Μετά από σύντομες «διακοπές», η συμμορία hacking Lapsus$ επέστρεψε. Σε μια ανάρτηση που κοινοποιήθηκε μέσω του καναλιού Telegram της ομάδας την Τετάρτη, η Lapsus$ ισχυρίστηκε ότι έκλεψε 70 GB δεδομένων από την Globant -- μια διεθνή εταιρεία ανάπτυξης λογισμικού με έδρα το Λουξεμβούργο, η οποία έχει ορισμένες από τις μεγαλύτερες εταιρείες στον κόσμο ως πελάτες. 
Στιγμιότυπα οθόνης των χακαρισμένων δεδομένων, που δημοσιεύθηκαν αρχικά από την ομάδα Lapsus$ και κοινοποιήθηκαν στο Twitter από τον ερευνητή ασφαλείας Dominic Alvieri, φάνηκαν να δείχνουν φακέλους με τα ονόματα μιας σειράς παγκόσμιων επιχειρήσεων: μεταξύ αυτών ήταν η εταιρεία παράδοσης και εφοδιαστικής DHL, το αμερικανικό καλωδιακό δίκτυο C-Span , και η γαλλική τράπεζα BNP Paribas. Στη λίστα ήταν επίσης οι τεχνολογικοί γίγαντες Facebook και Apple, με τον τελευταίο να αναφέρεται σε έναν φάκελο με τίτλο «apple-health-app». Τα δεδομένα φαίνεται να αποτελούν υλικό ανάπτυξης για την εφαρμογή BeHealthy της Globant, η οποία περιγράφεται σε προηγούμενο δελτίο τύπου ως λογισμικό που αναπτύχθηκε σε συνεργασία με την Apple για την παρακολούθηση των συμπεριφορών υγείας των εργαζομένων χρησιμοποιώντας λειτουργίες του Apple Watch.

Εικονογράφηση Carlo Cadenas / The Verge

Μια «ισχυρή» κυβερνοεπίθεση έπληξε τη μεγαλύτερη εταιρεία τηλεπικοινωνιών της Ουκρανίας, την Ukrtelecom. Περιγράφεται ως η πιο σοβαρή κυβερνοεπίθεση από την έναρξη της ρωσικής εισβολής τον Φεβρουάριο, η οποία έχει ρίξει όλες τις υπηρεσίες της εταιρείας σε όλη τη χώρα.
Ο Victor Zhora, αναπληρωτής επικεφαλής της Κρατικής Υπηρεσίας Ειδικών Επικοινωνιών και Προστασίας Πληροφοριών, επιβεβαίωσε στο Forbes ότι η κυβέρνηση ερευνά την επίθεση. Είπε ότι δεν είναι ακόμη γνωστό εάν η Ukrtelecom -- πάροχος τηλεφώνου, διαδικτύου και κινητής τηλεφωνίας -- έχει πληγεί από επίθεση κατανεμημένης άρνησης υπηρεσίας (DDoS) ή από μια βαθύτερη, πιο εξελιγμένη εισβολή.

Η επίθεση έχει ανακοινωθεί μόνο από την Ukrtelecom σε απαντήσεις σε σχόλια πελατών στο Facebook. Σε ένα, απάντησε λέγοντας ότι οι υπηρεσίες ήταν εκτός λειτουργίας ως αποτέλεσμα μιας «ισχυρής κυβερνοεπίθεσης του εχθρού». Όταν το Forbes έστειλε μήνυμα στην Ukrtelecom μέσω Facebook, δόθηκε μια αυτοματοποιημένη απάντηση που έγραφε: "Προς το παρόν, υπάρχουν δυσκολίες στη χρήση της υπηρεσίας διαδικτύου από την Ukrtelecom. Οι ειδικοί μας κάνουν ό,τι είναι δυνατό για να επιλύσουν αυτό το πρόβλημα το συντομότερο δυνατό. Λόγω του μη φυσιολογικού φορτίου και προβλήματα με εσωτερικά συστήματα, οι χειριστές του κέντρου επικοινωνίας και του Facebook δεν μπορούν να επεξεργαστούν αιτήματα πελατών."

Η NetBlocks, η οποία παρακολουθεί τις διακοπές λειτουργίας του Διαδικτύου σε όλο τον κόσμο, διαπίστωσε ότι η Ukrtelecom αντιμετώπιζε διαταραχές στις υπηρεσίες της από σήμερα το πρωί, καταρρέοντας στο 13% της κανονικής απόδοσής της πριν το πόλεμο.

Συστήματα βασισμένα σε Windows αντιμετώπισαν σήμερα ένα κύμα ψευδών θετικών στοιχείων του Microsoft Defender for Endpoint. Για κάποιο λόγο, οι ενημερώσεις του Office επισημάνθηκαν ως κακόβουλες και πιο συγκεκριμένα σημάνθηκαν ως ransomware βάσει της συμπεριφοράς τους.

Σύμφωνα με αναφορές διαχειριστών συστήματος που αντιμετώπισαν αυτό το πρόβλημα, αυτό ξεκίνησε να συμβαίνει πριν από αρκετές ώρες και, σε ορισμένες περιπτώσεις, οδήγησε σε ειδοποιήσεις για ransomware σε καταιγιστικό ρυθμό. Μετά την αύξηση των αναφορών, η Microsoft επιβεβαίωσε ότι οι ενημερώσεις του Office επισημάνθηκαν κατά λάθος ως δραστηριότητα ransomware λόγω ψευδώς θετικών στοιχείων. Η εταιρία πρόσθεσε ότι οι μηχανικοί της ενημέρωσαν τη μηχανή εντοπισμού στο cloud για να αποτρέψουν την εμφάνιση μελλοντικών ειδοποιήσεων και να αφαιρέσουν τα προηγούμενα ψευδώς θετικά.

