Czas na kolejny CyberWednesday! Cyberzagrożenia rozwijają się w błyskawicznym tempie, dlatego nadążanie za nimi jest ważniejsze niż kiedykolwiek. Od ataków na systemy sztucznej inteligencji po działania sponsorowanych przez państwa grup hakerskich – żadna technologia ani organizacja nie jest w pełni odporna. Ransomware staje się coraz bardziej zaawansowane, luki w zabezpieczeniach są bezlitośnie wykorzystywane, a cyberprzestępcy coraz śmielej sięgają po AI, by zwiększyć skuteczność swoich działań.
1. Rosyjskie grupy cyberprzestępcze wykorzystują lukę w 7-Zip, aby ominąć zabezpieczenia MotW systemu Windows
W lutym 2025 r. pojawiły się doniesienia, że rosyjskie grupy cyberprzestępcze aktywnie wykorzystywały niedawno załataną lukę w narzędziu archiwizującym 7-Zip, zidentyfikowaną jako CVE-2025-0411. Luka ta pozwala atakującym na ominięcie zabezpieczeń Mark-of-the-Web (MotW) systemu Windows, umożliwiając wykonanie dowolnego kodu na docelowych systemach. Metoda exploita obejmuje kampanie spear-phishingowe, w których złośliwi aktorzy wykorzystują ataki homoglifowe do ukrywania złośliwych plików jako legalnych dokumentów, oszukując zarówno użytkowników, jak i system operacyjny Windows. Warto zauważyć, że kampanie te zostały powiązane z działaniami cyberszpiegowskimi wymierzonymi w organizacje rządowe i pozarządowe na Ukrainie, pośród trwającego konfliktu rosyjsko-ukraińskiego. Głównym ładunkiem dostarczanym przez tę lukę jest złośliwe oprogramowanie SmokeLoader, znane ze swoich możliwości kradzieży danych i kompromitacji systemu. Ataki koncentrują się przede wszystkim na mniejszych jednostkach samorządu lokalnego, które ze względu na ograniczone zasoby na cyberbezpieczeństwo stanowią dla cyberprzestępców łatwy cel. Mogą one pełnić rolę furtki do bardziej strategicznych instytucji, umożliwiając atakującym dalszą eskalację zagrożenia. Użytkownikom zaleca się zaktualizowanie instalacji 7-Zip do wersji 24.09 lub nowszej oraz zachowanie ostrożności w przypadku niechcianych wiadomości e-mail i załączników. (Źródło: thehackernews.com)
2. W 2024 r. wykorzystano 768 CVE, co oznacza wzrost o 20% w porównaniu z 2023 r.
W 2024 roku odnotowano 768 podatności zidentyfikowanych numerami CVE, które zostały wykorzystane w rzeczywistych scenariuszach, co stanowi wzrost o 20% w porównaniu do 639 CVE wykorzystanych w 2023 roku. Według VulnCheck, 23,6% tych znanych wykorzystanych podatności zostało uzbrojonych w dniu lub przed ich publicznym ujawnieniem, co stanowi niewielki spadek z 26,8% w 2023 roku. Trend ten podkreśla ciągłe zagrożenie ze strony cyberprzestępców celujących w podatności oprogramowania. Szczególnie podatność Log4j (CVE-2021-44228) była powiązana z 31 zidentyfikowanymi aktorami zagrożeń, co wskazuje na jej powszechne wykorzystanie. Organizacjom zaleca się ocenę swojej ekspozycji na takie podatności, zwiększenie widoczności zagrożeń, utrzymanie solidnych praktyk zarządzania poprawkami oraz wdrożenie środków łagodzących w celu zmniejszenia potencjalnych ryzyk. (Źródło: thehackernews.com)
3. Meta potwierdza atak oprogramowania szpiegującego Zero-Click WhatsApp na 90 dziennikarzy i aktywistów
WhatsApp, należący do Meta, ogłosił zakłócenie kampanii szpiegowskiej wymierzonej w około 90 dziennikarzy i członków społeczeństwa obywatelskiego w ponad dwudziestu krajach, w tym w kilku w Europie. Oprogramowanie szpiegujące, opracowane przez izraelską firmę Paragon Solutions, zostało wdrożone za pomocą exploita typu zero-click, prawdopodobnie poprzez specjalnie spreparowane pliki PDF wysyłane do osób dodanych do czatów grupowych na WhatsApp. Ta metoda pozwalała na zainfekowanie urządzeń bez jakiejkolwiek interakcji użytkownika. WhatsApp skontaktował się z poszkodowanymi użytkownikami, wyrażając "wysokie przekonanie", że byli oni celem ataku i mogli zostać skompromitowani. Firma podkreśliła potrzebę pociągnięcia firm produkujących oprogramowanie szpiegujące do odpowiedzialności za nielegalne działania i wystosowała list z nakazem zaprzestania działalności do Paragon, rozważając dalsze kroki. Incydent ten podkreśla ciągłe wyzwania w zakresie ochrony prywatności użytkowników przed zaawansowanymi narzędziami nadzoru. (Źródło: thehackernews.com)
