Cyberbezpieczeństwo

Nomios Weekly CyberWednesday: Top 10 aktualizacji dotyczących cyberbezpieczeństwa (26.09 - 02.10)

Do przeczytania w 8 min.
Placeholder for Man sitting behind screen thinkingMan sitting behind screen thinking

Share

Witamy w cotygodniowym wydaniu Nomios Weekly CyberWednesday, w którym przedstawiamy najważniejsze aktualizacje dotyczące cyberbezpieczeństwa i sieci z całego świata.Wiadomości z tego tygodnia obejmują istotne incydenty, nowe luki w zabezpieczeniach i ewoluujące zagrożenia, które mogą mieć wpływ na specjalistów IT i duże przedsiębiorstwa w całej Europie.

1. Meta ukarana grzywną w wysokości 91 milionów euro za przechowywanie milionów haseł do Facebooka i Instagrama w postaci zwykłego tekstu

Irlandzka Komisja Ochrony Danych (DPC) ukarała firmę Meta grzywną w wysokości 91 milionów euro za nieprzestrzeganie przepisów RODO dotyczących bezpieczeństwa danych użytkowników. Grzywna jest następstwem dochodzenia w sprawie incydentu z marca 2019 r., w którym znaleziono hasła użytkowników Facebooka i Instagrama przechowywane w postaci zwykłego tekstu. DPC stwierdził, że Meta naruszyła kilka artykułów RODO, nie zabezpieczając tych danych i zaniedbując terminowe powiadomienie organów regulacyjnych.

Incydent ten podkreśla ryzyko związane z niewłaściwym przetwarzaniem wrażliwych danych oraz potrzebę stosowania przez firmy silnych praktyk szyfrowania w celu ochrony danych uwierzytelniających użytkowników. Nadzór firmy Meta pozwolił ponad 2000 inżynierom na wykonanie milionów zapytań w celu uzyskania dostępu do haseł w postaci zwykłego tekstu w latach 2012-2019. Chociaż Meta twierdzi, że żadne dowody nie wskazują na niewłaściwe użycie tych haseł, ten błąd budzi poważne obawy co do wewnętrznych praktyk bezpieczeństwa. Dla organizacji w Europie sprawa ta jest przypomnieniem, aby zapewnić zgodność z RODO i wdrożyć solidne środki ochrony danych. Źródło:The Hacker News

2. Microsoft: Środowiska chmurowe amerykańskich organizacji celem ataków ransomware

Microsoft zidentyfikował niepokojący trend polegający na tym, że środowiska chmury hybrydowej są coraz częściej celem ataków grupy ransomware Storm-0501. Grupa ta, znana z ataków motywowanych finansowo, wykorzystuje mieszankę narzędzi typu commodity i open-source do atakowania różnych sektorów, w tym rządowego, organów ścigania i produkcji. Podstawowa metoda Storm-0501 polega na przemieszczaniu się między systemami lokalnymi i chmurowymi, wykorzystując słabe dane uwierzytelniające i luki w narzędziach takich jak Citrix NetScaler, Zoho ManageEngine i Adobe ColdFusion.

Schemat ataku polega na wykorzystaniu naruszonych poświadczeń w celu uzyskania dostępu na poziomie administratora i wdrożenia narzędzi do zdalnego zarządzania, które umożliwiają dalszy ruch boczny. Microsoft ostrzega, że po wejściu do środowiska chmurowego atakujący tworzą stały dostęp typu backdoor, kradną poufne dane i wdrażają oprogramowanie ransomware, takie jak Alphv/BlackCat i LockBit, w sieciach ofiar. Wiadomość ta jest szczególnie niepokojąca dla organizacji zarządzających infrastrukturą chmury hybrydowej, ponieważ podkreśla znaczenie zabezpieczania punktów dostępu i regularnego łatania znanych luk w zabezpieczeniach. Źródło: Securityweek.com

3. Dziura w systemie macOS ChatGPT mogła umożliwić długoterminowe oprogramowanie szpiegujące za pośrednictwem funkcji pamięci