"Ξεκινώντας το πρωί της 16ης Μαρτίου, οι πελάτες μπορεί να αντιμετώπισαν μια σειρά ψευδώς θετικών ανιχνεύσεων που αποδίδονται σε ανίχνευση συμπεριφοράς Ransomware στο σύστημα αρχείων. Οι διαχειριστές μπορεί να είδαν ότι οι εσφαλμένες ειδοποιήσεις είχαν τίτλο "Συμπεριφορά ransomware ανιχνεύθηκε στο το σύστημα αρχείων» και οι ειδοποιήσεις ενεργοποιήθηκαν για το OfficeSvcMgr.exe», δήλωσε η Microsoft μετά τις αναφορές των χρηστών.

"Η έρευνά μας διαπίστωσε ότι μια πρόσφατα εφαρμοσμένη ενημέρωση σε στοιχεία υπηρεσίας που ανιχνεύει ειδοποιήσεις ransomware εισήγαγε ένα ζήτημα κώδικα που προκαλούσε την ενεργοποίηση ειδοποιήσεων όταν δεν υπήρχε πρόβλημα. Αναπτύξαμε μια ενημέρωση κώδικα για να διορθώσουμε το πρόβλημα και να διασφαλίσουμε ότι δεν θα υπάρχουν νέες ειδοποιήσεις στάλθηκαν και επεξεργαστήκαμε εκ νέου μια συσσώρευση ειδοποιήσεων για την πλήρη αποκατάσταση των επιπτώσεων."

Μετά την κυκλοφορία της ενημέρωσης της μηχανής εντοπισμού στο cloud, οι εσφαλμένες ειδοποιήσεις δραστηριότητας ransomware δεν θα δημιουργούνται πλέον. Όλα τα καταγεγραμμένα ψευδώς θετικά θα πρέπει επίσης να διαγράφονται αυτόματα από το portal, χωρίς να απαιτείται η παρέμβαση των διαχειριστών.

Ο Aleksei Burkov, ένας κυβερνοεγκληματίας που διαχειριζόταν εδώ και πολύ καιρό δύο από τα πιο γνωστά φόρουμ hacking της Ρωσίας, συνελήφθη το 2015 από τις ισραηλινές αρχές. Η ρωσική κυβέρνηση προσπάθησε να εμποδίσει την έκδοση του Burkov στις ΗΠΑ για τέσσερα χρόνια - ακόμη και συλλαμβάνοντας και φυλάκίζοντας μια Ισραηλινή γυναίκα για να αναγκάσει την ανταλλαγή κρατουμένων. Αυτή η προσπάθεια απέτυχε: ο Burkov στάλθηκε στην Αμερική, ομολόγησε την ενοχή του και καταδικάστηκε σε εννέα χρόνια φυλάκιση. Αλλά λίγο περισσότερο από ένα χρόνο αργότερα, απελευθερώθηκε αθόρυβα και απελάθηκε πίσω στη Ρωσία. Τώρα ορισμένοι Ρεπουμπλικάνοι νομοθέτες ρωτούν γιατί ένας Ρώσος χάκερ που κάποτε είχε χαρακτηριστεί ως «ανώτερης σημασίας περιουσιακό στοιχείο» του επετράπει να εκτίσει μειωμένη θητεία στη φυλακή.

"Ένας εκπρόσωπος του ICE δήλωσε ότι ο Burkov καταζητείται από τις ρωσικές αρχές και ένας εκπρόσωπος του DOJ αρνήθηκε ότι πραγματοποιήθηκε ανταλλαγή κρατουμένων", αναφέρει η επιστολή. «Η απόφαση για την πρόωρη απελευθέρωση του Burkov είναι περίεργη, δεδομένου των προσπαθειών που έκανε η κυβέρνηση των ΗΠΑ για να εξασφαλίσει τη σύλληψη του Burkov». Η επιστολή, υπογεγραμμένη από τα μέλη της Βουλής των Επιτροπών Δικαιοσύνης, Εσωτερικής Ασφάλειας, Πληροφοριών και Εξωτερικών Υποθέσεων, ζητούσε να μάθει γιατί ο Burkov αφέθηκε πρόωρα ελεύθερος και αν οι ΗΠΑ έλαβαν κάτι σε αντάλλαγμα. Οι νομοθέτες ζήτησαν επίσης μια λίστα με όλους τους Ρώσους υπηκόους που καταδικάστηκαν για εγκλήματα στις ΗΠΑ, οι οποίοι αφέθηκαν ελεύθεροι νωρίς από τότε που ανέλαβε τα καθήκοντά του ο Πρόεδρος Biden.

