Av Sec Training

ro_RO Romanian
ro_RO Romanian en_US English

Av Sec – Buletin Cyber aprilie 2020

Mai jos va atasez câteva link-uri foarte interesante in care marii producători de echipamente tip firewall si producătorii de soluții antivirus arată hărți live ale atacurilor
cibernetice

https://threatmap.fortiguard.com/ 

https://cybermap.kaspersky.com/ 

https://threatmap.bitdefender.com

Stam bine, suntem undeva pe locul 46-47 in topul țărilor țintă pentru atacuri.
In cele ce urmează veți găsi un rezumat în cee ce al situației cyber la nivel Mondial și național conform unor site-uri de specialitate.

Au fost vizate de atacuri 2 aeroporturi mari din lume, cel din San franciso si cel din Praga; 

Prague Airport says thwarted several cyber attacks; hospitals also targeted
 PRAGUE (Reuters) – Aeroportul din Praga și un spital regional din Cehia au declarat, sâmbătă, că au zădărnicit atacurile cibernetice în rețelele IT, întărind avertismentele supravegherii naționale de securitate cibernetică cu privire la tentativele posibile de a dăuna infrastructurii țării. Tentative de Atacuri asupra paginilor web ale aeroportului au fost detectate în faze pregătitoare”, a declarat purtătorul de cuvânt al aeroportului într-o declarație prin e-mail. „Acest lucru a împiedicat răspândirea lor și toate etapele ulterioare care ar fi putut urma și ar putea dăuna companiei.” 

San Francisco International Airport victim of cyber-attack in March 2020
Ca urmare a atacurilor cibernetice care au introdus cod informatic rău intenționat pe SFOConnect.com și SFOConstruction.com, au fost furate datele de autentificare ale utilizatorilor. Aeroportul Internațional San Francisco (SFO) a publicat o notificare de încălcare a datelor care detaliază faptul că unii utilizatori ai site-urilor sale web ar fi putut fi victima hackerilor care au încercat să fure acreditările de conectare a utilizatorilor în timpul unui atac cibernetic în martie 2020.
Sursa: https://www.internationalairportreview.com/news/115026/san-francisco-airportcyber-attack/

De asemneata au fost foarte multe atacuri asupra spitalelor din Europa, atacuri ce vizau furtul de date personale ale pacienților. 

Atacurile care vizează spitale, clinici, farmacii și distribuitori de echipamente medicale au crescut în martie la nivel mondial, în timp ce hackerii au profitat de tulpina pe care pandemia de coronavirus a pus-o în sectorul sănătății. 

Gigantul român de securitate cibernetică Bitdefender a declarat vineri că atacurile online legate de Covid-19 „au crescut cu 475 la sută în martie față de luna precedentă”, iar numărul este de așteptat să crească până la sfârșitul lunii. 

„Aproape o treime din atacurile legate de Covid-19 vizează autoritățile publice și instituțiile medicale”, a declarat Bitdefender într-un comunicat. 

Unul dintre centrele medicale vizate a fost un spital din Cehia care este folosit în prezent pentru teste împotriva coronavirusului.

 Specialistul în securitate al Bitdefender, Filip Truta, a declarat că „cyberattack-ul încearcă să lupte împotriva pandemiei”. 

Hackerii infectează de obicei computerele, păcălind personalul instituțiilor medicale cu „informații despre proceduri și terapii medicale pentru tratarea infecțiilor cu COVID-19”, a declarat Bitdefender. Astfel de mesaje sunt trimise mai ales în numele instituțiilor precum Organizația Mondială a Sănătății.

 Declarația menționează SUA, Turcia și Franța drept țările cele mai vizate din lume. România a fost a noua țară vizată. 

„atacurile împotriva spitalelor pot pune capăt activității lor dacă, de exemplu, datele medicale ale pacienților internați sunt blocate”, a spus Bitdefender. 

„De-a lungul timpului, atacatorii au infectat repetat calculatoarele cu ransomware și apoi au solicitat răscumpărarea pentru a da înapoi accesul la date”, a adăugat acesta.

 Într-un caz tipic al acestor tipuri de atacuri, hackerii „codează date, cum ar fi fișele medicale ale pacienților”, făcând imposibil ca medicii să trateze pacienții sau să
efectueze intervenții chirurgicale.  „Așa cum s-a întâmplat în România, conducerea unui spital poate fi obligată să plătească o răscumpărare pentru a decoda datele”  pentru a putea salva pacientul.

