Новая фишинговая афера использует сбережения на автостраховании для заманивания своих жертв. Отчет Sophos показывает, что малый бизнес становится объектом нападения киберпреступников все чаще. Окта утверждает, что данные, якобы полученные в результате их взлома, не являются данными их клиентов. Эти истории и многое другое…
Добро пожаловать на Cybersecurity Today в среду, 13 марта 2024 года. Я ваш ведущий Джим Лав, заменяющий Говарда Соломона.
Новая фишинговая афера нацелена на экономию на автостраховании, и, судя по всему, она работает хорошо.
Мы все говорим о растущей изощренности фишинговых атак, но иногда в жизни лучше всего работают простые вещи, и это, очевидно, относится и к фишингу.
В новой фишинговой кампании, раскрытой экспертами Cofense, злоумышленники выдают себя за компанию по страхованию автомобилей. Письмо короткое и по существу и не содержит ничего вредоносного. В некоторых случаях его даже можно найти по ссылке на рекламу Google. Это объясняет, как он проходит через безопасные шлюзы и фильтры.
В электронном письме жертвам сообщают, что они имеют право на кредит в размере до 10% от последней стоимости их автомобиля.
Чтобы узнать больше, им дают ссылку на веб-сайт, который когда-то был законным, но недавно был скомпрометирован и перепрофилирован для этой атаки. На сайте есть «загружаемые инструкции» о том, как получить свои средства, но загружается JavaScript, который развернет трояна удаленного доступа NetSupport или RAT.
NetSupport на самом деле является подлинным приложением, предназначенным для удаленного доступа специалистов службы поддержки и используемым уже 20 или более лет, но в этой измененной версии оно предоставляет злоумышленнику несанкционированный доступ к устройству пользователя.
Это напоминание, что корпоративных пользователей необходимо обучить тому, что на любое предложение, каким бы безобидным оно ни казалось, нельзя ответить на корпоративном устройстве, даже если это предложение поступает по законному каналу, например, по рекламе Google.
Ссылка на полная история от ТехРадар.
В 2023 году более трех четвертей киберинцидентов пострадали от малого бизнеса, причем наибольший ущерб оказали программы-вымогатели. Об этом говорится в новом отчете Sophos. Как отмечается в отчете Sophos, эти предприятия с численностью сотрудников менее 500 человек составляют почти 90% мирового бизнеса и обеспечивают 50% занятости во всем мире. Но у них меньше ресурсов для эффективной защиты от более крупных предприятий, что делает их гораздо более легкой мишенью.
Одной из ключевых атак на эти предприятия малого и среднего бизнеса в прошлом году были программы-вымогатели.
Группа LockBit была наиболее активной, и на их долю пришлось наибольшее количество инцидентов с программами-вымогателями для малого бизнеса, обработанных Sophos (27% инцидентов), но были задействованы и другие группы, включая Akira 15%, BlackCat 13% и Play (10%).
На пресловутую группу LockBit приходится наибольшее количество инцидентов с программами-вымогателями для малого бизнеса, обработанных Sophos Incident Response в прошлом году, — 27,59%.
В отчете также говорится о некоторых новых тактиках, включая более широкое использование удаленного шифрования, когда злоумышленники используют неуправляемые устройства для шифрования файлов в других системах клиентской сети.
Они также отмечают, что злоумышленники-вымогатели создают вредоносное ПО, нацеленное на операционные системы MacOS и Linux. Исследователи Sophos обнаружили утекшие версии программы-вымогателя LockBit, нацеленные на macOS на собственном процессоре Apple и Linux на нескольких аппаратных платформах.
90% атак, о которых сообщает Sophos, связаны с кражей данных или учетных данных. Около половины всех вредоносных программ, нацеленных на малый и средний бизнес в прошлом году, были связаны с кражей данных у похитителей паролей, клавиатурных шпионов и других шпионских программ.
Среди наиболее известных воров — RedLine (8,71%), Raccoon Stealer (8,52%), Grandoreiro (8,17%) и Discord Token Stealer (8,12%).
Кристофер Бадд, директор по исследованиям Sophos X-Ops в компании Sophos, прокомментировал: «Ценность «данных» как валюты среди киберпреступников возросла в геометрической прогрессии, и это особенно верно для предприятий малого и среднего бизнеса, которые, как правило, используют одну услугу или программное приложение в расчете на функции, на протяжении всей их работы».
В отчете также говорится о росте числа операторов, предлагающих вредоносное ПО как услугу, распространяемую посредством веб-рекламы и SEO-отравления. SEO
отчет отметил рост числа операторов вредоносного ПО как услуги (MaaS), использующих вредоносную веб-рекламу и поисковую оптимизацию (SEO) для заражения жертв.
SEO-отравление использует законные сервисы для повышения доступности и известности веб-сайтов в поисковых системах, таких как реклама Google и Bing. Это дает им иллюзию подлинности. Эти поддельные веб-сайты могут использовать брендинг законной компании, чтобы обманом заставить жертв загрузить программное обеспечение.
