Cyberbezpieczeństwo

CyberWednesday: Top 10 Cybersecurity Updates #10

Do przeczytania w 6 min.
Placeholder for Man sitting behind screen thinkingMan sitting behind screen thinking

Share

W tym tygodniu zagłębiamy się w krytyczne wydarzenia, które nadal kształtują krajobraz cyberbezpieczeństwa. Od przełomowych fuzji i zaawansowanego złośliwego oprogramowania atakującego krytyczną infrastrukturę po szybkie ataki API i nowe środki regulacyjne - te historie oferują istotne informacje dla przedsiębiorstw. Zapoznaj się z naszą szczegółową analizą, aby być na bieżąco i wyprzedzać zagrożenia.

1. Powiązane z Iranem złośliwe oprogramowanie IOCONTROL atakuje platformy SCADA i IoT

Irańscy hakerzy sponsorowani przez państwo ujawnili IOCONTROL, wysoce wyrafinowane złośliwe oprogramowanie atakujące systemy IoT i SCADA w USA i Izraelu. To zaawansowane złośliwe oprogramowanie wykorzystuje luki w zabezpieczeniach wbudowanych urządzeń z systemem Linux, w tym kamer IP, routerów, sterowników PLC i innych krytycznych komponentów OT. IOCONTROL wykorzystuje protokół MQTT do szyfrowanej komunikacji dowodzenia i kontroli, umożliwiając atakującym wykonywanie dowolnych poleceń, wykonywanie ruchów bocznych i zakłócanie kluczowych operacji.

Znaczące incydenty zaobserwowano w zakładach wodociągowych i systemach zarządzania paliwem, gdzie atakujący wykorzystali domyślne konfiguracje i odsłonięte interfejsy. Jedno z docelowych urządzeń, system kontroli paliwa Gasboy, zostało zainfekowane złośliwym oprogramowaniem, które umożliwiło atakującym manipulowanie systemami płatności i potencjalną kradzież poufnych danych klientów.

Modułowa konstrukcja złośliwego oprogramowania sprawia, że jest ono wszechstronne, umożliwiając wdrożenie na szerokiej gamie urządzeń. Podkreśla to rosnącą podatność systemów technologii operacyjnych (OT) na cyberzagrożenia. Organizacje zarządzające infrastrukturą krytyczną muszą przyjąć silniejszą segmentację, szybko łatać narażone systemy i wdrażać zaawansowane rozwiązania monitorujące.

(Source: The Hacker News)

2. Badacze złamali Microsoft Azure MFA w godzinę

Odkryto istotną lukę w systemie uwierzytelniania wieloskładnikowego (MFA) platformy Microsoft Azure, umożliwiającą badaczom obejście uwierzytelniania w czasie krótszym niż 60 minut. Usterka wynikała z braku limitu szybkości dla nieudanych prób MFA, umożliwiając atakującym szybkie wyczerpanie potencjalnych kombinacji sześciocyfrowych kodów. Ten exploit, nazwany „AuthQuake”, był dodatkowo ułatwiony przez wydłużony okres ważności kodów MFA, zapewniając atakującym dodatkowy czas na odniesienie sukcesu.

Badacze wykazali, że luka umożliwiała nieautoryzowany dostęp do wrażliwych zasobów Microsoft 365, w tym wiadomości e-mail programu Outlook, plików OneDrive i czatów Teams. W niektórych przypadkach właściciele kont nie otrzymywali żadnych powiadomień o takich próbach, przez co atak był mało widoczny i trudny do wykrycia.

Od tego czasu Microsoft wdrożył bardziej rygorystyczne środki ograniczające szybkość i skrócił ramy czasowe dla ważnych kodów MFA, aby złagodzić ryzyko. Incydent ten podkreśla znaczenie zabezpieczenia systemów MFA, monitorowania podejrzanych prób logowania i stosowania dodatkowej analizy behawioralnej w celu ochrony wrażliwych kont.

(Source: DarkReading.com)

3. Niemcy tworzą botnet składający się z 30 000 urządzeń zainfekowanych przez BadBox

Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) zlikwidował botnet składający się z 30 000 urządzeń zainfekowanych preinstalowanym złośliwym oprogramowaniem BadBox. Urządzenia te, w tym ramki do zdjęć i gadżety do przesyłania strumieniowego, były dostarczane z nieaktualnym oprogramowaniem Android, co czyniło je podatnymi na exploity. Złośliwe oprogramowanie było wykorzystywane do oszustw reklamowych i jako sieć proxy dla złośliwych działań.