Nowo odkryta luka w aplikacji ChatGPT na macOS mogła doprowadzić do długotrwałej infekcji systemów użytkowników oprogramowaniem szpiegującym. Luka, nazwana „SpAIware”, pozwalała atakującym na wykorzystanie funkcji pamięci narzędzia AI do przechwytywania poufnych informacji z przeszłych i przyszłych rozmów użytkowników. Funkcja pamięci ChatGPT została zaprojektowana do zapamiętywania pewnych szczegółów użytkownika w czatach w celu poprawy komfortu użytkowania, ale funkcja ta stała się zagrożeniem, gdy atakujący manipulowali nią w celu eksfiltracji danych podczas wielu sesji.

Ryzyko potęgował fakt, że usuwanie poszczególnych czatów nie czyściło pamięci AI, potencjalnie pozostawiając poufne informacje dostępne przez dłuższy czas. Atakujący mogli nakłonić użytkowników do odwiedzenia złośliwych stron internetowych lub pobrania zainfekowanych plików, osadzając w ten sposób instrukcje w pamięci sztucznej inteligencji. Chociaż OpenAI załatało ten błąd, stanowi on ostrzeżenie dla organizacji korzystających z narzędzi sztucznej inteligencji, które gromadzą i przetwarzają wrażliwe dane - zwłaszcza w środowiskach korporacyjnych, w których bezpieczeństwo danych ma kluczowe znaczenie. Źródło: The Hacker News

4. Miliony samochodów Kia narażone na zdalne włamanie

Ogromna luka w zabezpieczeniach systemu zarządzania pojazdami Kia mogła pozwolić atakującym na przejęcie kontroli nad kluczowymi funkcjami pojazdu, w tym odblokowywaniem drzwi, uruchamianiem silników i zdalnym śledzeniem pojazdów. Badacz bezpieczeństwa Sam Curry odkrył, że atakujący mogli wykorzystać tablicę rejestracyjną samochodu do wykorzystania tych luk i wykonywania poleceń za pośrednictwem backendowego interfejsu API Kia. Luki dotyczyły wszystkich pojazdów Kia wyprodukowanych po 2013 roku, wpływając na miliony samochodów na całym świecie.

Luka powstała w wyniku błędów w portalach dealerów i właścicieli Kia, które mogły wykonywać polecenia internetowe do pojazdów bez odpowiedniej walidacji. Atakujący mogli zbierać dane osobowe, takie jak adres e-mail, numer telefonu i adres właściciela, i dodawać siebie jako drugorzędnych użytkowników na koncie pojazdu - bez powiadamiania pierwotnego właściciela. Od tego czasu Kia załatała luki w zabezpieczeniach po otrzymaniu informacji od badaczy w połowie 2024 r., ale incydent ten podkreśla ryzyko związane z połączonymi systemami IoT i potrzebę ciągłego monitorowania bezpieczeństwa. Źródło: Securityweek.com

5. Agencje Five Eyes publikują wytyczne dotyczące wykrywania włamań do Active Directory

W ramach skoordynowanych wysiłków agencje ds. cyberbezpieczeństwa należące do sojuszu Five Eyes opublikowały wspólne wytyczne dotyczące tego, w jaki sposób organizacje mogą wykrywać i łagodzić zagrożenia w usłudze Microsoft Active Directory (AD). Active Directory jest kluczowym komponentem w większości infrastruktur IT przedsiębiorstw, wykorzystywanym do uwierzytelniania i kontroli dostępu. Jednak jego złożona konfiguracja i ustawienia domyślne sprawiają, że jest on głównym celem dla atakujących, którzy często wykorzystują AD do uzyskania pełnego dostępu do sieci korporacyjnych.