4. Krytyczna luka w oprogramowaniu Veeam
Krytyczna luka oznaczona jako CVE-2025-23114 została wykryta w komponencie Veeam Updater, kluczowym dla różnych rozwiązań do tworzenia kopii zapasowych firmy Veeam. Luka ta umożliwia atakującym wykonanie dowolnego kodu na zaatakowanych serwerach poprzez ataki typu Man-in-the-Middle (MitM), co potencjalnie daje im dostęp na poziomie root. Problem wynika z niebezpiecznych kanałów komunikacyjnych używanych przez Veeam Updater podczas przesyłania wrażliwych danych. Wykorzystując tę słabość, napastnicy mogą przechwytywać i manipulować żądaniami aktualizacji, wstrzykując złośliwy kod w celu przejęcia pełnej kontroli nad systemem. Veeam rozwiązał ten problem, wydając aktualizacje naprawiające dotknięty komponent w nowszych wersjach oprogramowania. Użytkownikom zdecydowanie zaleca się aktualizację swoich urządzeń do tworzenia kopii zapasowych do najnowszych wersji w celu minimalizacji potencjalnego ryzyka. (Źródło: cybersecuritynews.com)
5. Luka w zabezpieczeniach Jailbreak ChatGPT-4o „Time Bandit” umożliwia atakującym tworzenie złośliwego oprogramowania
Ostatnie badania w dziedzinie cyberbezpieczeństwa ujawniły lukę w ChatGPT-4.0, która pozwala użytkownikom ominąć filtry bezpieczeństwa. Wykorzystanie tej luki, określane jako „jailbreak”, umożliwia manipulowanie odpowiedziami sztucznej inteligencji w celu generowania potencjalnie szkodliwej treści. Eksperci ds. bezpieczeństwa zaprezentowali tę technikę, aby podkreślić ryzyka i wyzwania związane z wdrażaniem tak zaawansowanych systemów AI. Odkrycie to wywołało poważne obawy dotyczące możliwości nadużycia technologii przez osoby działające w złej wierze. Programiści i badacze zostali wezwani do współpracy i wdrożenia silniejszych zabezpieczeń, które zapobiegną przyszłym exploitom. (Źródło:cybersecuritynews.com)
6. Nowa technika threat huntingu w celu odkrycia złośliwej infrastruktury przy użyciu historii SSL
W dobie rosnących zagrożeń cybernetycznych monitorowanie certyfikatów SSL/TLS nabiera kluczowego znaczenia. Dzięki regularnej analizie można błyskawicznie wykrywać potencjalne ataki oraz nieautoryzowane działania w sieci, co umożliwia szybką reakcję. Efektywne zarządzanie infrastrukturą SSL pozwala na identyfikację nieprawidłowości i ochronę systemów przed możliwymi nadużyciami. Nowoczesne narzędzia i metody ułatwiają ocenę ryzyka oraz podnoszenie poziomu bezpieczeństwa cyfrowego. Łączenie danych certyfikatowych z informacjami z innych źródeł dodatkowo wzmacnia obronę przed cyberatakami. W ten sposób SSL Intelligence staje się fundamentem współczesnych strategii ochrony w cyberprzestrzeni. (Źródło:cybersecuritynews.com)
7. Oszustwa oparte na sztucznej inteligencji stają się coraz powszechniejsze w instytucjach finansowych
Raport AuthenticID ujawnia narastające zagrożenie w sektorze finansowym, gdy cyberprzestępcy stosują coraz bardziej zaawansowane metody włamywania się do systemów. Banki i instytucje finansowe stają się głównymi celami tych złośliwych działań. Badanie wykazało znaczny wzrost oszustw tożsamościowych, osiągając wskaźnik 2,1% transakcji w 2024 r., w porównaniu z poprzednim 1,27% w 2022 r. Dodatkowo w 2024 roku nastąpił wzrost liczby oszustw związanych z deepfake, który dotknął 46% instystucji, Raport podkreśla, że ochrona przed tego rodzaju zagrożeniami wymaga wdrożenia kompleksowych systemów zabezpieczeń i ciągłego monitorowania sytuacji. Zwraca się uwagę na konieczność współpracy między sektorem prywatnym a organami regulacyjnymi, co pozwoli na skuteczniejsze reagowanie na nowe rodzaje cyberataków. W obliczu dynamicznie zmieniającego się krajobrazu zagrożeń, inwestycje w nowoczesne technologie ochrony oraz szkolenia pracowników stają się kluczowym elementem strategii bezpieczeństwa. (Źródło:cybermagazine.com)
