Kategorie
bezpieczeństwo IT

Wciąż nabieramy się na oszustwo z lat 90-tych.

W jaki sposób uruchomienie zwykłego kalkulatora Windows może czasem prowadzić do infekcji komputera? [kampania rosyjskich rządowych hackerów celująca w polskie instytucje]

źródło: https://sekurak.pl/%f0%9f%94%b4-w-jaki-sposob-uruchomienie-zwyklego-kalkulatora-windows-moze-czasem-prowadzic-do-infekcji-komputera-kampania-rosyjskich-rzadowych-hackerow-celujaca-w-polskie-instytucje/


Jak widzicie W treści maila pojawia się link (niby ze szczegółami), prowadzący do popularnego serwisu (webhook.site), który tylko przekierowuje do innego serwisu, a który finalnie serwuje plik zip

Po co takie przekierowanie? Ano po to, żeby systemy wykrywające podejrzane linki nie wykryły tego jako fraud („przecież link prowadzi do znanego serwisu”)

Co jest w pliku zip? Wygląda to jak plik .jpg ale po bliższym przyjrzeniu się jest to aplikacja (plik exe):

Zawartość archiwum zip

Co robi ten plik exe? To windowsowy kalkulator (czyli nic złośliwego). Rosyjscy hackerzy odpalają więc kalkulator? Niby tak, ale nie tylko kalkulator. Otóż w zipie znajdują się jeszcze dwa ukryte pliki – WindowsCodecs.dll oraz drugi plik – z rozszerzeniem .bat

Teraz przechodzimy do istoty tricku z kalkulatorem. W trakcie normalnego działania, windowsowy kalkulator szuka w aktualnym folderze pliku WindowsCodecs.dll i jeśli go znajduje, jest on ładowany (technika DLL side-loading – szerzej o niej pisaliśmy tutaj). Złośliwy DLL ma za zadanie odpalić plik .bat

Po co takie zamieszanie? Ano żeby zmylić systemy antywirusowe/antymalware

Dalej dla niepoznaki w przeglądarce wyświetlane jest zdjęcie kobiety w stroju kąpielowym + linki do (prawdziwych) kont na socjalach. Jednocześnie w tle odpalany jest skrypt, który listuje pliki w wybranych katalogach, a informację tę – wraz z adresem IP ofiary – wysyła do serwera atakujących. Dla części ofiar skrypt może realizować bardziej złośliwe operacje (w szczególności np. przejęcie dostępu do komputera).

Kategorie
bezpieczeństwo IT

Samorządy dostaną pieniądze na zwiększenie cyberbezpieczeństwa?

Hakerzy z Rosji coraz częściej atakują polskie serwery – w tym rządowe i wojskowe. Jak podaje „Rzeczpospolita” od stycznia liczba ataków wzrosła o 60 proc., a w ciągu pół roku o 130 proc. Skalę problemu potwierdza minister cyfryzacji Krzysztof Gawkowski, który wprost mówi o zimnej cyberwojnie z Rosją.

źródło: https://biznes.interia.pl/gospodarka/news-polska-toczy-zimna–z-rosja-tak-niebezpiecznie-jes,nId,7502010#ref#ref#ref#refutm_source=paste&utm_medium=paste&utm_campaign=safari

„Rzeczpospolita” przywołuje najnowsze analizy izraelskiej firmy Check Point Software (CP), do których dotarła. Wynika z nich, że co tydzień polskie firmy i instytucje atakowane są średnio 1430 razy. Tymczasem na Węgrzech ten wskaźnik to 1390, w Niemczech – 1011, na Łotwie 660 razy. Tylko w Czechach instytucje muszą odpierać więcej ataków, bo blisko 2000 tygodniowo – podkreśla gazeta.

Według cytowanych danych, najaktywniejszą grupą hakerską w tym obszarze jest rosyjska NoName057(16). W 2024 r. uderzała już m.in. w portale Polskiego Radia, Portu Gdynia, strony województwa lubelskiego, czy serwisy GOV.pl i ePUAP.pl.

Tym samym Polska znalazła się w czołówce krajów atakowanych na cyberwojnie, co potwierdzają polskie władze.