Wytyczne sugerują przyjęcie wielopoziomowego modelu dostępu, takiego jak Enterprise Access Model firmy Microsoft, który pomaga zapobiegać ujawnianiu poświadczeń wysokiego poziomu w systemach niższego poziomu. Raport zaleca również stosowanie „obiektów kanaryjskich” w AD, które działają jako systemy wczesnego ostrzegania w celu wykrywania ataków Kerberoasting i DCSync. Zajmując się tymi zagrożeniami bezpieczeństwa AD, organizacje mogą chronić swoje sieci przed długoterminowymi kompromisami, zapewniając, że nawet wyrafinowani napastnicy będą narażeni na większe ryzyko wykrycia. Źródło:Securityweek.com

6. Północnokoreańscy hakerzy powiązani z włamaniem do niemieckiego producenta rakiet

Sponsorowana przez Koreę Północną grupa hakerska Kimsuky, znana również jako APT43, została zamieszana w włamanie do Diehl Defence, niemieckiej firmy specjalizującej się w produkcji rakiet. Atakujący uzyskali dostęp poprzez wyrafinowaną kampanię spear-phishingową, w ramach której pracownikom wysyłano oferty pracy podszywające się pod amerykańskich wykonawców z branży obronnej. Wykorzystując złośliwe pliki PDF i dobrze przygotowaną inżynierię społeczną, atakujący byli w stanie przeniknąć do systemów firmy.

Atak jest istotny nie tylko dlatego, że Diehl Defence produkuje pociski rakietowe dla różnych krajów, ale także dlatego, że podkreśla podatność wykonawców z branży obronnej na cyberszpiegostwo sponsorowane przez państwo. Kimsuky jest znany z atakowania organizacji na całym świecie w celu wspierania ambicji nuklearnych Korei Północnej. Europejskie firmy zbrojeniowe powinny pozostać w stanie wysokiej gotowości, ponieważ podmioty państwowe coraz częściej atakują infrastrukturę krytyczną w swoich kampaniach cybernetycznych. Źródło:Securityweek.com

7. Shadow AI, ujawnianie danych - plaga korzystania z chatbotów w miejscu pracy

W miarę jak coraz więcej firm włącza generacyjne narzędzia AI, takie jak ChatGPT i Grammarly, do swoich przepływów pracy, wielu pracowników nieświadomie udostępnia wrażliwe dane tym platformom. Badanie przeprowadzone przez National Cybersecurity Alliance (NCA) wykazało, że 38% pracowników udostępniło zastrzeżone informacje narzędziom AI bez zgody pracodawcy. Działania te mogą prowadzić do znacznego ryzyka narażenia danych, ponieważ narzędzia AI zazwyczaj przechowują dane wprowadzone przez użytkowników, dzięki czemu można je później odzyskać.

Niektóre firmy, takie jak Samsung, doświadczyły już głośnych incydentów związanych z ujawnieniem danych AI. Ponieważ wykorzystanie sztucznej inteligencji stale rośnie, firmy muszą priorytetowo traktować szkolenie pracowników w zakresie ryzyka związanego z udostępnianiem wrażliwych informacji platformom AI. Ponadto organizacje powinny opracować zasady ograniczające rodzaje danych, które pracownicy mogą wprowadzać do tych narzędzi, aby zapobiec niezamierzonym wyciekom zastrzeżonych informacji. Źródło: Dark Reading

8. CrowdStrike przeprasza za globalną przerwę w świadczeniu usług

W lipcu 2024 r. firma CrowdStrike wydała wadliwą aktualizację konfiguracji treści, która spowodowała awarię milionów systemów Windows na całym świecie. Aktualizacja doprowadziła do powszechnych przerw w świadczeniu usług, wpływając na firmy, agencje rządowe i infrastrukturę krytyczną. Starszy wiceprezes CrowdStrike, Adam Meyers, zeznawał niedawno przed Komisją Bezpieczeństwa Wewnętrznego Izby Reprezentantów Stanów Zjednoczonych, gdzie opisał incydent jako wynik „idealnej burzy” nieprzewidzianych kwestii technicznych.