Τα αρχεία δείχνουν ότι ο Burkov βρισκόταν υπό κράτηση είτε των ισραηλινών είτε των αμερικανικών αρχών για σχεδόν πέντε χρόνια πριν από την καταδίκη του το 2020. Κατά τη στιγμή της αποφυλάκισής του, ο Burkov ήταν ήδη φυλακισμένος για σχεδόν έξι χρόνια. Πού πήγαν λοιπόν τα άλλα χρόνια της ποινής του; Αυτό παραμένει ασαφές, αλλά είναι πιθανό να έκανε κάποιο είδους συμφωνίας για να μειώσει την ποινή του. Στις 16 Ιουνίου 2021, ένα «σφραγισμένο υπερασπιστικό έγγραφο» προστέθηκε στα δικαστικά πρακτικά του Burkov, ακολουθούμενο από ένα σφραγισμένο έγγραφο που καταχωρήθηκε στις 18 Αυγούστου -- μια εβδομάδα πριν από την απέλαση του. Η πρόταση για τη σφράγιση αυτών και άλλων εγγράφων που σχετίζονται με το υπόμνημα υποβλήθηκε από ομοσπονδιακούς εισαγγελείς των ΗΠΑ και αυτά τα έγγραφα παραμένουν κρυμμένα από το κοινό.

Κάτοικος της Αγίας Πετρούπολης της Ρωσίας, ο Burkov παραδέχτηκε ότι διεύθυνε το CardPlanet, έναν ιστότοπο που πούλησε περισσότερους από 150.000 κλεμμένους λογαριασμούς πιστωτικών καρτών και ότι ήταν ιδρυτής του DirectConnection -- μιας στενά φυλασσόμενης διαδικτυακής κοινότητας που προσέλκυσε μερικούς από τους πιο καταζητούμενους Ρώσους χάκερ. Μια εμπεριστατωμένη έρευνα του 2019 στο ψευδώνυμο «K0pa» του Burkov, αποκάλυψε ότι ήταν επίσης συνδιαχειριστής του μυστικού ρωσικού φόρουμ για το έγκλημα στον κυβερνοχώρο «Mazafaka». Όπως το DirectConnection, το ρόστερ των μελών του Mazafaka ήταν ένα σύνολο επίλεκτων της Ρώσικης underground hacking σκηνής και ο K0pa έπαιξε βασικό ρόλο στον έλεγχο των νέων μελών και στην επίλυση διαφορών και για τις δύο κοινότητες.

Η ρωσική εταιρεία ασφαλείας Kaspersky διέψευσε τις φήμες ότι ο πηγαίος κώδικας των προϊόντων της έχει διαρρεύσει, με την δήλωση αυτή να έρχεται μετά τη διαρροή του πηγαίου κώδικα των συσκευών Galaxy της Samsung.

Ένα μήνυμα που δήλωνε ότι θα δινόταν στη κυκλοφορία ο πηγαίος κώδικας της Kaspersky εμφανίστηκε στο Twitter πριν από μερικές μέρες, ενώ η διαρροή του κωδικού Samsung ανακοινώθηκε στο Telegram.

Οι περισσότεροι από αυτούς τους ισχυρισμούς φαίνεται να αποτελούν μέρος ενός μοτίβου όπου ισχυρίζονται ότι οι μεγάλες εταιρείες παραβιάστηκαν και ο πηγαίος κώδικας τους διέρρευσε μετά τα περιστατικα διαρροών της Samsung και της NVIDIA. Υπάρχουν επίσης πολυάριθμοι ισχυρισμοί για απόπειρες hacking προς υποστήριξη είτε της Ρωσίας είτε της Ουκρανίας, με διάφορες ομάδες να υποστηρίζουν ότι παίρνουν διαφορετικές πλευρές.

Σύμφωνα με το δικτυακό τόπο iTWire, ορισμένοι από τους λογαριασμούς που κάνουν αυτούς τους ισχυρισμούς μπορεί να λειτουργούν από υπηρεσίες πληροφοριών που στοχεύουν να κρατήσουν εκτός ισορροπίας τους αντιπάλους τους μέσω fake news. Προσπάθειες γίνονται για να αξιολογηθούν όλοι αυτοί οι ισχυρισμοί, με κάποιους από αυτούς να είναι πολύ κοντά στην επαλήθευση.

Μια ομάδα hacktivists ισχυρίστηκε ψευδώς ότι είχε παραβιάσει τους ρωσικούς διακομιστές της Signal, το οποίο σύμφωνα με πηγές, δεν ήταν σαφές εάν ο ψευδής ισχυρισμός έγινε για πλάκα ή για να πείσει τους Ρώσους να στραφούν σε μια λιγότερο ασφαλή πλατφόρμα όπου θα μπορούσαν να υποκλέπτονται μηνύματα πιο εύκολα. Η Signal έχει τη φήμη του καλύτερου πελάτη ανταλλαγής μηνυμάτων για κινητά όσον αφορά την ασφάλεια.

Μια άλλη εταιρεία που ισχυρίστηκε ότι είχε παραβιαστεί ήταν η Epic Games, με την εν λόγω ανάρτηση στο Telegram να ισχυρίζεται ότι ο πηγαίος κώδικας για τη μηχανή Unreal ήταν μεταξύ αυτών που εκλάπησαν. Αυτό, όπως και ο ισχυρισμός της Kaspersky, αποδείχθηκε ψευδές. Η διαρροή από τον νοτιοκορεατικό κολοσσό κινητής τηλεφωνίας επιβεβαιώθηκε ωστόσο από την εταιρεία. Η Kaspersky εξέδωσε ένα tweet λέγοντας ότι οι ειδικοί της είχαν ελέγξει τους ισχυρισμούς σχετικά με διαρροές πηγαίου κώδικα.

«Το αποτέλεσμα της ανάλυσης επιβεβαιώνει ότι οι ισχυρισμοί είναι αβάσιμοι», ανέφερε η εταιρεία. "Η διαρροή δεν περιέχει τον πηγαίο κώδικα των προϊόντων της εταιρείας. Αντίθετα περιέχει μόνο δημόσια διαθέσιμα δεδομένα από τους διακομιστές της Kaspersky."

