωτερικά συστήματα κρυφά. Δεν θα εκτελούνται αρχεία ή ύποπτες διεργασίες στο σύστημα, καθιστώντας το Frebniis έναν σχετικά μοναδικό και σπάνιο τύπο HTTP backdoor."

Για να μπορέσει να λειτουργήσει το Frebniis, ένας εισβολέας πρέπει πρώτα να διεισδύσει στο σύστημα των Windows που εκτελεί τον διακομιστή IIS. Οι ερευνητές της Symantec δεν έχουν ακόμη καθορίσει πώς το κάνει αυτό ο Frebniis.

Το Frebniis αναλύει όλα τα αιτήματα HTTP POST χρησιμοποιώντας τα αρχεία logon.aspx ή default.aspx, τα οποία χρησιμοποιούνται για τη δημιουργία σελίδων σύνδεσης και την εξυπηρέτηση προεπιλεγμένων ιστοσελίδων, αντίστοιχα. Οι εισβολείς μπορούν να μεταφέρουν τα αιτήματα σε έναν μολυσμένο διακομιστή στέλνοντας ένα από αυτά τα αιτήματα και προσθέτοντας τον κωδικό πρόσβασης "7ux4398!" ως παράμετρο. Μόλις ληφθεί ένα τέτοιο αίτημα, ο Frebniis αποκρυπτογραφεί και εκτελεί τον κώδικα .Net που ελέγχει τις κύριες λειτουργίες του backdoor. Για να γίνει η διαδικασία πιο δύσκολη να ανιχνευτεί, ο κώδικας δεν αφήνει κανένα αρχείο στο δίσκο.

Ο κώδικας .NET εξυπηρετεί δύο σκοπούς. Πρώτον, παρέχει έναν διακομιστή μεσολάβησης που επιτρέπει στους εισβολείς να χρησιμοποιούν τον παραβιασμένο διακομιστή IIS για να αλληλεπιδρούν ή να επικοινωνούν με εσωτερικούς πόρους που διαφορετικά θα ήταν απρόσιτοι από το Διαδίκτυο. Ο παρακάτω πίνακας δείχνει τις εντολές που έχει προγραμματιστεί να εκτελεί:

Ο δεύτερος σκοπός του κώδικα .Net είναι να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα που παρέχεται από τον εισβολέα στον διακομιστή IIS. Στέλνοντας ένα αίτημα στα αρχεία logon.aspx ή default.aspx που περιλαμβάνει κώδικα γραμμένο σε C#, το Frebniis θα τον αποκωδικοποιήσει αυτόματα και θα τον εκτελέσει στη μνήμη. Για άλλη μια φορά, με την εκτέλεση του κώδικα απευθείας στη μνήμη, το backdoor είναι πολύ πιο δύσκολο να εντοπιστεί.

Δεν είναι σαφές πόσο ευρέως χρησιμοποιείται το Frebniis αυτή τη στιγμή. Η ανάρτηση παρέχει δύο file hashes που σχετίζονται με το backdoor, αλλά δεν εξηγεί πώς να μπορεί να γίνει αναζήτηση σε ένα σύστημα για την ανίχνευσή τους.

Η αναζήτηση στο Google για λήψεις δημοφιλούς λογισμικού ήταν πάντα παρακινδυνευμένη, αλλά τους τελευταίους μήνες έχει γίνει εντελώς επικίνδυνη, σύμφωνα με ερευνητές και μια συλλογή ερωτημάτων, σύμφωνα με την Ars Technica.
«Οι ερευνητές των απειλών έχουν συνηθίσει να βλέπουν μια μέτρια ροή κακόβουλης διαφήμισης μέσω του Google Ads», έγραψαν εθελοντές στο Spamhaus την Πέμπτη. "Ωστόσο, τις τελευταίες ημέρες, οι ερευνητές έγιναν μάρτυρες μιας τεράστιας αύξησης που επηρεάζει πολλές διάσημες μάρκες, με πολλαπλά κακόβουλα προγράμματα που χρησιμοποιούνται. Αυτό δεν είναι "ο κανόνας".