BSI przekierowało ruch z botnetu do sinkhole'a i nawiązało współpracę z dostawcami internetu w celu powiadomienia poszkodowanych konsumentów. Incydent ten służy jako wyraźne przypomnienie o zagrożeniach stwarzanych przez niezabezpieczone łańcuchy dostaw, zwłaszcza w urządzeniach IoT.

(Source: Securityweek.com)

4. Badacze bezpieczeństwa ustawili Honeypot API, aby oszukać hakerów

Firma Wallarm, zajmująca się cyberbezpieczeństwem, przeprowadziła niedawno eksperyment honeypot, wdrażając fałszywe interfejsy API w celu obserwacji zachowań atakujących. Wyniki były zaskakujące: w ciągu 29 sekund od wdrożenia interfejsy API zaczęły otrzymywać złośliwy ruch. Ataki były ukierunkowane na popularne punkty końcowe, takie jak /status, /info i /metrics, pokazując, jak szybko hakerzy wykorzystują odsłonięte interfejsy API.

Najczęściej atakowany był port 80, na który skierowano ponad 19% ataków. Co ciekawe, badanie ujawniło, że interfejsy API przewyższyły tradycyjne aplikacje internetowe pod względem popularności jako powierzchnia ataku, odzwierciedlając szerszy trend w cyberprzestępczości.

Wyniki podkreślają znaczenie zabezpieczania interfejsów API za pomocą solidnego uwierzytelniania, ochrony punktów końcowych i mechanizmów ograniczających szybkość. Przyjmując te środki i monitorując ruch w czasie rzeczywistym, organizacje mogą znacznie zmniejszyć ryzyko wykorzystania API.

(Source: ITPro.com)

5. Dzień zerowy systemu Android wykorzystywany w kampaniach spyware

Amnesty International ujawniła kampanię szpiegowską wymierzoną w dziennikarzy w Serbii, wykorzystującą lukę zero-day w urządzeniach z Androidem. Złośliwe oprogramowanie, nazwane NoviSpy, było powiązane z narzędziami kryminalistycznymi Cellebrite, budząc obawy etyczne dotyczące ich wykorzystania do nieautoryzowanego nadzoru.

Oprogramowanie szpiegujące umożliwiło atakującym obejście szyfrowania, wyodrębnienie poufnych informacji oraz aktywację kamer i mikrofonów urządzeń. Kampania ta wzmacnia pilną potrzebę egzekwowania przez organizacje surowych zasad dotyczących urządzeń, edukowania użytkowników na temat potencjalnych zagrożeń i zapewnienia terminowych aktualizacji w celu załatania znanych luk w zabezpieczeniach.

(Source: Securityweek.com)

6. CISA publikuje najlepsze praktyki dotyczące zabezpieczania środowisk chmurowych Microsoft 365

Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wprowadziła Wiążącą Dyrektywę Operacyjną (BOD) 25-01, która nakazuje wzmocnienie środków bezpieczeństwa dla środowisk Microsoft 365. Środki te obejmują wykorzystanie narzędzia oceny SCuBA w celu zapewnienia zgodności z zasadami bezpiecznej konfiguracji (SCB).

Inicjatywa ta, choć skierowana do amerykańskich agencji federalnych, oferuje cenne informacje dla przedsiębiorstw na całym świecie. Organizacje mogą przyjąć te praktyki, aby zająć się typowymi błędnymi konfiguracjami chmury, zmniejszyć powierzchnie ataku i zwiększyć ogólną odporność na zaawansowane zagrożenia.

(Source: cybersecuritynews.com)

7. Apple wprowadza główne aktualizacje zabezpieczeń systemów iOS i macOS

Apple wydało krytyczne aktualizacje dla iOS 18.2 i macOS Sequoia 15.2, usuwające luki w komponentach takich jak jądro, WebKit i ImageIO. Luki te, jeśli zostaną wykorzystane, mogą prowadzić do wycieku danych, obejścia sandboxa lub wykonania dowolnego kodu.