Σε επαφή για σχόλια σχετικά με αυτήν την έκρηξη διαδικτυακής δραστηριότητας, ο ερευνητής ransomware, Brett Callow, είπε: "Συμμορίες ransomware, άλλες επιχειρήσεις εγκλήματος στον κυβερνοχώρο, πολλαπλές συλλογικότητες hacktivist και ένας κρατικός εθελοντικός στρατός πληροφορικής, όλα ισχυρίζονται ότι χακάρουν ρωσικά ή ουκρανικά περιουσιακά στοιχεία".

Ο Callow, ο οποίος συνεργάζεται με την Emsisoft, μια εταιρεία που εδρεύει στη Νέα Ζηλανδία, πρόσθεσε: "Ενώ μερικοί από τους ισχυρισμούς είναι αναμφίβολα αληθινοί, άλλοι είναι αδύνατο να επαληθευτούν και πολλά είναι πιθανότατα εντελώς ψευδή. Όσοι κάνουν ψευδείς ισχυρισμούς μπορεί να είναι χαζομάρες που το κάνουν για πλάκα ή στην πραγματικότητα το κάνει στρατηγικά για να κρατήσει την άλλη πλευρά αποσπασμένη και εκτός ισορροπίας.

Η Kaspersky πρόσθεσε ότι ο πηγαίος κώδικας των προϊόντων της, μαζί με ενημερώσεις ασφάλειας και A/V, αποτελέσματα ελέγχων ασφαλείας και υλικό κατασκευής λογισμικού ήταν όλα διαθέσιμα για έλεγχο. Αυτά τα κέντρα δημιουργήθηκαν αφού η κυβέρνηση των ΗΠΑ διεξήγαγε μια εκστρατεία κατά της Kaspersky που είχε ως αποτέλεσμα η εταιρεία να χάσει τις δραστηριότητές της με τον δημόσιο τομέα.

Την περασμένη Τετάρτη, λίγες ώρες πριν ξεκινήσουν τα ρωσικά τανκς για την Ουκρανία, σήμανε συναγερμός μέσα στο Κέντρο Πληροφοριών Απειλών της Microsoft, προειδοποιώντας για ένα ασυνήθιστο κομμάτι κακόβουλου λογισμικού «υαλοκαθαριστήρα» που φαινόταν να στοχεύει τα κυβερνητικά υπουργεία και τα χρηματοπιστωτικά ιδρύματα της χώρας.

Μέσα σε τρεις ώρες, η Microsoft ρίχτηκε στη μέση ενός επίγειου πολέμου στην Ευρώπη — από 5.500 μίλια μακριά. Το κέντρο απειλών, βόρεια του Σιάτλ, ήταν σε κατάσταση υψηλού συναγερμού και γρήγορα βρήκε το κακόβουλο λογισμικό, το ονόμασε «FoxBlade» και ειδοποίησε την ανώτατη αρχή κυβερνοάμυνας της Ουκρανίας. Μέσα σε τρεις ώρες, τα συστήματα ανίχνευσης ιών της Microsoft είχαν ενημερωθεί για να μπλοκάρουν τον κώδικα, ο οποίος διαγράφει δεδομένα σε υπολογιστές που βρίσκονται στο ίδιο δίκτυο με τον μολυσμένο υπολογιστή

Στη συνέχεια, ο Tom Burt, το ανώτερο στέλεχος της Microsoft που επιβλέπει την προσπάθεια της εταιρείας να αντιμετωπίσει μεγάλες επιθέσεις στον κυβερνοχώρο, επικοινώνησε με την Anne Neuberger, την αναπληρώτρια σύμβουλο εθνικής ασφάλειας του Λευκού Οίκου για τον κυβερνοχώρο και τις αναδυόμενες τεχνολογίες. Η κ. Neuberger ρώτησε εάν η Microsoft θα εξετάσει το ενδεχόμενο να μοιραστεί λεπτομέρειες του κώδικα με τις Βαλτικές χώρες, την Πολωνία και άλλες ευρωπαϊκές χώρες, από φόβο ότι το κακόβουλο λογισμικό θα εξαπλωθεί πέρα από τα σύνορα της Ουκρανίας, ακρωτηριάζοντας τη στρατιωτική συμμαχία ή χτυπώντας τράπεζες της Δυτικής Ευρώπης.

Πριν από τα μεσάνυχτα στην Ουάσιγκτον, η κα Neuberger είχε κάνει τις απαραίτητες ενέργειες και η Microsoft είχε αρχίσει να παίζει τον ρόλο που έπαιξε η Ford Motor Company στον Β' Παγκόσμιο Πόλεμο, όταν η εταιρεία μετέτρεψε τις γραμμές παραγωγής αυτοκινήτων για να κατασκευάσει τανκς Sherman.