Но использование электронной почты для так называемых компрометаций деловой электронной почты или BEC по-прежнему чрезвычайно популярно и в качестве вектора атаки уступает только программам-вымогателям. Но атаки BEC чрезвычайно изобретательны, и злоумышленники могут иметь несколько контактов и даже участвовать в разговорах, прежде чем отправлять вредоносные ссылки.
Злоумышленники не только изобретательны в своем подходе, но и экспериментируют с различными способами обхода средств обнаружения безопасности, большого количества сообщений в изображениях, использования QR-кодов, поддельных счетов, но неизменным фаворитом по-прежнему остается скромный скомпрометированный PDF-файл.
Злоумышленники перебрались в Вложения PDF-файлов «почти исключительно» в прошлом году, говорится в отчете. В основном они ссылаются на вредоносные скрипты или сайты, а иногда используют встроенные QR-коды.
Ссылка на полную Софос отчет включен в примечания к выставке.
Исследователи создали базу знаний для обмена информацией о неправильной настройке Microsoft Configuration Manager, SCCM или MCM.
В репозитории используются как методы атаки, так и защиты, а также способы избежать неправильной настройки диспетчера конфигурации Microsoft, которой может воспользоваться злоумышленник.
Configuration Manager, который раньше назывался System Center Configuration Manager, существует с 1994 года и присутствует во многих средах Active Directory. Он используется, чтобы помочь администраторам управлять серверами и рабочими станциями в сети Windows.
Он также тщательно изучен, поскольку, особенно в случае неправильной настройки, это эффективный способ для злоумышленников получить права администратора в домене Windows.
Исследователи SpectreOps Крис Томпсон и Дуэйн Майкл объявили о выпуске Менеджер неправильной конфигурации на конференции по безопасности SO-CON. MCM или SCCM, какую бы аббревиатуру вы ни использовали, настроить непросто, а конфигурации по умолчанию предусматривают множество способов, с помощью которых злоумышленники могут использовать эксплойты.
Из-за сложности настройки MCM одной из наиболее частых проблем является создание учетных записей доступа к сети или NAA со слишком большим количеством привилегий. Исследователь отметил, что «его сложно настроить, и новичок или ничего не знающий администратор может решить использовать одну и ту же привилегированную учетную запись для всех задач».
Исследователи также продемонстрировали ряд вариантов использования учетной записи обычного пользователя Sharepoint и превращения ее в контроллер домена, а также того, как они смогли попасть на сайт центра администрирования и предоставить себе полный доступ администратора.
В настоящее время в репозитории есть описания 22 различных методов, которые можно использовать для атаки на MCM/SCCM или для использования в действиях «после эксплуатации». В примечаниях к шоу есть ссылка для тех, кто хочет это проверить.
Ссылка к Менеджер неправильной конфигурации
А компания по управлению идентификацией Okta заявила, что данные, утекшие на хакерский форум, не принадлежат им.
Для тех, кто, возможно, не знает, что Okta — это облачный поставщик решений для управления идентификацией и доступом из Сан-Франциско. Они предоставляют решения для единого входа, многофакторной аутентификации и управления доступом к API.
В октябре прошлого года системы поддержки Okta были взломаны хакерами с использованием украденных учетных данных. Возможно, она не была такой большой, как SolarWinds, но это не только смущало, но и затронуло всех клиентов систем поддержки Okta.
И эффект был. Одним из нарушений, которое попало в новости, стал взлом одного из автономных серверов Atlassian Cloudflare, хакеры которого использовали токены доступа, украденные во время взлома Okta.
Теперь, когда компания попыталась возместить ущерб, нанесенный клиентам и репутации, группа хакеров опубликовала файлы данных, которые, как они утверждают, относятся к атаке Okta. Киберпреступник, использующий псевдоним Ddarknotevil, обнародовал, по его словам, информацию о 3800 клиентах, украденных во время прошлогоднего взлома.
Ведущие данные выглядели достоверными и включали идентификаторы, имена, названия компаний, адреса, номера телефонов, адреса электронной почты, должности и многое другое.
Но Окта сказала Bleeping Computer, которая рассказала эту историю, что это не их данные. Они заявили, что провели тщательное расследование и определили, что «это не данные Окты и не связаны с инцидентом безопасности в октябре 2023 года». Далее они заявили: «Мы не можем определить источник этих данных или их точность. но мы отметили, что некоторые поля имеют даты более десяти лет назад. Мы подозреваем, что эта информация может быть собрана из общедоступных источников информации в Интернете».
Полная история в Пипящий компьютер
И это все, что касается этого выпуска Cybersecurity Today. Как всегда, ссылки на истории и другую информацию будут включены в заметки к шоу, размещенные на сайте itworldcanada.com/podcasts. Ищите кибербезопасность сегодня
И мы всегда любим слышать наших слушателей, даже если они нас поправляют. Если у вас есть комментарии, пришлите мне сообщение по адресу [email protected] или в примечаниях к шоу на сайте itworldcanada.com/podcasts.
А если вы хотите быть в курсе других технических новостей, посмотрите мой ежедневный новостной подкаст Hashtag Trending, который вы можете найти во всех тех же местах, где и Cybersecurity Today — Apple, Google, Spotify или на itworldcanada.com/podcasts.
Я ваш ведущий Джим Лав, заменяю Говарда Соломона. Оставайтесь в безопасности.