Hackerii vând, de asemenea, datele pacienților cu până la 400 de dolari pe înregistrare medicală pe web. Cei care cumpără aceste informații folosesc în mod normal pentru fraude.

Cert-ro

Vulnerabilități critice în aplicația implicită de e-mail din iOS 

Spcialiștii în securitate cibernetică de la ZecOps anunță că aplicația de e-mail implicită de pe sistemul de  operare iOS, preinstalată pe milioane de terminale iPhone și iPad, este vulnerabilă de aproximativ 8 ani (de la varianta iOS 6). 

Specialiștii vorbesc despre două  vulnerabilități critice, care ar putea permite atacatorilor să preia controlul complet asupra dispozitivelor Apple, de la distanță, doar prin trimiterea unui e-mail. Momentan, cea mai recentă variantă de iOS nu conține patchuri de securitate dedicate celor 2 vulnerabilități, dar este probabil ca update-urile următoare să rezolve problema. Așadar, recomandăm menținerea dispozitivelor mereu actualizate la zi.

Datele corespondente pentru 267 milioane de conturi Facebook, vândute pentru 500 de lire pe Dark Web 

Xhelper: malware-ul de Android care se reinstalează și după Factory Reset 

xHelper a infectat peste 45000 de dispozitive anul trecut și, de atunci, cercetătorii din domeniul securității cibernetice au încercat să identifice modul în care acest malware supraviețuieste procesului de resetare la setările din fabrică.

Răspunsul vine din partea lui Igor Golovin, cercetător Kaspersky, care a reușit să identifice modul în care acest malware reușește să rămână activ și după revenirea la
setările din fabrică. Imediat ce aplicația infectată a fost instalată, malware-ul execută o serie de exploituri, pentru a obține privilegii de administrator (în special pe dispozitive cu Android 6 și 7).

Dacă atacul reușește, xHelper va instala un backdoor și își face o copie în partiția de sistem (system/bin folder) și modifică librăria libc.so, pentru a nu permite  utilizatorilor infectați să acceseze partiția și să șteargă copia malware. Utilizatorii infectați pot înlocui librăria afectată cu una curată, după care pot accesa
partiția de sistem și șterge copia malware. O procedură mai simplă ar fi înlocuirea firmware-ului cu o variantă mai nouă, descărcată de pe site-ul oficial al procucătorului.

Vulnerabilități critice ale iOS permit exploatarea camerelor video

 Cercetătorul Ryan Pickren a descoperit șapte vulnerabilități critice (CVE-2020- 3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-
9784 și CVE-2020-9787) ale browser-ului Safari, specific dispozitivelor Apple.

Printr-un atac care combină trei dintre aceste vulnerabilități, se poate accesa conținutul preluat de camerele web instalate pe dispozitivele-victimă. Mai exact, un
atacator poate crea o pagină web malițioasă care imită o pagină legitimă, căreia victima i-a permis accesul la camera web.

Datorită vulnerabilităților din modul în care Safari procesează și gestionează URIuri, originea web și contextul de securitate, aceleași drepturi de accesare a camerei web
vor fi oferite și paginii malițioase. 

Aplicații malițioase care promit menținerea actualizării software-ului

O nouă campanie de tip scam încearcă păcălirea utilizatorilor români să instaleze un program de gestiune al actualizărilor de software, care este de fapt un malware.

După accesarea acelui link, potențiala victimă este direcționată către un site unde se promovează un instrument de menținere automată a actualizărilor pentru software-ul existent pe PC: Update Checker: Cel mai bun program pentru gestionarea, căutarea și actualizarea software-ului.

Atacatorii simulează în browser-ul victimei un meniu clasic de instalare Windows. În pasul următor, dacă suntem vigilenți, observăm că suntem informați în secțiunea Termeni si conditii despre faptul că acest serviciu este contracost și taxa unică se plătește prin sms premium. Evident, pe lângă încercarea atacatorilor de a convinge
utilizatorii să instaleze un software malițios, aceștia încearcă și obținerea unor foloase financiare rapide, prin solicitarea trimterii de către utilizatori a unor sms-uri la numere cu suprataxă.

Atenție la e-mail-urile care falsifică identitatea reală a expeditorului!

În vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, în această perioadă marcată de restricțiile de circulație determinate de răspândirea COVID-19, activitățile pe internet sunt pe un trend ascendent. Atacatorii sunt conștienți de acest lucru și văd situația specială în care ne aflăm ca pe o oportunitate de a lansa
diferite forme de atacuri, mai mult sau mai puțin complexe.