Μετά από χρόνια συζητήσεων στην Ουάσιγκτον και σε τεχνολογικούς κύκλους σχετικά με την ανάγκη συνεργασιών δημόσιου και ιδιωτικού τομέα για την καταπολέμηση καταστροφικών επιθέσεων στον κυβερνοχώρο, ο πόλεμος στην Ουκρανία δοκιμάζει το σύστημα. Ο Λευκός Οίκος, οπλισμένος με πληροφορίες από την Υπηρεσία Εθνικής Ασφάλειας και τη Διοίκηση Κυβερνοχώρου των Ηνωμένων Πολιτειών, επιβλέπει τις απόρρητες ενημερώσεις σχετικά με τα σχέδια κυβερνοεπιθετικής επίθεσης της Ρωσίας. Ακόμα κι αν οι αμερικανικές υπηρεσίες πληροφοριών εντοπίσουν το είδος των επιθέσεων στον κυβερνοχώρο που κάποιος —προφανώς ρωσικές υπηρεσίες πληροφοριών ή χάκερ— έριξε στην κυβέρνηση της Ουκρανίας, αυτή δεν έχει την υποδομή να κινηθεί τόσο γρήγορα για να τους εμποδίσουν.

«Είμαστε μια εταιρεία και όχι μια κυβέρνηση ή μια χώρα», σημείωσε ο Μπραντ Σμιθ, πρόεδρος της Microsoft, σε μια ανάρτηση στο blog που εξέδωσε η εταιρεία τη Δευτέρα, περιγράφοντας τις απειλές που έβλεπε. Αλλά ο ρόλος που παίζει, κατέστησε σαφές, δεν είναι ουδέτερος. Έγραψε για «συνεχή και στενό συντονισμό» με την ουκρανική κυβέρνηση, καθώς και με ομοσπονδιακούς αξιωματούχους, τον Οργανισμό Βορειοατλαντικής Συνθήκης και την Ευρωπαϊκή Ένωση.

Ουκρανοί αξιωματούχοι κυβερνοασφάλειας έχουν ειδοποιήσει ότι οι χάκερ που χρηματοδοτούνται από το κράτος της Λευκορωσίας στοχεύουν τις τους ιδιωτικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου του ουκρανικού στρατιωτικού προσωπικού. 
Ανακοινώνοντας τη δραστηριότητα σε μια ανάρτηση στο Facebook, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (Computer Emergency Response Team, CERT-UA) είπε ότι μια μαζική εκστρατεία phishing στοχεύει τους ιδιωτικούς λογαριασμούς i.ua και meta.ua που ανήκουν στο ουκρανικό στρατιωτικό προσωπικό.

«Αφού ο λογαριασμός παραβιαστεί, οι εισβολείς, μέσω του πρωτοκόλλου IMAP, αποκτούν πρόσβαση σε όλα τα μηνύματα» και αργότερα, οι εισβολείς χρησιμοποιούν τα στοιχεία επικοινωνίας από το βιβλίο διευθύνσεων του θύματος για να στείλουν τα μηνύματα ηλεκτρονικού "ψαρέματος"".

Η CERT-UA απέδωσε τη συνεχιζόμενη εκστρατεία στην ομάδα απειλών UNC1151, την οποία η Mandiant συνέδεσε επισήμως με την κυβέρνηση της Λευκορωσίας τον Νοέμβριο του 2021. Η Mandiant συνέδεσε επίσης την υποστηριζόμενη από το κράτος ομάδα κυβερνοκατασκοπείας με την εκστρατεία παραπληροφόρησης Ghostwriter, η οποία συμμετείχε στη ρητορική κατά του ΝΑΤΟ και επιχειρήσεις hack-and-leak σε όλη την Ευρώπη. "Η ομάδα "UNC1151" με έδρα το Μινσκ βρίσκεται πίσω από αυτές τις δραστηριότητες. Τα μέλη της είναι αξιωματικοί του Υπουργείου Άμυνας της Δημοκρατίας της Λευκορωσίας", έγραψε η CERT-UA.

Όπως διαπίστωσε το τμήμα έρευνας της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET, αρκετοί οργανισμοί στην Ουκρανία έχουν πληγεί από κυβερνοεπίθεση που περιλάμβανε νέο κακόβουλο λογισμικό διαγραφής δεδομένων (data wiper) με την ονομασία HermeticWiper και το οποίο επηρέασε εκατοντάδες υπολογιστές στα δίκτυά τους. Η επίθεση πραγματοποιήθηκε λίγες ώρες μετά από σειρά επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσε εκτός λειτουργίας αρκετές σημαντικές ιστοσελίδες στη χώρα.

Το κακόβουλο λογισμικό που ανιχνεύθηκε από τα προϊόντα της ESET ως Win32/KillDisk.NCV, εντοπίστηκε για πρώτη φορά λίγο πριν τις 5 μ.μ. τοπική ώρα (3 μ.μ. UTC) την Τετάρτη. Η χρονοσήμανση (timestamp) του data wiper, εν τω μεταξύ, δείχνει ότι δημιουργήθηκε στις 28 Δεκεμβρίου 2021, γεγονός που υποδηλώνει ότι η επίθεση μπορεί να προετοιμαζόταν για αρκετό καιρό.

Το ΗermeticWiper χρησιμοποίησε επώνυμους drivers δημοφιλούς λογισμικού διαχείρισης δίσκων. "Το wiper κάνει κατάχρηση νόμιμων drivers από το λογισμικό EaseUS Partition Master για να καταστρέψει δεδομένα", σύμφωνα με τους ερευνητές της ESET.

Επιπλέον, οι επιτιθέμενοι χρησιμοποίησαν ένα γνήσιο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε σε εταιρεία με έδρα την Κύπρο που ονομάζεται Hermetica Digital Ltd., εξ ου και το όνομα του wiper.

Φαίνεται επίσης ότι τουλάχιστον σε μία περίπτωση, οι απειλητικοί φορείς είχαν πρόσβαση στο δίκτυο του θύματος πριν εξαπολύσουν το κακόβουλο λογισμικό.