Biorąc pod uwagę powszechne wykorzystanie urządzeń Apple w środowiskach korporacyjnych, zespoły IT muszą priorytetowo stosować te poprawki, aby ograniczyć potencjalne ryzyko. To wydarzenie podkreśla znaczenie utrzymania solidnej strategii zarządzania poprawkami.

(Source: Securityweek.com)

8. Arctic Wolf przejmuje Cylance Endpoint Security za 160 milionów dolarów

Arctic Wolf przejął firmę Cylance od BlackBerry w ramach transakcji o wartości 160 milionów dolarów, mającej na celu ulepszenie oferty zabezpieczeń punktów końcowych. Przejęcie to wzmacnia platformę Aurora firmy Arctic Wolf poprzez integrację funkcji opartych na sztucznej inteligencji w celu bardziej kompleksowego wykrywania zagrożeń i reagowania na nie.

Posunięcie to odzwierciedla rosnące zapotrzebowanie na ujednolicone rozwiązania bezpieczeństwa zdolne do radzenia sobie z nowoczesnymi zagrożeniami dla przedsiębiorstw. Organizacje są zachęcane do odkrywania takich zintegrowanych platform w celu usprawnienia operacji bezpieczeństwa i wzmocnienia cyberobrony.

(Source: Securityweek.com)

9. Cohesity kończy fuzję z Veritas, stając się największym dostawcą oprogramowania do ochrony danych

Cohesity z powodzeniem połączyło się z Veritas, tworząc największego na świecie dostawcę oprogramowania do ochrony danych. Przejęcie za 7 miliardów dolarów łączy zaawansowane możliwości Cohesity w zakresie sztucznej inteligencji i bezpieczeństwa z rozległą obsługą zleceń Veritas i globalnym zasięgiem. Połączona firma obsługuje obecnie ponad 12 000 klientów, w tym 85 przedsiębiorstw z listy Fortune 100 i prawie 70% firm z listy Global 500.

Fuzja ta zwiększa zdolność Cohesity do dostarczania zaawansowanych narzędzi odporności cybernetycznej, obsługi wielu chmur i generatywnego wglądu w dane przedsiębiorstwa opartego na sztucznej inteligencji. Wraz ze wzrostem skali i złożoności cyberzagrożeń, współpraca ta ma na celu dostarczenie wiodących w branży rozwiązań do ochrony wrażliwych informacji i poprawy wydajności operacyjnej.

Dla przedsiębiorstw rozwój ten oznacza rozszerzoną gamę narzędzi do radzenia sobie z wyzwaniami w zakresie ochrony danych, odzyskiwania danych po ataku ransomware i zgodności z przepisami, przy jednoczesnym wykorzystaniu możliwości sztucznej inteligencji nowej generacji.

(Source: Securitybrief.asia)

10. Cyberatak zakłóca kanadyjską jednostkę biznesową LKQ Corporation

LKQ Corporation, wiodący dostawca części samochodowych działający w 1600 lokalizacjach na całym świecie, ujawnił niedawno cyberatak wymierzony w jego kanadyjską jednostkę biznesową. Incydent ten, zgłoszony do SEC, podkreśla ciągłe wyzwania związane z cyberbezpieczeństwem dla międzynarodowych korporacji.

Atak, wykryty 13 listopada, spowodował zakłócenia operacyjne na kilka tygodni. Chociaż LKQ twierdzi, że nie oczekuje się, aby wpływ finansowy był znaczący, zdarzenie to uwypukla luki nieodłącznie związane ze zdecentralizowanymi systemami informatycznymi. Od tego czasu korporacja przywróciła niemal pełną zdolność operacyjną i współpracuje z ubezpieczycielami cyberbezpieczeństwa w celu odzyskania związanych z tym kosztów.

Chociaż natura ataku pozostaje niejasna, żadna znana grupa ransomware nie przyznała się do odpowiedzialności. Rodzi to pytania o ewoluującą taktykę cyberprzestępców i odporność korporacyjnej infrastruktury IT na wyrafinowane zagrożenia.

(Source: Securityweek.com)

Skontaktuj się z nami

Chcesz dowiedzieć się więcej na ten temat?

Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.

Zadzwoń teraz
Placeholder for Portrait of french manPortrait of french man
Updates

Więcej aktualizacji