Zakłócenie wywołało poważne obawy dotyczące procesów testowania i walidacji firmy, zwłaszcza że obsługuje ona dużą liczbę klientów o wysokim profilu we wrażliwych sektorach. Od czasu incydentu CrowdStrike wprowadził kilka zmian w swoim procesie aktualizacji, w tym bardziej rygorystyczne testy, stopniowe wdrażanie i zwiększoną kontrolę klienta nad tym, kiedy aktualizacje są stosowane. Incydent ten stanowi przypomnienie dla organizacji polegających na zewnętrznych dostawcach zabezpieczeń, aby upewnić się, że ich plany ciągłości działania są wystarczająco solidne, aby poradzić sobie z podobnymi awariami. Źródło:Dark Reading

9. USA oskarżają rosyjskich hakerów stojących za Joker's Stash i Cryptex

Rząd USA nałożył sankcje i postawił w stan oskarżenia dwóch czołowych rosyjskich hakerów odpowiedzialnych za prowadzenie Joker's Stash, jednej z największych platform cardingowych w ciemnej sieci, oraz Cryptex, giełdy kryptowalut wykorzystywanej do prania skradzionych funduszy. Joker's Stash sprzedał miliony danych kart płatniczych skradzionych od głównych detalistów, podczas gdy Cryptex ułatwił duże transakcje ransomware, w tym rekordowy okup w wysokości 75 milionów dolarów zapłacony przez firmę z listy Fortune 50.

Te akty oskarżenia są częścią szerszych wysiłków organów ścigania mających na celu rozprawienie się z sieciami cyberprzestępczymi zaangażowanymi w operacje cardingowe i ransomware. Sprawa ta przypomina o globalnym charakterze cyberprzestępczości i znaczeniu współpracy międzynarodowej w zwalczaniu tych wyrafinowanych operacji przestępczych. Europejskie przedsiębiorstwa powinny zachować czujność, ponieważ skutki tych operacji mogą rozprzestrzenić się na sektor finansowy i detaliczny na całym świecie. Źródło: Krebs on Security

10. Narzędzie Microsoft Windows Recall AI powraca z ulepszonym szyfrowaniem i bezpieczeństwem

Po napotkaniu znacznego sprzeciwu w związku z obawami o prywatność, Microsoft ponownie wydał narzędzie Windows Recall AI z istotnymi ulepszeniami bezpieczeństwa. Narzędzie, które wykorzystuje sztuczną inteligencję do tworzenia przeszukiwalnej pamięci działań użytkowników na ich urządzeniach z systemem Windows, zawiera teraz szyfrowanie dowodu obecności, kontrole antysabotażowe i izolację danych w bezpiecznych enklawach.

Te nowe funkcje mają na celu zapobieganie niewłaściwemu użyciu narzędzia, zapewniając, że wrażliwe dane użytkownika pozostają chronione. Windows Recall jest teraz usługą opt-in, pozwalającą użytkownikom wybrać, czy narzędzie jest włączone, czy nie. Zmiany te podkreślają ciągłe wysiłki Microsoftu na rzecz zrównoważenia innowacji opartych na sztucznej inteligencji z silnymi zabezpieczeniami prywatności i bezpieczeństwa, dzięki czemu narzędzie jest bezpieczniejsze do użytku w przedsiębiorstwach. Źródło:Securityweek.com

Bądź na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, śledząc te historie i upewnij się, że protokoły bezpieczeństwa Twojej organizacji są aktualne.

Eksperci ds. bezpieczeństwa

Potrzebujesz konsultacji eksperta?

Zapraszamy na krótką rozmowę lub wideokonferencję. Skontaktuj się z nami – porozmawiamy o wyzwaniach związanych z bezpieczeństwem, którym stawiasz czoła, przyjrzymy się bliżej dostawcom, omówimy też Twoje projekty IT. Jesteśmy po to, aby Ci pomóc.

Placeholder for Portrait of engineer beard wearing poloPortrait of engineer beard wearing polo
Updates

Więcej aktualizacji