Νωρίτερα την Τετάρτη, ορισμένες ουκρανικές ιστοσελίδες τέθηκαν εκτός λειτουργίας μετά από ένα νέο κύμα επιθέσεων DDoS που στοχεύουν τη χώρα εδώ και εβδομάδες.

Στα μέσα Ιανουαρίου, ένα άλλο πρόγραμμα καταστροφής δεδομένων σάρωσε την Ουκρανία. Με την ονομασία WhisperGate, το wiper μεταμφιέστηκε σε ransomware και είχε κάποια κοινά στιγμή με την επίθεση NotPetya που έπληξε την Ουκρανία τον Ιούνιο του 2017 πριν προκαλέσει χάος σε όλο τον κόσμο.

Αρκετοί ιστότοποι της ουκρανικής κυβέρνησης ήταν εκτός σύνδεσης σήμερα, ως αποτέλεσμα μιας επίθεσης DDoS, δήλωσε στο κανάλι του στο Telegram ο Mykhailo Fedorov, επικεφαλής του Υπουργείου Ψηφιακού Μετασχηματισμού της Ουκρανίας. 
Η επίθεση, η οποία επηρέασε επίσης ορισμένες τράπεζες, ξεκίνησε γύρω στις 4 μ.μ. τοπική ώρα, σύμφωνα με τον Fedorov. Δεν είπε ποιες τράπεζες δέχθηκαν επίθεση ή ποιο ήταν το μέγεθος της ζημιάς. Οι ιστότοποι του Υπουργείου Εξωτερικών της Ουκρανίας, του Υπουργικού Συμβουλίου και του Ράντα, του κοινοβουλίου της χώρας, ήταν μεταξύ αυτών που δεν λειτουργούσαν από το πρωί της Τετάρτης, ανατολική ώρα.

Οι κυβερνητικοί ιστότοποι ήταν εκτός σύνδεσης καθώς αξιωματούχοι προσπάθησαν να αλλάξουν την κυκλοφορία αλλού για να ελαχιστοποιήσουν τη ζημιά. Η πηγή της επίθεσης δεν έχει ακόμη επιβεβαιωθεί, αλλά οι διακοπές στις διαδικτυακές υπηρεσίες αυξάνονται καθώς η Ρωσία συνεχίζει να τοποθετεί στρατεύματα γύρω από τα σύνορα της Ουκρανίας. Την Τρίτη, ο Πρόεδρος Τζο Μπάιντεν είπε ότι η Ρωσία έχει ξεκινήσει «εισβολή», αφού ο Ρώσος Πρόεδρος Βλαντιμίρ Πούτιν έστειλε στρατεύματα σε δύο φιλορωσικές αποσχισμένες περιοχές στην ανατολική Ουκρανία και ανακοίνωσε κυρώσεις σε ρωσικές τράπεζες, στο δημόσιο χρέος της χώρας και σε πολλά άτομα κοντά στην Ρωσική κυβέρνηση.

Ένας εκπρόσωπος του Λευκού Οίκου είπε στο NBC News ότι «παρακολουθούν στενά» τις αναφορές από την Ουκρανία

Χάρη στην κρίση του κορωνοϊού, οι διαδικτυακές υπηρεσίες λιανικής γνωρίζουν αύξηση στην αναγνωρισιμότητα και στην αποδοχή τους από το κόσμο. Αυτό, με τη σειρά του, έχει δημιουργήσει ευκαιρίες για δραστηριότητες απάτης να βρουν ένα νέο ευρύ πεδίο δράσης, αυτό του brand Phishing. Η δικτυακός τόπος Banklesstimes.com παρουσίασε τα ευρήματα της Global Brand Phishing Report για το 4ο τρίμηνο του 2021. Η μελέτη εντόπισε εταιρείες επιρρεπείς στις περισσότερες απόπειρες hacking εκείνη την εποχή. Τα ευρήματά του αποκάλυψαν ότι οι phishers προτιμούσαν την DHL. Τα σχέδιά τους στόχευαν τις ιδιωτικές και εμπιστευτικές πληροφορίες των χρηστών.

Η παρουσίαση δεδομένων της XYZ δείχνει ότι η DHL προσέλκυσε το 23% όλων των προσπαθειών phishing, παρουσιάζοντας αύξηση 14% σε σχέση με τα στατιστικά του τρίτου τριμήνου, αντικαθιστώντας την Microsoft στην κορυφή της λίστας.

Τι εξηγεί λοιπόν τη ξαφνική αγάπη των phisers για την DHL το 4ο τρίμηνο του 2021; Ο Omer Dembinsky της Check Point Software το συνδέει με την αύξηση των νέων πελατών στο διαδίκτυο κατά τη διάρκεια των περιόδων λιανικής πώλησης με τη μεγαλύτερη κίνηση του έτους. Υποστηρίζει ότι πολλοί μεγαλύτεροι πελάτες αγόραζαν για πρώτη φορά διαδικτυακά. Επομένως, μπορεί να μην ήξεραν πώς να ελέγχουν για μηνύματα ηλεκτρονικού ταχυδρομείου επιβεβαίωσης παράδοσης ή ενημερώσεις παρακολούθησης.

Στη δεύτερη θέση έπεσε η Microsoft, η οποία είχε κυριαρχήσει στην κατάταξη του τρίτου τριμήνου. Τότε είχε προσελκύσει έως και το 29% όλων των επιθέσεων. Αλλά ο γίγαντας λογισμικού γνώρισε πτώση στο τέταρτο τρίμηνο. Το μερίδιό της στις απόπειρες phishing μειώθηκε κατά 9% και διαμορφώθηκε στο 20%.

