Ransomware MountLocker wykorzystuje API Windows Active Directory do przeczesywania firmowych sieci

W zeszłym tygodniu MalwareHunterTeam odkrył nowy plik wykonywalny MountLocker, rozszerzony o zupełnie nową funkcję robaka. Dzięki niej zagrożenie jest teraz w stanie rozprzestrzeniać się w ramach sieci i szyfrować znajdujące się w niej urządzenia. Jak się później okazało, nowa wersja MountLocker korzysta z API Windows Active Directory Service Interfaces.

Etapy cyberataku

Ransomware najpierw wykorzystuje funkcję NetGetDCName () aby pobrać nazwę kontrolera domeny. Następnie wykonuje zapytania LDAP względem ADS kontrolera domeny za pomocą funkcji ADsOpenObject () z poświadczeniami przekazanymi w wierszu poleceń. Gdy połączy się już z usługami Active Directory, będzie iterował po bazie danych w poszukiwaniu obiektów „objectclass = computer”.

Dla każdego znalezionego obiektu MountLocker spróbuje skopiować plik wykonywalny ransomware do folderu „\C$\ProgramData” urządzenia. Następnie oprogramowanie ransomware zdalnie tworzy usługę systemu Windows, która ładuje plik wykonywalny, aby można było przystąpić do szyfrowania urządzenia. Korzystając z tej metody, MountLocker może wyszukać wszystkie urządzenia, które są częścią zaatakowanej domeny Windows, przejąć urządzenia przy użyciu skradzionych danych uwierzytelniających domeny i następnie je zaszyfrować.

Korzystasz z AC? Być może masz problem

Wiele środowisk korporacyjnych polega na złożonych lasach usługi Active Directory. Obecnie MountLocker jest pierwszym znanym oprogramowaniem ransomware, które wykorzystuje ten unikalny charakter architektury korporacyjnej w celu zidentyfikowania dodatkowych celów i ich zaszyfrowania. Administratorzy sieci Windows często pracują w oparciu o API AC Interface, stąd specjaliści zauważają, że być może osoba odpowiedzialna za dopisanie tej funkcji do kodu ransowmare MountLocker, posiada doświadczenie w administrowaniu domenami Windows.

źródło: https://www.bleepingcomputer.com/news/security/mountlocker-ransomware-uses-windows-api-to-worm-through-networks/
https://xopero.com/blog/pl/2021/05/24/ransomware-mountlocker-android-z-czterema-0-day-mercedes-z-podatnoscia/#tekst-1

Alarm dla posiadaczy komputerów Dell

Setki milionów urządzeń produkowanych przez firmę Dell narażonych na atak

Setkom milionów laptopów, notebooków i tabletów produkowanych przez firmę Dell zagraża zestaw pięciu poważnych podatności, których nie wykryto co najmniej od 2009 r. Luki umożliwiają atakującemu, który uzyskał już wcześniej dostęp do systemu, eskalowanie uprawnień a nawet – w niektórych sytuacjach – na uzyskanie dostępu na poziomie jądra. Przy czym atak może zostać zainicjowany – czyli zdobycie pierwszego przyczółku w systemie – za pomocą czegoś tak ‘trywialnego’, jak złośliwy załącznik.

Błąd w sterowniku DBUtil został wykryty przez zespół SentinelOne. Jest on instalowany i ładowany podczas procesu aktualizacji systemu BIOS na komputerach Dell z systemem Windows. Cztery z pięciu luk w zabezpieczeniach (zidentyfikowanych jako CVE-2021-21551) dotyczy właśnie kwestii podniesienia uprawnień. Ostatnia skutkuje wystąpieniem denial-of-service.

Dwa z błędów powiązanych z eskalacją uprawnień są wynikiem uszkodzenia pamięci, kolejne dwa to efekt braku walidacji danych wejściowych. Tymczasem błąd typu „odmowa usługi” wynika z problemu z logiką samego kodu.

Błędy dają atakującym sposób na ominięcie produktów zabezpieczających, wyczyszczenie dysku twardego lub zainstalowanie złośliwego sterownika na kontrolerze domeny. Atakującym może więc skutecznie uczynić się więc ‘administratorem’ takiego podatnego systemu – zagrożenie jest więc poważne.

Jak naprawić błędy sterowników Dell? Vendor na szczęście wydał już odpowiednie poprawki, które są dostępne na jego stronie – w części Dell Security Advisory DSA-2021-088

żródło: https://www.darkreading.com/threat-intelligence/hundreds-of-millions-of-dell-computers-potentially-vulnerable-to-attack/d/d-id/1340910

źródło: https://xopero.com/

Dane milionów Polaków wyciekły z Facebooka.