Η αύξηση προέρχεται από πολλές οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook και XLoader. Στο παρελθόν, αυτές οι οικογένειες βασίζονταν συνήθως σε ηλεκτρονικό "ψάρεμα" και κακόβουλο ανεπιθύμητο περιεχόμενο που συνέδεε έγγραφα του Microsoft Word με παγιδευμένες μακροεντολές. Τον περασμένο μήνα, το Google Ads έγινε το ιδανικό μέρος για τους εγκληματίες να διαδώσουν τα κακόβουλα προϊόντα τους που είναι μεταμφιεσμένα ως νόμιμες λήψεις υποδυόμενοι επωνυμίες όπως οι Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor και Thunderbird.

Την ίδια ημέρα που το Spamhaus δημοσίευσε την έκθεσή του, ερευνητές από την εταιρεία ασφαλείας Sentinel One τεκμηρίωσαν μια προηγμένη καμπάνια κακόβουλης διαφήμισης της Google που ωθεί πολλαπλούς κακόβουλους loaders. Ο Sentinel One έχει ονομάσει αυτούς τους φορτωτές MalVirt. Προς το παρόν, οι loaders MalVirt χρησιμοποιούνται για τη διανομή του κακόβουλου λογισμικού που είναι πιο γνωστό ως XLoader, διαθέσιμο τόσο για Windows όσο και για macOS. Το XLoader είναι διάδοχος του κακόβουλου λογισμικού γνωστό και ως Formbook. Οι δράστες απειλών χρησιμοποιούν το XLoader για να κλέψουν δεδομένα επαφών και άλλες ευαίσθητες πληροφορίες από μολυσμένες συσκευές. Οι φορτωτές MalVirt χρησιμοποιούν ασαφή εικονικοποίηση για να αποφύγουν την προστασία και την ανάλυση τελικού σημείου (end point protection and analysis). Για να συγκαλύψει την πραγματική κυκλοφορία C2 και να αποφύγει τις ανιχνεύσεις δικτύου, το MalVirt χρησιμοποιεί "φάρους" για να παραπλανήσει τους διακομιστές εντολών και ελέγχου που φιλοξενούνται σε παρόχους όπως οι Azure, Tucows, Choopa και Namecheap.
"Μέχρι η Google να βρεί νέες άμυνες, οι τομείς παραπλάνησης και άλλες τεχνικές συσκότισης παραμένουν ένας αποτελεσματικός τρόπος απόκρυψης των διακομιστών πραγματικού ελέγχου που χρησιμοποιούνται στις ανεξέλεγκτες καμπάνιες MalVirt και σε άλλες καμπάνιες κακόβουλης διαφήμισης", καταλήγει ο δικτυακός τόπος Ars Technica. "Είναι σαφές αυτή τη στιγμή ότι οι κακόβουλοι διαφημιστές έχουν κερδίσει το πάνω χέρι έναντι της σημαντικής ισχύος της Google."

Οι εταιρίες που χρησιμοποιούν το Microsoft Defender for Endpoint θα μπορούν πλέον να απομονώνουν συσκευές Linux από τα δίκτυά τους για να περιορίζουν τυχόν εισβολές και οτιδήποτε άλλο μπορεί να προκύψει. Η δυνατότητα απομόνωσης συσκευής είναι σε δημόσια προεπισκόπηση και αντικατοπτρίζει αυτό που κάνει ήδη το προϊόν για τα συστήματα με Windows.

«Ορισμένα σενάρια επίθεσης μπορεί να απαιτήσουν από εσάς να απομονώσετε μια συσκευή από το δίκτυο», έγραψε η Microsoft σε μια ανάρτηση ιστολογίου. "Αυτή η ενέργεια μπορεί να βοηθήσει στην αποτροπή του εισβολέα από τον έλεγχο της παραβιασμένης συσκευής και την εκτέλεση περαιτέρω δραστηριοτήτων, όπως η εξαγωγή δεδομένων και η περαιτέρω διείσδυση."

Οι εισβολείς δεν θα μπορούν να συνδεθούν με τη συσκευή ή να εκτελέσουν λειτουργίες όπως η ανάληψη μη εξουσιοδοτημένου ελέγχου του συστήματος ή η κλοπή ευαίσθητων δεδομένων, ισχυρίζεται η Microsoft. Σύμφωνα με τον προμηθευτή, όταν η συσκευή είναι απομονωμένη, περιορίζεται στις διαδικασίες και στους προορισμούς Ιστού που επιτρέπονται. Αυτό σημαίνει ότι αν βρίσκονται πίσω από μια πλήρη σήραγγα VPN, δεν θα μπορούν να προσεγγίσουν τις υπηρεσίες cloud της Microsoft Defender for Endpoint.