Επιπλέον, οι πλατφόρμες κοινωνικής δικτύωσης παρέμειναν πρωταρχικοί στόχοι για συστήματα phishing. Το WhatsApp κατέλαβε την τρίτη θέση σε αυτές τις κατατάξεις του τέταρτου τριμήνου, αφού συγκέντρωσε το 11% των επιδιώξεων. Επίσης, το LinkedIn ανέβηκε από την όγδοη στην πέμπτη θέση, συγκεντρώνοντας το 8% όλων των προσπαθειών που σχετίζονται με το phishing. Αλλά το Facebook έπεσε από τις 10 κορυφαίες μάρκες που απευθύνονται στους phishers.

Ο Omer Dembinsky το αποδίδει στον ευκαιριακό χαρακτήρα των απατεώνων στον κυβερνοχώρο. Συχνά εξερευνούν τις τάσεις της αγοράς για να υποδυθούν εταιρείες που τραβούν το ενδιαφέρον. Με αυτόν τον τρόπο, οι phishers ενδέχεται να καταφέρουν να κλέψουν προσωπικές πληροφορίες ή να αναπτύξουν κακόβουλο λογισμικό στη συσκευή ενός χρήστη.

Προσθέτει ότι οι εγκληματίες θα συνεχίσουν να στοχεύουν τα μέσα κοινωνικής δικτύωσης για την εκμετάλλευσή τους. Στοχεύουν διαδικτυακούς χρήστες που, λόγω της απομακρυσμένης εργασίας και των επιπτώσεων του COVID-19, βασίζονται στα κανάλια των μέσων κοινωνικής δικτύωσης.

Οι phishers προσπαθούν να αναπαράγουν νόμιμες ιστοσελίδες διακεκριμένων εμπορικών σημάτων. Το κάνουν χρησιμοποιώντας ονόματα τομέα ή διευθύνσεις URL που μιμούνται τους πραγματικούς ιστότοπους. Επιπλέον, μπορούν να σχεδιάσουν τις ιστοσελίδες τους ώστε να μοιάζουν με νόμιμες.

Οι εισβολείς μπορούν να παρέχουν ψεύτικους συνδέσμους ιστού με διάφορους τρόπους. Το πρώτο είναι μέσω email ή γραπτών μηνυμάτων. Εναλλακτικά, οι απατεώνες μπορούν να σας ανακατευθύνουν ενώ περιηγείστε στο διαδίκτυο. Επιπλέον, το exploit μπορεί να έρθει ως κακόβουλη εφαρμογή. Όλα αυτά τα μέσα σας κατευθύνουν σε μια εικονική τοποθεσία όπου σας κλέβουν τις εμπιστευτικές σας πληροφορίες.

Δυστυχώς, οι στοχευόμενες εταιρείες δεν μπορούν να κάνουν πολλά για να αντιμετωπίσουν τέτοιες προσπάθειες. Πολλοί διαδικτυακοί χρήστες παραβλέπουν ελάχιστες ύποπτες λεπτομέρειες, όπως λάθη πληκτρολόγησης, εσφαλμένα ορθογραφικά πεδία και εσφαλμένες ημερομηνίες. Έτσι παρέχουν στους απατεώνες την ευκαιρία να επιτύχουν το σκοπό τους.

Ομάδες που συντάσσονται με την κυβέρνηση του Ιράν εκμεταλλεύονται την κρίσιμη ευπάθεια Log4j για να μολύνουν χρήστες VMware που δεν έχουν ενημερώσει τα συστήματά τους, με ransomware, δήλωσαν ερευνητές την Πέμπτη. Η εταιρεία ασφαλείας SentinelOne έχει ονομάσει την ομάδα TunnelVision. Το όνομα έχει σκοπό να τονίσει τη μεγάλη εξάρτηση της TunnelVision στα εργαλεία tunneling και τον μοναδικό τρόπο που τα αναπτύσσει. Στο παρελθόν, το TunnelVision είχε εκμεταλλευτεί τις λεγόμενες ευπάθειες 1 ημέρας -- δηλαδή ευπάθειες που έχουν επιδιορθωθεί πρόσφατα -- για να χακάρει οργανισμούς που δεν έχουν εγκαταστήσει ακόμη την επιδιόρθωση. Τα τρωτά σημεία στο Fortinet FortiOS (CVE-2018-13379) και στο Microsoft Exchange (ProxyShell) είναι δύο από τους πιο γνωστούς στόχους της ομάδας.

Η έρευνα του SentinelOne δείχνει ότι η στόχευση συνεχίζεται και ότι αυτή τη φορά ο στόχος είναι οργανισμοί που τρέχουν το VMware Horizon, ένα προϊόν εικονικοποίησης επιτραπέζιων υπολογιστών και εφαρμογών που εκτελείται σε Windows, macOS και Linux.

