Добро пожаловать в Кибербезопасность сегодня. Из Торонто это выпуск подкаста «Неделя в обзоре» за неделю, заканчивающуюся в пятницу, 23 февраля 2024 года. Я Говард Соломон, репортер по кибербезопасности для ITWorldCanada.com и TechNewsday.com в США.
Через несколько минут Терри Катлер из Cyology Labs будет здесь, чтобы обсудить последние новости. Но сначала обзор заголовков за последние семь дней:
Правоохранительные органы из 10 стран поразите банду вымогателей Lockbit там, где болит: Они захватили контроль над его веб-сайтом, 28 серверами и многим другим. Это будет тема 1 в обсуждении, в которое также будут включены сообщения организаций, которые до сих пор не видят альтернативы, кроме как платить бандам программ-вымогателей.
Мы также рассмотрим отчет о том, что департамент штата США был скомпрометирован через учетные данные бывшего сотрудника, завершение канадской программы помощи небольшим компаниям в модернизации своих ИТ и почему компании страдают от утечек данных не уведомляйте жертв быстрее.
Также в новостях этой недели, исследователи из Cisco Systems заявили Злоумышленники все чаще используют сервис Google Cloud Run для фишинговых атак. Google Cloud Run позволяет разработчикам создавать и развертывать веб-сервисы в Google Cloud. Но это также недорогой способ развернуть инфраструктуру распространения вредоносного ПО, которая, вероятно, не занесена в черный список многих приложений безопасности. Отчет Cisco включает URL-адреса, IP-адреса и домены, которые необходимо заблокировать.
Хакеры все чаще получают и используют действительные учетные данные в качестве первого способа взлома ИТ-сетей. Это согласно новому отчету IBM. это, опять же, подчеркивает необходимость того, чтобы ИТ-отделы внедрили средства управления идентификацией и доступом.
Разработчики трояна Anasta которые скрываются во вредоносных приложениях для Android, более активны. Это вредоносное ПО крадет учетные данные для входа в банк у жертв, которые были достаточно глупы, чтобы загрузить вредоносные приложения. Исследователи ThreatFabric говорят последняя версия добавила в целевой список больше финансовых учреждений. Исследователи также говорят, что последняя версия предназначена для смартфонов Samsung. Банкам необходимо следить за подозрительными операциями по снятию средств с мобильных устройств.
И еще два вредоносных пакета были найдены в библиотеке PyPI с открытым исходным кодом для Python. Исследователи ReversingLabs говорят: пара пакетов использует неопубликованную загрузку DLL для запуска вредоносного ПО. Как и в случае со многими фальшивыми пакетами, их имена очень похожи на настоящие пакеты. Это открытие является еще одним напоминанием разработчикам о необходимости быть осторожными при использовании кода из библиотек с открытым исходным кодом.
(Ниже приводится отредактированная стенограмма первой из пяти обсуждаемых тем)
Говард: Ко мне сейчас из Монреаля присоединился Терри Катлер из Киологические лаборатории. На этой неделе банда вымогателей LockBit понесла серьезный удар, когда правоохранительные органы во главе с Великобританией и США захватили как минимум один из веб-сайтов банды, 28 серверов, исходный код и, возможно, многое другое. Вопрос: Насколько сильным был это удар?
Терри Катлер: Я думаю, это было важно, потому что правоохранительные органы прервали значительный финансовый поток банды. Это также подчеркивает возможности международного сотрудничества. Как вы упомянули. ФБР работало с Великобританией и другими странами над сбором и обменом информацией, чтобы уничтожить эту банду. Для тех из вас, кто не знает, эта банда вымогателей заработала около 120 миллионов долларов США от более чем 2000 жертв по всему миру.
Когда они [police] Получив доступ к серверу, они также получили доступ к конфиденциальной внутренней работе банды — о том, как настроены серверы — и они также смогли получить более тысячи ключей дешифрования. Таким образом, они могут выйти и помочь жертвам расшифровать их данные, не заставляя их платить.
Но проблема, которую мы видим, заключается в том, что у банды, предлагающей программы-вымогатели как услугу, есть потенциал для ребрендинга. Мы подозреваем, что многие участники просто перегруппируются.
Говард: Известно, что банды программ-вымогателей тем или иным образом восстают из мертвых, либо реанимируя свою инфраструктуру, либо формируя новую банду. Как вы думаете, сколько времени потребуется LockBit на восстановление?
Терри: Все будет зависеть от того, насколько быстро они смогут внедрять инновации. Назовем это сбоем. Это дает банде возможность оценить, что пошло не так, как правоохранительные органы получили доступ к их информации, что они могут сделать лучше. Как только у них будет такая небольшая пауза, они перегруппируются и перестроятся, но за это время атак программ-вымогателей, вероятно, станет немного меньше.
Говард: Мы записали этот подкаст в четверг, тогда же Исследователи Trend Micro опубликовали увлекательный анализ банды Lockbit и его недавние технические и эксплуатационные проблемы. Исследователи также наткнулись на нечто похожее на новый вариант кода-вымогателя LockBit, над которым, вероятно, работала банда. Это будет четвертое поколение кода. Раскрытие этого кода нанесет ущерб банде и всем ее планам использовать его в будущем.
Терри: Что интересно, в отчете за октябрь 2021 г. [a researcher] брали интервью у LockBit, и они всегда чувствовали, что существует риск их взлома… Правоохранительные органы становятся очень сообразительными в правильном сборе доказательств и преследовании этих групп.
Говард: В конце 2022 года здесь был арестован канадский член банды. Ранее в этом месяце он признал себя виновным по нескольким обвинениям и скоро будет приговорен — а затем его также разыскивают для экстрадиции в США. Это предположение, но мог ли он сказать что-нибудь, что помогло ликвидировать LockBit на этой неделе, или сделал то, что привело к его арест и то, что полиция захватила его дом и положила начало событиям, которые мы видели на этой неделе?
Терри: Когда его арестовали, они получили доступ к жестким дискам его компьютера. Я думаю, что это дало правоохранительным органам массу интересной информации. Мало того, из-за его ареста банда остановилась на шаг, им пришлось переоценить свои возможности, и за это время произошло некоторое замедление работы программ-вымогателей.
Говард: Будут ли напуганы другие банды, занимающиеся вымогательством, действиями, предпринятыми на этой неделе против LockBit?
Терри: Да и нет. Я думаю, что в краткосрочной перспективе это повредит другим, потому что, когда происходят громкие убийства, они хотят знать, как правоохранительные органы проникли в них. [LockBit]? … Что произойдет, так это то, что другие банды, занимающиеся вымогательством, будут делиться информацией с другими группами, занимающимися вымогательством.
(Чтобы услышать остальную часть обсуждения, включите подкаст)