Η Microsoft συνιστά στις επιχειρήσεις να χρησιμοποιούν ένα split-tunneling VPN για κίνηση που βασίζεται σε σύννεφο και για το Defender for Endpoint και για το Defender Antivirus. Μόλις ξεκαθαριστεί η κατάσταση που προκάλεσε την απομόνωση, οι οργανισμοί θα μπορούν να επανασυνδέσουν τη συσκευή στο δίκτυο.

Η απομόνωση του συστήματος γίνεται μέσω API. Οι χρήστες μπορούν να μεταβούν στη σελίδα συσκευής των συστημάτων Linux μέσω της πύλης Microsoft 365 Defender, όπου θα δουν μια καρτέλα "Απομόνωση συσκευής" επάνω δεξιά μεταξύ των άλλων ενεργειών. Η Microsoft έχει παρουσιάσει τα API τόσο για την απομόνωση της συσκευής όσο και για την απελευθέρωσή της από το κλείδωμα.

Οι συσκευές Linux που μπορούν να χρησιμοποιήσουν το Defender για Endpoint περιλαμβάνουν τις Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Amazon Web Services (AWS) Linux και Fedora.

Η απομόνωση συσκευών Linux είναι το πιο πρόσφατο χαρακτηριστικό ασφαλείας που έχει θέσει η Microsoft στην υπηρεσία cloud. Νωρίτερα αυτό το μήνα, η εταιρεία επέκτεινε την προστασία από παραβιάσεις για το Defender for Endpoint για να συμπεριλάβει εξαιρέσεις προστασίας από ιούς.

Όλα αυτά αποτελούν μέρος ενός ευρύτερου σχεδίου ενίσχυσης του Defender με προσοχή στον ανοιχτό κώδικα. Στην έκθεσή της στο Ignite τον Οκτώβριο του 2022, η Microsoft ανακοίνωσε ότι ενσωματώνει την πλατφόρμα παρακολούθησης δικτύου ανοιχτού κώδικα Zeek ως στοιχείο του Defender for Endpoint για βαθιά επιθεώρηση πακέτων της κυκλοφορίας δικτύου.

Επίσης στην εκδήλωση, η εταιρία μίλησε για τις νέες δυνατότητες που στοχεύουν να επιτρέψουν στις ομάδες επιχειρήσεων ασφαλείας να ανιχνεύουν νωρίτερα επιθέσεις εντολής και ελέγχου (C2), επιτρέποντάς τους να περιορίσουν την εξάπλωση της ζημιάς και να αφαιρέσουν κακόβουλα αρχεία.

Η νέα λειτουργικότητα έρχεται επίσης μόλις δύο εβδομάδες αφότου οι ενημερώσεις στο Defender for Endpoint τρόμαξαν τους επαγγελματίες ασφαλείας –την Παρασκευή 13– αφαιρώντας ακούσια εικονίδια και συντομεύσεις εφαρμογών από την επιφάνεια εργασίας, τη γραμμή εργασιών και το μενού Έναρξης στα συστήματα Windows 10 και 11. Η Microsoft διόρθωσε το πρόβλημα, αλλά ακόμα και πάλι κάποιοι χρήστες έχασαν ορισμένα αρχεία.

Ερευνητές εντόπισαν το κακόβουλο λογισμικό SwiftSlicer που αναπτύχθηκε κατά τη διάρκεια μιας κυβερνοεπίθεσης που στόχευε σε καταστήματα τεχνολογίας της Ουκρανίας. Το λογισμικό κακόβουλου λογισμικού γράφτηκε χρησιμοποιώντας μια γλώσσα πολλαπλών πλατφορμών που ονομάζεται Golang, πιο γνωστή ως Go, και χρησιμοποιεί επίθεση πολιτικής ομάδας Active Directory (AD).