Ο Apache Tomcat είναι ένας διακομιστής Web ανοιχτού κώδικα που χρησιμοποιείται στο VMware και άλλο εταιρικό λογισμικό για την ανάπτυξη και εξυπηρέτηση εφαρμογών Ιστού που βασίζονται σε Java. Μόλις εγκατασταθεί, ένα shell επιτρέπει στους χάκερ να εκτελούν εξ αποστάσεως εντολές της επιλογής τους σε δίκτυα που εκμεταλλεύονται. Το PowerShell που χρησιμοποιείται εδώ φαίνεται να είναι μια παραλλαγή αυτού που είναι διαθέσιμο στο κοινό. Μόλις εγκατασταθεί, τα μέλη του TunnelVision το χρησιμοποιούν για:

• Εκτέλεση εντολών αναγνώρισης,
• Δημιουργία ενός χρήστη στην ομάδα διαχειριστών δικτύου
• Συλλογή διαπιστευτηρίων χρησιμοποιώντας ProcDump, SAM hive dumps και comsvcs MiniDump.
• Λήψη και εκτέλεση εργαλείων tunneling, συμπεριλαμβανομένων των Plink και Ngrok, τα οποία χρησιμοποιούνται για τη διοχέτευση της κυκλοφορίας δεδομένων μέσω RDP.

Οι χάκερ χρησιμοποιούν πολλαπλές νόμιμες υπηρεσίες για να επιτύχουν και να αποκρύψουν τις δραστηριότητές τους. Αυτές οι υπηρεσίες περιλαμβάνουν τις: transfer.sh, pastebin.com, webhook.site, ufile.io και raw.githubusercontent.com.

Όσοι προσπαθούν να προσδιορίσουν εάν επηρεάζεται ο οργανισμός τους θα πρέπει να αναζητήσουν ανεξήγητες εξερχόμενες συνδέσεις με αυτές τις νόμιμες δημόσιες υπηρεσίες.

Φωτογραφία: Getty Images

Οι εγκληματίες του κυβερνοχώρου στοχεύουν ολοένα και περισσότερο διακομιστές και υποδομές cloud βασισμένα σε λειτουργικό Linux, για να ξεκινήσουν επιθέσεις ransomware, cryptojacking και άλλες παράνομες δραστηριότητες — και πολλοί οργανισμοί είναι "ξέφραγα αμπέλια" επειδή η υποδομή τους έχει διαμορφωθεί λανθασμένα ή δεν υπάρχει η σωστή διαχείριση του συστήματος (σημ. μτφ. μιας και ο "πληροφορικάριος" είναι το παιδί για όλες τις δουλείες). Η ανάλυση από ερευνητές κυβερνοασφάλειας της VMware προειδοποιεί ότι το κακόβουλο λογισμικό που στοχεύει συστήματα που βασίζονται σε Linux αυξάνεται σε όγκο και πολυπλοκότητα, ενώ υπάρχει επίσης έλλειψη εστίασης στη διαχείριση και τον εντοπισμό απειλών εναντίον τους.

Αυτό έρχεται μετά την αύξηση των επιχειρήσεων που χρησιμοποιούν υπηρεσίες που βασίζονται σε cloud, λόγω της αύξησης της υβριδικής εργασία (εξ 'αποστάσεως εργασία), με το Linux να είναι το πιο κοινό λειτουργικό σύστημα σε αυτά τα περιβάλλοντα. Αυτή η άνοδος άνοιξε νέους δρόμους που οι εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν για να υπονομεύσουν τα εταιρικά δίκτυα, όπως περιγράφεται στο ερευνητικό έγγραφο, συμπεριλαμβανομένων επιθέσεων ransomware και cryptojacking προσαρμοσμένων για να στοχεύουν διακομιστές Linux σε περιβάλλοντα που ενδέχεται να μην παρακολουθούνται τόσο αυστηρά όσο εκείνα που χρησιμοποιούν Windows. Αυτές οι επιθέσεις έχουν σχεδιαστεί για μέγιστο αντίκτυπο, καθώς οι εγκληματίες του κυβερνοχώρου προσπαθούν να εισχωρήσουν σε όσο το δυνατόν μεγαλύτερο ποσοστό του δικτύου - στόχου πριν ξεκινήσουν τη διαδικασία κρυπτογράφησης και τελικά απαιτήσουν λύτρα για το κλειδί αποκρυπτογράφησης.

Η αναφορά προειδοποιεί ότι το ransomware έχει εξελιχθεί για να στοχεύει διακομιστές Linux που χρησιμοποιούνται για την μεταφορά του φόρτου εργασίας σε εικονικά περιβάλλοντα, επιτρέποντας στους εισβολείς να κρυπτογραφούν ταυτόχρονα τεράστια τμήματα του δικτύου και να κάνουν πιο δύσκολη την απόκριση σε περιστατικά. Οι επιθέσεις σε περιβάλλοντα cloud έχουν επίσης ως αποτέλεσμα οι εισβολείς να κλέβουν πληροφορίες από διακομιστές, τις οποίες απειλούν να δημοσιεύσουν εάν δεν πληρωθούν λύτρα.

Πολλές από τις κυβερνοεπιθέσεις που στοχεύουν περιβάλλοντα Linux εξακολουθούν να είναι σχετικά απλές σε σύγκριση με ισοδύναμες επιθέσεις που στοχεύουν συστήματα Windows — αυτό σημαίνει ότι με τη σωστή προσέγγιση για την παρακολούθηση και την ασφάλεια συστημάτων που βασίζονται σε Linux, πολλές από αυτές τις επιθέσεις μπορούν να αποτραπούν. Αυτό περιλαμβάνει διαδικασίες ασφαλούς χρήσης των υπολογιστικών συστημάτων, όπως η διασφάλιση ότι οι προεπιλεγμένοι κωδικοί πρόσβασης δεν χρησιμοποιούνται και η αποφυγή κοινής χρήσης ενός λογαριασμού σε πολλούς χρήστες.