Astfel, în căsuțele de e-mail, pe lângă mesajele legitime, începem să identificăm din ce în ce mai multe mesaje nesolicitate. Acestea, de regulă, au ca scop păcălirea
potențialelor victime, prin determinarea acestora să efectueze anumite acțiuni, care pot duce la compromiterea/infectarea dispozitivelor și la scurgerea de  informații/colectarea de date.

Una dintre tehnicile folosite de către atacatori în acest sens este spoofing-ul. Spoofing-ul se referă la acțiunea de a falsifica adresa de retur a e-mailurilor trimise,
pentru a ascunde identitatea adresei reale de unde provine mesajul. Echipa CERTRO vă oferă o serie de recomandări, în cazul atacurilor de tip e-mail spoofing, atât pentru utilizatorii obișnuiți, cât și pentru administratori de rețea.

Atenție la e-mail-urile false, malițioase, care par transmise de către Poliția Română!

CERT-RO și Poliția Română semnalează apariția unor e-mail-uri potențial malițioase, pe care utilizatorii le primesc de la adrese neoficiale și în care aceștia ar fi notificați despre faptul că au devenit subiectul unei anchete sau li se aduce la cunoștință faptul că li se va întocmi un dosar de cercetare pentru fraudă comercială fiscală și
evaziune fiscală. 

267 de milioane de conturi ale utilizatorilor Facebook s-au pus în vânzare, recent, pe Dark Web și forumuri dedicate hackerilor, pentru suma derizorie de 500 de lire
sterline. Deși niciuna dintre aceste înregistrări nu include parole, acestea conțin informații care ar putea permite atacatorilor să efectueze atacuri de tipul ingineriei
sociale (social engineering), spear-phishing sau smishing, pentru a extrage datele de logare de la utilizatori.

Aplicația ‘Coronavirus Update’, utilizată în campanii de spionaj

Una dintre aceste campanii, descoperită de cercetătorii TrendMicro și cunoscută sub denumirea de Project Spy, utilizează tematica pandemiei de Coronavirus pentru a
ajunge în dispozitivele mobile-victimă. Codul malițios se regăsește în versiuni de Android și iOS ale aplicației ‘Coronavirus Update’.

Aplicația poate exfiltra date din aplicații uzuale de mesagerie, precum WhatsApp, Telegram, Facebook și Threema, dar și alte informați din dispozitivul mobil, exploatând
o permisiune corespunzătoare notificărilor.

Cu toate că numărul de descărcări este relativ mic (datorită funcționării necorespunzătoare), conform articolului publicat de TrendMicro, aceasta a fost instalat
de utilizatori cu conturi în Pakistan, India, Afghanistan, Bangladesh, Iran, Arabia Saudită, Austria, România, Grenada sau Rusia.

Recomandăm utilizatorilor să acorde o atenție deosebită aplicațiilor instalate pe dispozitivele mobile și să se informeze corespunzător privind evoluția pandemiei
COVID-19, doar din surse oficiale!

Atacuri cu ransomware la nivel mondial, împotriva organizațiilor din domeniul medical

Întrucât sistemul medical la nivel mondial se luptă pentru a răspunde eficient crizei Coronavirusului, infractori cibernetici – fără conștiință și empatie – se folosesc de context și își îndreaptă atenția către organizații din domeniul sănătății, facilități de cercetare sau alte organizații guvernamentale. Principalele ‘arme’ utilizate pentru o monetizare rapidă a acținilor malițioase sunt atacurile de tip ransomware și furtul deinformații confidențiale.

O nouă cercetare de la Palo Alto Networks confirmă faptul că astfel de atacuri au început să apară la nivel mondial și nu cruță instituții care se află în prima linie a luptei
împotriva COVID-19. Aceștia dau ca exemplu o organizație medicală guvernamentală și o universitate canadiană de cercetare medicală, care au suferit atacuri de tip
ransomware între 24 și 26 martie. Atacurile au fost inițiate ca parte a campaniilor de phishing cu temă Coronavirus, unele care au devenit extrem de răspândite în ultimele luni.

Potrivit cercetătorilor, campania a început cu e-mailuri malițioase trimise de la o adresă care imită Organizația Mondială a Sănătății (noreply @ care [.] Int). Aceste mesaje au fost trimise către o serie de persoane asociate cu organizația medicală. Adresele de e-mail conțineau un document de format text (.RTF), denumit 20200323-sitrep-63-covid-19.doc, care, atunci când a fost deschis, a încercat să livreze ransomware EDA2, prin exploatarea unei vulnerabilități cunoscute (CVE2012-0158).