Η ανακοίνωση σημειώνει ότι το κακόβουλο λογισμικό που προσδιορίζεται ως WinGo/Killfiles.C. Κατά την εκτέλεση, το SwiftSlicer διαγράφει σκιώδη αντίγραφα και αντικαθιστά αναδρομικά τα αρχεία και, στη συνέχεια, επανεκκινεί τον υπολογιστή. Αντικαθιστά τα δεδομένα χρησιμοποιώντας μπλοκ μήκους 4.096 byte που αποτελούνται από τυχαία δημιουργημένα byte. Τα αρχεία που έχουν αντικατασταθεί βρίσκονται συνήθως στα %CSIDL_SYSTEM%\drivers, στο %CSIDL_SYSTEM_DRIVE%\Windows\NTDS και σε πολλές άλλες θέσεις, εκτός συστήματος.

Οι αναλυτές απέδωσαν το κακόβουλο λογισμικό τύπου wiper στην ομάδα hacking Sandworm, η οποία εξυπηρετεί την Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU) και το Κύριο Κέντρο Ειδικών Τεχνολογιών (GTsST). Η τελευταία επίθεση θυμίζει τις πρόσφατες επιθέσεις με τα HermeticWiper και CaddyWiper που αναπτύχθηκαν κατά τη διάρκεια της εισβολής της Ρωσίας.

Οι ερευνητές παρατήρησαν ότι οι χάκερ μόλυναν τους στόχους και στις τρεις επιθέσεις μέσω του ίδιου φορέα που βασίζεται σε Active Directory. Οι ομοιότητες στις μεθόδους ανάπτυξης κάνουν την ESET να πιστεύει ότι η ομάδα Sandworm μπορεί να είχε πάρει τον έλεγχο των περιβαλλόντων Active Directory του στόχου τους πριν ξεκινήσει η επίθεση.

Το να πούμε ότι η ομάδα Sandworm ήταν απασχολημένη από τη σύγκρουση στην Ουκρανία θα ήταν υποτιμητικό. Η Ουκρανική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT-UA) ανακάλυψε πρόσφατα έναν άλλο συνδυασμό πολλών πακέτων κακόβουλου λογισμικού που διαγράφουν δεδομένα να έχουν αναπτυχθεί στα δίκτυα του πρακτορείου ειδήσεων Ukrinform. Οι επιθέσεις κακόβουλου λογισμικού στόχευαν συστήματα Windows, Linux και FreeBSD και τα μόλυναν με πολλαπλά φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένων των CaddyWiper, ZeroWipe, SDelete, AwfulShred και BidSwipe.

Σύμφωνα με το CERT-UA, οι επιθέσεις ήταν μόνο εν μέρει επιτυχείς. Ένα από τα πακέτα κακόβουλου λογισμικού της ομάδας Sandworm, το CaddyWiper, ανακαλύφθηκε επίσης σε μια αποτυχημένη επίθεση που είχε στόχο έναν από τους μεγαλύτερους παρόχους ενέργειας της Ουκρανίας τον Απρίλιο του 2022. Ερευνητές της ESET βοήθησαν κατά τη διάρκεια αυτής της επίθεσης συνεργαζόμενοι με το CERT-UA για την αποκατάσταση και την προστασία του δικτύου.

Το Bitwarden και άλλοι διαχειριστές κωδικών πρόσβασης στοχεύονται σε καμπάνιες ηλεκτρονικού "ψαρέματος" διαφημίσεων Google για να κλέψουν τα διαπιστευτήρια αποθήκευσης κωδικών πρόσβασης των χρηστών. 

Την αυτή τη βδομάδα, οι χρήστες του Bitwarden άρχισαν να βλέπουν μια διαφήμιση Google με τίτλο "Bitward - Password Manager" στα αποτελέσματα αναζήτησης για "bitwarden password manager". Ο αρθρογράφος του BleepingComputer δεν μπόρεσε να αναπαραγάγει αυτήν τη διαφήμιση, οι χρήστες του Bitwarden την είδαν στο Reddit [1, 2] και στο φόρουμ του Bitwarden.

Ο τομέας που χρησιμοποιήθηκε στη διαφήμιση ήταν ο "appbitwarden.com" και, ανακατεύθυνε τους χρήστες στον ιστότοπο "bitwardenlogin.com".

Η σελίδα στο 'bitwardenlogin.com' ήταν ένα ακριβές αντίγραφο της νόμιμης σελίδας σύνδεσης του Bitwarden Web Vault, όπως φαίνεται παρακάτω.