Dane milionów Polaków wyciekły z Facebooka. Prezes UODO chce wyjaśnień

żródło: https://wydarzenia.interia.pl/polska/news-dane-milionow-polakow-wyciekly-z-facebooka-prezes-uodo-chce-,nId,5214607

Dane ponad dwóch milionów użytkowników Facebooka z Polski upubliczniono w sieci. W sprawie reaguje prezes Urzędu Ochrony Danych Osobowych Jan Nowak, który wystąpił z pismem do władz firmy. Chce, by użytkownicy mieli możliwość sprawdzenia, czy wyciek ich dotyczy.

Facebook, zdj. ilustracyjne /MLADEN ANTONOV /AFP

Facebook, zdj. ilustracyjne /MLADEN ANTONOV /AFP

Chodzi o wyciek danych 533 mln użytkowników Facebooka na całym świecie, w tym ponad 2 mln użytkowników z Polski, które w kwietniu zostały upublicznione w internecie.

Jak poinformował rzecznik UODO Adam Sanocki, prezes Urzędu zwrócił się do władz Facebooka o podjęcie działań, które ograniczyłyby ryzyko wykorzystania danych osobowych, które wyciekły, oferując wszystkim polskim użytkownikom możliwość sprawdzenia, czy naruszenie ich dotyczy.

W liście prezes UODO podkreślił, że wyciek danych z portalu facebook.com ma ogromne zagrożenie dla prywatności wielu osób. Zwrócił uwagę, że udostępnione dane osobowe mogą zostać wykorzystywane nie tylko w celu rozsyłania spamu czy nieuczciwego prowadzenia telemarketingu, ale także w celach przestępczych. Dlatego też, jak wskazał, istotne jest wyjaśnienie wszystkich okoliczności sprawy.

„Wyciek danych stwarza ogromne zagrożenie”

W przesłanym komentarzu Sanocki zaznaczył, że jednym z zadań UODO jest skuteczne podejmowanie działań, które przełożą się na lepszą ochronę danych osobowych obywateli. „Ochrona danych osobowych, ochrona prywatności są niezwykle istotne i wpisują się w prawa nas wszystkich. Tego typu zdarzenia, jak wyciek danych użytkowników portalu, stwarza ogromne zagrożenie. Ważne jest, aby podjąć jak najszybciej działania, które pomogą zminimalizować ich negatywne skutki i zapobiec im w przyszłości” – wskazał rzecznik UODO.

„UODO współpracuje z innymi organami nadzorczymi, aby zapewnić spójność stosowania RODO w Unii Europejskiej. Postępowanie w tej sprawie prowadzi Data Protection Commission – irlandzki organ nadzorczy. Liczymy na to, że administrator pozwoli na przeprowadzenie czynności niezbędnych do wyjaśnienia niniejszej sprawy” – stwierdził Sanocki.

Irlandzki urząd ds. ochrony danych (DPC) jest organem przewodnim w UE w sprawie regulacji danych osobowych m.in. Facebooka, a także Apple’a i Google’a, które w Irlandii mają swoje europejskie siedziby.

Zdjęcia Google przestaną być darmowe od 1 czerwca. Co się zmieni i jakie są alternatywy?

żródło: https://rootblog.pl/zdjecia-google-koniec-darmowego-miejsca-alternatywy/

ielimitowana przestrzeń w aplikacji Zdjęcia Google przestanie być dostępna w 1 czerwca. Został więc niecały miesiąc, by znaleźć alternatywne miejsce przechowywania kopii zapasowych wykonywanych fotografii lub też przygotować portfel na dodatkowe wydatki. Zobaczcie co zmieni się od przyszłego miesiąca!

Koniec z nielimitowaną przestrzenią na zdjęcia

Chyba każdy (albo prawie każdy) kogo znam trzyma kopię zapasową wykonywanych zdjęć w chmurze od Google. I w zasadzie mu się nie dziwię – darmowe, nielimitowane miejsce, którego jedynym minusem jest niewielkie zmniejszenie jakości zdjęć raczej każdego przekonuje. Tylko co zrobić w momencie, kiedy okazuje się, że to miejsce przestanie być już darmowe lub przestanie całkowicie istnieć? Taki los czeka właśnie Zdjęcia Google już za niespełna miesiąc…

zdjęcia google
Zdjęcia Google

Już w zeszłym roku Gigant z Mountain View zapowiedział, że Google Photos przestaną oferować nielimitowane miejsce na zdjęcia w niższej jakości od 1 czerwca 2021. Jednak wtedy, w listopadzie, data ta była na tyle odległa, że raczej mało kto się tym przejął. Teraz, gdy do tego dnia zostało mniej niż jeden miesiąc, warto pomyśleć nad tym, czy 15 GB oferowane przez Google wystarczy na Gmaila, Dysk Google oraz Zdjęcia Google.