Cercetătorii Bitdefender descoperă un nou botnet care exploatează dispozitivele IoT

Cercetătorii din cadrul companiei Bitdefender au identificat recent o campanie malițioasă de tip botnet, denumită sugestiv Dark Nexus. Din raportul realizat în urmaa analizei, experții în securitate cibernetică au concluzionat că noul botnet este activ încă de la sfârșitul anului 2019 și prezintă caracteristici funcționale îmbunătățite, față de cele identificate până în prezent.

Conform rezultatelor, reiese că Dark Nexus este utilizat în principal pentru exploatarea dispozitivelor din categoria Internet of Things (IoT), respectiv utilizatea botnet-ului în atacuri de tip DDoS. 

Datele privind funcționalitatea, detecția și atribuirea dark_nexus IoT botnet suntprezentate în detaliu în raportul New dark_nexus IoT Botnet Puts Others to Shame.

Google a eliminat 49 de extensii Chrome ce furau criptomonede 

Google a eliminat din Web Store un număr de 49 extensii Chrome care pretindeau că ar fi portofele electronice, dar conțineau cod malițios care exfiltra informații și fura criptomonede. 

Cele 49 de extensii au fost identificate de către cercetătorii de la MyCrypto și PhisFort. Deși extensiile malițioase au fost șterse în 24 de ore de la momentul raportării către Google, analiza MyCrypto a dezvăluit faptul că acestea au început să-și facă apariția în magazinul de aplicații de la începutul lunii februarie a acestui an. 

O parte dintre acestea au avut un rating fals de 5 stele, crescând șansele de a fi descărcate cu înredere de cât mai multe victime.

O vulnerabilitate critică în VMware vCenter Server permite exfiltrarea de informații

VMware a publicat informații cu privire la o vulnerabilitate care afectează vCenter Server. Prin exploatarea acesteia, exista posibilitatea de a exfiltrara date. Vulnerabilitatea (CVE-2020-3952) a fost localizată în componenta vmdir a VMware vCenter Server. 

În prezent, există un patch pentru versiunea 6.7, prin lansarea unei actualizări la versiunea 6.7u3f. De asemenea, luna trecută, VMware a remediat această
vulnerabilitate și pe software-ul Workstation Pro. 

Luna trecută, cercetătorul Bob Diachenko a descoperit o bază de date Elasticsearch deschisă, care conținea puțin peste 267 de milioane de înregistrări Facebook, majoritatea fiind utilizatori din Statele Unite. Pentru multe dintre aceste înregistrări se putea citi numele complet al utilizatorului, numărul lor de telefon și un ID
Facebook unic.

O vulnerabilitate TikTok permite încărcarea de videoclipuri false pe conturile utilizatorilor

Dezvoltatorii companiei Mysk Inc. au descoperit o vulnerabilitate critică în populara aplicație TikTok și au demonstrat că acest lucru este permis datorită faptului că aplicația transfera datele folosind protocolul HTTP. Astfel, atacatorii pot executa atacuri de tip MiTM (Man-in-The-Middle) pentru a schimba conținutul publicat de  utilizatorii legitimi.

Această vulnerabilitate este o problemă majoră chiar și pentru conturile populare, verificate. Cercetătorii au dezvăluit totodată faptul că TikTok se bazează pe Content Delivery Networks (CDNs) pentru transmiterea datelor, iar CDNs utilizează protocolul HTTP. Până în prezent, aplicația nu a primit nici un patch de securitate pentru remedierea problemei.

 Conturile utilizatorilor Aptoide pentru Android, expuse online 

Aptoide este un software dedicat instalării aplicațiilor mobile, care rulează pe sistemul de operare Android. În Aptoide, spre deosebire de Google Play Store, nu există un magazin unic și centralizat; în schimb, fiecare utilizator își administrează propriul magazin.

Recent, un hacker a publicat pe un forum dedicat 20 de milioane de înregistrări de pe Aptoide App Store și suține că ar deține mai multe date. Breșa de securitate afectează conturi folosite în acest magazin de aplicații, în perioada 21 iulie 2016 – 28 ianuarie 2018 și conține date personale ale utilizatorilor, credențiale de acces, adrese de e-mail, date referitoare la înregistrarea conturilor, adrese IP de unde s-a produs conectarea, informații despre dispozitivul folosit sau status-ul contului.

Sursa: https://cert.ro/citeste/stirile-saptamanii-09-04-2020