Σε δοκιμές που έκανε το bleepingcomputer.com, η σελίδα ηλεκτρονικού ψαρέματος δέχεται διαπιστευτήρια και, αφού αυτά υποβληθούν, θα ανακατευθύνει τους χρήστες στη νόμιμη σελίδα σύνδεσης του Bitwarden. Ωστόσο, οι αρχικές δοκιμές τους χρησιμοποίησαν πλαστά διαπιστευτήρια και η σελίδα σταμάτησε να λειτουργεί τη στιγμή που ξεκίνησαν τη δοκιμή με πραγματικά διαπιστευτήρια σύνδεσης δοκιμαστικού λογαριασμού Bitwarden. Επομένως, δεν είναι δυνατό να διαπιστώσουν εάν η σελίδα ηλεκτρονικού ψαρέματος θα επιχειρούσε επίσης να υποκλέψει cookie περιόδου σύνδεσης που υποστηρίζονται από MFA (authentication tokens) όπως κάνουν πολλές προηγμένες σελίδες ηλεκτρονικού ψαρέματος.

Είναι σημαντικό να προστατεύετε σωστά τα θησαυροφυλάκια (Vaults) κωδικών πρόσβασης σας. Η πρώτη γραμμή άμυνας είναι πάντα να επιβεβαιώσετε ότι εισάγετε τα διαπιστευτήριά σας στον σωστό ιστότοπο. Εκτός από αυτό, σημαντικό είναι να χρησιμοποιείτε μεθόδους πολλαπλών παραγόντων MFA (multi-factor authentication). Οι καλύτερες μέθοδοι επαλήθευσης MFA που μπορείτε να χρησιμοποιήσετε κατά την ασφάλεια του λογαριασμού σας, από το καλύτερο στο χειρότερο, είναι τα κλειδιά ασφαλείας υλικού (τα καλύτερα αλλά πιο δυσκίνητα), μια εφαρμογή ελέγχου ταυτότητας (καλή και πιο εύκολη στη χρήση) και η επαλήθευση SMS (μπορεί να παραβιαστεί σε επιθέσεις sim swapping).

Εκατοντάδες μητρικές της MSI είναι ευάλωτες σε κακόβουλο λογισμικό. Όπως αναφέρει το BleepingComputer, η ευπάθεια ανακαλύφθηκε από τον Πολωνό ερευνητή ασφαλείας Dawid Potocki όταν αποφάσισε να εγκαταστήσει το Secure Boot στον νέο του επιτραπέζιο υπολογιστή. 

Αυτό που βρήκε ο Potocki ήταν ότι η MSI είχε αλλάξει τις προεπιλεγμένες ρυθμίσεις Secure Boot στο firmware της, έτσι ώστε μια επιλογή που ονομάζεται "Image Execution Policy" να είναι ορισμένη σε "Always Execute". Σημαίνει ότι ακόμα κι αν εντοπιστούν παραβιάσεις ασφαλείας και το λειτουργικό σύστημα δεν είναι αξιόπιστο, η μητρική θα του επιτρέψει να εκτελεστεί.

Οι τελικοί χρήστες δεν θα έχουν ιδέα ότι το σύστημά τους είναι ευάλωτο, εκτός εάν αποφασίσουν να ελέγξουν οι ίδιοι τις ρυθμίσεις Secure Boot. Ακόμα χειρότερο, είναι το γεγονός ότι ο Potocki ανακάλυψε ότι περισσότερες από 290 μητρικές MSI κινδυνεύουν, με την πλήρη λίστα να είναι διαθέσιμη για προβολή στο GitHub.

Εάν έχετε μητρική MSI η οποία επηρεάζεται από την εν λόγω ευπάθεια, η καλύτερη ενέργεια είναι να ενημερώσετε το firmware και στη συνέχεια ελέγξτε ότι η το Image Execution Policy έχει οριστεί σε "Deny Execute" για "Removable Media" και "Fixed Media".

Η Gen Digital, πρώην Symantec Corporation και NortonLifeLock, στέλνει ειδοποιήσεις παραβίασης δεδομένων στους πελάτες, ενημερώνοντάς τους ότι χάκερ έχουν παραβιάσει με επιτυχία λογαριασμούς Norton Password Manager σε πρόσφατες επιθέσεις.