Od 1 czerwca 2021 każde nowe zdjęcie wrzucone do aplikacji Google Photos będzie zużywało miejsce z darmowego pakietu 15 GB. Fotografie, które obecnie znajdują się w chmurze Google pozostaną niezmienione, więc o nie obawiać się obecnie nie musicie – Amerykanie nie zamierzają naliczyć (teraz) za nie opłat. Co jednak, jeśli 15 GB na te trzy usługi to za mało?

Jakie są alternatywy?

Jeśli chcemy iść po linii najmniejszego oporu, to warto zdecydować się na wykupienie subskrypcji Google One. Jeśli nie przesadzacie z liczbą zdjęć, na Dysku nie trzymacie niewiadomo jak dużo plików, a mail nie jest zapchany ciężkimi załącznikami, to już pakiet 100 GB za 89,99 zł rocznie powinien wystarczyć wam bez problemu na kilka lat. W razie konieczności zawsze można powiększyć miejsce do 200 GB, 2TB, 10TB…

Jeśli jednak taki wariant Wam nie odpowiada, to można skierować oczy ku konkurencji. Apple oferuje swoją chmurę iCloud (od 50GB za 1€ / msc, aż do 2TB za 9,99€ / msc). To jednak wybór dla osób, które posiadają urządzenia Giganta z Cupertino (choć mam przeczucia, że oni już i tak z tej chmury korzystają). Alternatywą jest OneDrive od Microsoftu, którego można wykupić jako niezależną usługę (100 GB za 7,99 zł/msc) lub też w pakiecie Office 365 z wszystkimi aplikacjami Microsoftu (299,99 zł / rok za 1TB lub 429,99 zł / rok za 6 TB – dla 6 osób, po 1 TB na osobę).

A co jeśli nie chcemy wiązać się abonamentem z żadną korporacją? Wtedy można pomyśleć o własnym dysku, które w formie jednorazowego zakupu może być droższe (o ile pójdziemy w gotowe rozwiązania), ale w perspektywie wielu lat (5-10) może okazać się znacznie tańsze – w końcu nie wiemy jakie decyzje podejmą te firmy w przyszłości. Najpopularniejsze na rynku firmy, które oferują dyski NAS to Synology lub QNAP i każde ich urządzenie sprawdzi się nieźle.

Operatorzy ransomware’a REvil szantażują Apple i Quanta Computer. Kwota okupu ~ 50 milionów dolarów

żródło: https://sekurak.pl/operatorzy-ransomwarea-revil-szantazuja-apple-i-quanta-computer-kwota-okupu-50-milionow-dolarow/

Operatorzy ransomware’a REvil szantażują Apple i Quanta Computer. Kwota okupu ~ 50 milionów dolarów

Przestępcy nie próżnują i pracują nad poszerzaniem swojego arsenału. Unknown ogłosił teraz, że trwają testy nowej wersji tego ransomware’a, przystosowanej do systemów Unixowych:

Przestępca pochwalił się także, że w poniedziałek ogłoszą swój najbardziej udany atak. Okazało się, że ofiarą jest Quanta Computer – tajwański producent komputerów przenośnych i innego sprzętu elektronicznego. W latach 90. firma podpisała umowę z dobrze wszystkim znanym Apple.

Operatorzy REvil generalnie lubią cyfrę 50, gdyż jest to już ich drugi atak, w którym  kwota okupu wynosi zawrotne 50 milionów dolarów:

* Żądanie okupu, źródło BleepingComputer

W tym momencie Quanta nie wydaje się skłonna do negocjacji, a co na to przestępcy?

Operatorzy tego ransomware’a zwracają się do Apple z propozycją “wykupienia” schematów technicznych i innych wrażliwych danych dotyczących urządzeń Apple, żartując przy tym, że w razie odmowy nie będzie trzeba czekać na nadchodzące Apple Event 2021. 

Warto zaznaczyć, że jakiś czas temu Acer padł ofiarą tej samej grupy.

Czym żyje Homo Quaranticus?