8. 3 organizacje zajmujące się ochroną zdrowia zgłaszają ataki hakerskie w 2024
W 2024 r. trzy organizacje opieki zdrowotnej w Stanach Zjednoczonych zgłosiły znaczące cyberataki, które dotknęły łącznie ponad 1,2 miliona pacjentów. Jedno z największych naruszeń dotyczyło NorthBay Healthcare w Kalifornii, gdzie nieautoryzowany dostęp naraził na szwank poufne pliki ponad 569 000 osób. Inny incydent dotknął River Region Cardiology w Alabamie, która powiadomiła około 500 000 pacjentów po cyberataku na zdalne połączenie wykorzystywane przez zewnętrznego dostawcę. Ponadto Delta Health w Kolorado doświadczyła naruszenia, które miało wpływ na około 148 000 pacjentów z powodu podejrzanej aktywności sieciowej. Incydenty te podkreślają niepokojący trend ukierunkowanych cyberataków w sektorze opieki zdrowotnej, podkreślając pilną potrzebę solidnych środków cyberbezpieczeństwa i ciągłego monitorowania. Wydarzenia te służą jako kluczowe przypomnienie dla organizacji opieki zdrowotnej, aby inwestowały w silniejsze zabezpieczenia i skuteczne strategie reagowania na incydenty. (Źródło:govinfosecurity.com)
9. Browser Syncjacking: Jak dowolne rozszerzenie przeglądarki może zostać użyte do przejęcia urządzenia?
W styczniu 2025 roku zespół badawczy SquareX ujawnił krytyczną lukę nazwaną "Browser Syncjacking", która wykorzystuje funkcje synchronizacji przeglądarek internetowych. Atak ten polega na złośliwych rozszerzeniach przeglądarki, które po zainstalowaniu mogą przejąć profil użytkownika, synchronizując go z kontem kontrolowanym przez atakującego. W rezultacie napastnicy uzyskują dostęp do wrażliwych danych, takich jak hasła, historia przeglądania i informacje autouzupełniania. Proces eksploatacji dzieli się na trzy etapy: przejęcie profilu, przejęcie przeglądarki i przejęcie urządzenia. Odkrycie to podkreśla pilną potrzebę ostrożności przy instalowaniu rozszerzeń przeglądarki oraz regularnego przeglądania i zarządzania ustawieniami przeglądarki w celu zminimalizowania potencjalnych zagrożeń bezpieczeństwa. (Źródło: labs.sqrx.com)
10. Tajwan zakazuje DeepSeek AI z powodu obaw o bezpieczeństwo narodowe, powołując się na ryzyko wycieku danych
Tajwańskie Ministerstwo Spraw Cyfrowych ogłosiło zakaz korzystania z usług sztucznej inteligencji firmy DeepSeek przez agencje rządowe, powołując się na obawy dotyczące bezpieczeństwa informacji narodowych. Ministerstwo podkreśliło, że DeepSeek, jako produkt chiński, wiąże się z transgraniczną transmisją danych, co zwiększa ryzyko wycieku informacji. Ten krok jest zgodny z działaniami podjętymi przez inne kraje, takie jak Włochy, które niedawno zablokowały DeepSeek z powodu niewystarczającej przejrzystości w zakresie praktyk dotyczących przetwarzania danych. Narastające obawy wynikają z lęków, że rząd chiński mógłby potencjalnie wykorzystać systemy AI, takie jak DeepSeek, do operacji wpływu zagranicznego, kampanii dezinformacyjnych, nadzoru i rozwoju cyberbroni. W konsekwencji kilka krajów analizuje działalność DeepSeek w celu ochrony swojego bezpieczeństwa narodowego i prywatności danych. (Źródło: thehackernews.com)
Bądź na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, śledząc te historie i upewnij się, że protokoły bezpieczeństwa Twojej organizacji są aktualne.