Σύμφωνα με επιστολή που κοινοποιήθηκε στο Γραφείο του Γενικού Εισαγγελέα του Βερμόντ, οι επιθέσεις δεν προέκυψαν από παραβίαση της εταιρείας αλλά από παραβίαση λογαριασμού σε άλλες πλατφόρμες.

"Τα δικά μας συστήματα δεν παραβιάστηκαν. Ωστόσο, πιστεύουμε ακράδαντα ότι ένα μη εξουσιοδοτημένο τρίτο μέρος γνωρίζει και έχει χρησιμοποιήσει το όνομα χρήστη και τον κωδικό πρόσβασής σας για τον λογαριασμό σας", δήλωσε η NortonLifeLock.

"Αυτός ο συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης ενδέχεται να είναι επίσης γνωστός σε άλλους."

Πιο συγκεκριμένα, η ειδοποίηση εξηγεί ότι γύρω στην 1η Δεκεμβρίου 2022, ένας εισβολέας χρησιμοποίησε κωδικούς ονόματος χρήστη και κωδικού πρόσβασης που αγόρασε από το dark web για να προσπαθήσει να συνδεθεί σε λογαριασμούς πελατών Norton.

Η εταιρεία εντόπισε «έναν ασυνήθιστα μεγάλο όγκο» αποτυχημένων προσπαθειών σύνδεσης στις 12 Δεκεμβρίου 2022, υποδεικνύοντας επιθέσεις credential stuffing όπου οι επιτιθέμενοι δοκιμάζουν τα διαπιστευτήρια μαζικά.

Μέχρι τις 22 Δεκεμβρίου 2022, η εταιρεία είχε ολοκληρώσει την εσωτερική της έρευνα, η οποία αποκάλυψε ότι οι επιθέσεις credential stuffing είχαν θέσει σε κίνδυνο έναν άγνωστο αριθμό λογαριασμών πελατών.

Σύμφωνα με την NortonLifeLock, "Κατά την πρόσβαση στον λογαριασμό σας με το όνομα χρήστη και τον κωδικό πρόσβασής σας, το μη εξουσιοδοτημένο τρίτο μέρος μπορεί να έχει δει το όνομα, το επώνυμο, τον αριθμό τηλεφώνου και την ταχυδρομική σας διεύθυνση"

Για πελάτες που χρησιμοποιούν το Norton Password Manager, η προειδοποιούνται ότι οι εισβολείς ενδέχεται να είχαν λάβει στοιχεία αποθηκευμένα στα ιδιωτικά vaults τους.

Ανάλογα με το τι αποθηκεύουν οι χρήστες στους λογαριασμούς τους, αυτό θα μπορούσε να οδηγήσει σε παραβίαση άλλων διαδικτυακών λογαριασμών, κλοπή ψηφιακών στοιχείων, αποκάλυψη μυστικών και πολλά άλλα.

Το NortonLifeLock υπογραμμίζει ότι ο κίνδυνος είναι ιδιαίτερα μεγάλος για όσους χρησιμοποιούν παρόμοιους κωδικούς πρόσβασης λογαριασμού Norton και του Password Manager, επιτρέποντας στους εισβολείς να μεταβούν πιο εύκολα από τον ένα λογαριασμό στον άλλο.

Η εταιρεία λέει ότι έχει επαναφέρει τους κωδικούς πρόσβασης Norton σε λογαριασμούς που επηρεάζονται για να αποτρέψει τους εισβολείς από το να αποκτήσουν ξανά πρόσβαση σε αυτούς στο μέλλον και επίσης εφάρμοσε πρόσθετα μέτρα για την αντιμετώπιση των κακόβουλων προσπαθειών.

Το NortonLifeLock συμβουλεύει επίσης τους πελάτες να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων για να προστατεύσουν τους λογαριασμούς τους και να ανταποκριθούν στην προσφορά για μια υπηρεσία παρακολούθησης πιστώσεων.

Η εταιρεία δεν έχει ακόμη αποκαλύψει τον ακριβή αριθμό των ανθρώπων που επηρεάστηκαν από αυτό το περιστατικό. Το BleepingComputer έχει επικοινωνήσει με το NortonLifeLock και έλαβε τη παρακάτω δήλωση:

"Η οικογένεια εταιριών της Gen προσφέρει προϊόντα και υπηρεσίες σε περίπου 500 εκατομμύρια χρήστες. Έχουμε ασφαλίσει 925.000 ανενεργούς και ενεργούς λογαριασμούς που μπορεί να έχουν γίνει στόχος επιθέσεων credential stuffing.

Η κορυφαία προτεραιότητά μας είναι να βοηθήσουμε τους πελάτες μας να εξασφαλίσουν την ψηφιακή τους ζωή. Η ομάδα ασφαλείας μας εντόπισε μεγάλο αριθμό προσπαθειών σύνδεσης λογαριασμού Norton που υποδεικνύουν επιθέσεις credential stuffing που στοχεύουν τους πελάτες μας και λάβαμε γρήγορα μια ποικιλία ενεργειών για να βοηθήσουμε στην ασφάλεια των λογαριασμών των πελατών μας και των προσωπικών τους στοιχείων. Τα συστήματα δεν έχουν παραβιαστεί και είναι ασφαλή και λειτουργικά, αλλά όπως είναι πολύ συνηθισμένο στον σημερινό κόσμο οι επιτιθέμενοι να παίρνουν διαπιστευτήρια που βρίσκονται αλλού, όπως ο σκοτεινός ιστός, και να δημιουργούν αυτοματοποιημένες επιθέσεις για να αποκτήσουν πρόσβαση σε άλλους άσχετους λογαριασμούς.

Παρακολουθούμε στενά, επισημαίνουμε λογαριασμούς με ύποπτες προσπάθειες σύνδεσης και απαιτούμε προληπτικά από αυτούς τους πελάτες να επαναφέρουν τους κωδικούς πρόσβασής τους κατά τη σύνδεσή τους μαζί με πρόσθετα μέτρα ασφαλείας για την προστασία των πελατών μας. Συνεχίζουμε να εργαζόμαστε με τους πελάτες μας για να τους βοηθήσουμε να προστατεύσουν τους λογαριασμούς και τα προσωπικά τους στοιχεία."

Σοβαρό πρόβλημα στις παραδόσεις της Royal Mail στο εξωτερικό έχει προκληθεί από ransomware που συνδέεται με Ρώσους εγκληματίες, σύμφωνα με το BBC.Η κυβερνοεπίθεση έχει επηρεάσει τα συστήματα υπολογιστών που χρησιμοποιεί η Royal Mail για την αποστολή αλληλογραφίας στο εξωτερικό. Η τελευταία συμβουλή της εταιρίας στο κοινό είναι να μην προσπαθούν να στείλουν διεθνείς επιστολές και δέματα μέχρι να επιλυθεί το πρόβλημα.

Το ransomware που χρησιμοποιήθηκε στην επίθεση είναι το "Lockbit". Το BBC είδε ένα σημείωμα για τα λύτρα που στάλθηκε στη Royal Mail το οποίο γράφει: «Τα δεδομένα σας έχουν κλαπεί και κρυπτογραφηθεί». Το ποσό των λύτρων αναμένεται να ανέλθει σε εκατομμύρια, αν και πηγές κοντά στην έρευνα αναφέρουν ότι υπάρχουν «λύσεις» για να επαναλειτουργήσει το σύστημα. Σύμφωνα με την νόρμα, θα δοθεί κάποια προθεσμία και είναι πιθανό να απειλούν τη Royal Mail με την προοπτική της δημοσίευσης δυνητικών ευαίσθητων δεδομένων.

Οι επιθέσεις ransomware είναι μια επίμονη απειλή για οργανισμούς σε όλο τον κόσμο, με τις επιθέσεις να συμβαίνουν σχεδόν σε καθημερινή βάση. Αλλά αυτή η κατάσταση είναι εξαιρετικά σημαντική, καθώς η Royal Mail είναι αυτό που θεωρείται «κρίσιμης σημασίας εθνική υποδομή» - δηλαδή είναι κρίσιμο για την οικονομία του Ηνωμένου Βασιλείου. Η επίθεση δεν επηρεάζει μόνο μια εταιρεία και τους πελάτες της, αλλά τις επικοινωνίες και τις επιχειρήσεις των πολιτών στο εσωτερικό και στο εξωτερικό.

Το LockBit πιστεύεται ότι έχει ισχυρές ρωσικές ρίζες, αλλά αυτός που πραγματοποίησε την επίθεση θα μπορούσε να είναι οπουδήποτε.

Τον Νοέμβριο, ένας Ρωσο-Καναδός υπήκοος συνελήφθη επειδή φέρεται να διενεργούσε επιθέσεις με το LockBit από τον Καναδά.

Η εταιρεία εξακολουθεί να μην μπορεί να στείλει επιστολές και δέματα στο εξωτερικό και λέει ότι «εργάζεται σκληρά» για να διορθώσει το πρόβλημα. Υπάρχουν επίσης μικρές καθυστερήσεις για την αποστολή στο Ηνωμένο Βασίλειο, αλλά οι εγχώριες παραδόσεις δεν επηρεάζονται. Ανέφερε ότι ορισμένοι πελάτες που είχαν αποστείλει αντικείμενα στο εξωτερικό ακόμη και πριν από το "συμβάν" ενδέχεται να δουν καθυστερήσεις. Ένας εκπρόσωπος της Εθνικής Υπηρεσίας Εγκλήματος δήλωσε ότι «γνωρίζει για ένα περιστατικό που έπληξε τη Royal Mail» και εργαζόταν μαζί με το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο, το οποίο αποτελεί μέρος της υπηρεσίας κυβερνο-πληροφοριών του Ηνωμένου Βασιλείου GCHQ, για να κατανοήσει τον αντίκτυπό του.

Το σύστημα back office που έχει επηρεαστεί χρησιμοποιείται από τη Royal Mail για την προετοιμασία αλληλογραφίας για αποστολή στο εξωτερικό και για την παρακολούθηση και τον εντοπισμό αντικειμένων στο εξωτερικό. Χρησιμοποιείται σε έξι τοποθεσίες, συμπεριλαμβανομένου του τεράστιου κέντρου διανομής της Royal Mail στο Heathrow και στο Slough, καθώς και του χώρου του στο Bristol.

Σήμερα, η Intel ανακοίνωσε την κυκλοφορία των επεξεργαστών Intel Xeon 4ης γενιάς και των CPU και GPU της σειράς Intel Max, παράλληλα με την κυκλοφορία μιας λύσης ασφάλειας δεδομένων για εικονικές μηχανές (VM) και μιας ανεξάρτητης υπηρεσίας επαλήθευσης εμπιστοσύνης που θα βοηθήσει στη δημιουργία του "πιο ολοκληρωμένου εμπιστευτικού χαρτοφυλακίου της βιομηχανίας υπολογιστών."

Η λύση απομόνωσης VM της Intel, Intel Trust Domain Extension (TDX), έχει σχεδιαστεί για να προστατεύει τα δεδομένα που είναι αποθηκευμένα στα VM μέσα σε ένα αξιόπιστο περιβάλλον εκτέλεσης (TEE-Τrusted Εxecution Εnvironment) που είναι απομονωμένο από το υπόλοιπο υλικό. Αυτό σημαίνει ότι τα δεδομένα που υποβάλλονται σε επεξεργασία εντός του ΤΕΕ δεν είναι προσβάσιμα από τους παρόχους υπηρεσιών cloud.

Ο οργανισμός επιβεβαίωσε επίσης ότι το Project Amber, η υπηρεσία επαλήθευσης εμπιστοσύνης και πιστοποίησης λογισμικού σε πολλά συστήματα cloud, θα ξεκινήσει στα μέσα του 2023, για να βοηθήσει τις επιχειρήσεις να επαληθεύσουν την αξιοπιστία των TEE.

Μέσω της επέκτασης του εμπιστευτικού υπολογιστικού της οικοσυστήματος, η Intel στοχεύει να προσφέρει στους οργανισμούς ένα σύνολο λύσεων για την προστασία των δεδομένων κατά τη μεταφορά και την αποθήκευση, ώστε να μπορούν να δημιουργούν πληροφορίες σε εσωτερικό χώρο σε συστήματα cloud και edge, ενώ να επαληθεύουν την ακεραιότητα των στοιχείων και του λογισμικού που παρέχει αυτά τα σύνολα δεδομένων.