– Polska znajduje się w stanie zimnej cyberwojny z Rosją, to właśnie Polska jest najczęściej atakowana przez Rosjan w przestrzeni cyfrowej – mówił minister cyfryzacji, wicepremier Krzysztof Gawkowski w wywiadzie dla ukraińskiego portalu Ekonomiczna Prawda. 

CP poinformowało też „Rzeczpospolitą”, że w kwietniu 2024 r. około 55 proc. zagrożeń trafiało do polskiej sieci za sprawą złośliwych stron i aplikacji webowych. Z kolei 45 proc. ataków opartych była na poczcie elektronicznej. Jak podkreśla gazeta, to sytuacja odwrotna do trendów światowych, gdzie ataki e-mailowe stanowią ponad 60 proc. Ciekawy jest również fakt, że w ponad jednej trzeciej przypadków zainfekowany plik dostarczany do polskich komputerów ma rozszerzenie .exe, a co dziesiąty to .docx lub .pdf, tymczasem na świecie dominują PDF-y – to ponad 70-proc.

Samorządy dostaną pieniądze na zwiększenie cyberbezpieczeństwa

„Rzeczpospolita”, powołując się na dane CP wskazuje, że tylko w ciągu ostatniego pół roku administracja i armia były celem przestępców 1256 razy w tygodniu. Liczba ta ma zwiększyć się w II kwartale do ponad 2 tysięcy.

Obecnie rząd pracuje nad projektem ustawy, który ma na celu zwiększenie cyberbezpieczeństwa w Polsce, począwszy od najmniejszych jednostek samorządowych.

„Ponad 2 500 samorządów (blisko 90 proc.) otrzyma w bieżącym roku wsparcie finansowe w postaci grantów finansowanych ze środków budżetu państwa oraz programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC). (…) Wsparcie to jednostki samorządu terytorialnego będą mogły wykorzystać na modernizację rozwiązań w obszarze cyberbezpieczeństwa. Łączna wartość wsparcia jaka zostanie przekazana wyniesie ok. 1,5 mld zł.” – czytamy w Ocenie Skutków Regulacji.

Jednocześnie w uzasadnieniu do projektu wyjaśniono, że „obecnie ani przedsiębiorcy telekomunikacyjni ani dostawcy usług zaufania nie są podmiotami krajowego systemu cyberbezpieczeństwa„, stąd nowe przepisy mają zarówno zwiększyć poziom bezpieczeństwa, jak również usprawnić proces reagowania na incydenty.

Kategorie
bezpieczeństwo IT

Przedłużenie stopni alarmowych ( BRAVO i BRAVO-CRP)

1 marca 2023

Przedłużenie stopni alarmowych BRAVO w obszarze ceberbezpieczeństwa.

Prezes Rady Ministrów na podstawie art.16 ust.1 pkt 1 ustawy z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych (Dz.U. z 2024 r. poz. 92) podpisał Zarządzenia:

- nr 16 z dnia 29 lutego 2024 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2 stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej,

- nr 17 z dnia 29 lutego 2024 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (stopień BRAVO CRP) na całym terytorium Rzeczypospolitej Polskiej.

Zarządzenia obowiązują od dnia 1 marca 2024 roku od godz.00:00  do dnia 31 maja 2024 roku do godz. 23:59. Przypominamy, że w związku z ustawowymi przesłankami, które warunkują wprowadzenie drugiego stopnia alarmowego BRAVO, tj. zgodnie z art.15 ust.4 ww. ustawy: „drugi stopień (…), można wprowadzić w przypadku zaistnienia zwiększonego i przewidywalnego zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym, jednak konkretny cel ataku nie został zidentyfikowany”. Proszę o zachowanie wzmożonej czujności w stosunku do osób zachowujących się w sposób wzbudzający podejrzenia, a także na podejrzane przedmioty pozostające bez opieki.

W związku z powyższym zwracamy Państwa uwagę na zachowanie zwiększonej czujności również przy użytkowaniu systemów teleinformatycznych, a w szczególności podczas korzystania z sieci Internet. 

Prosimy o zwracanie uwagi na wszelkie budzące Państwa wątpliwość wiadomości e-mail oraz wzmożone próby logowania do dostępnych usług w sieci Internet celem uzyskania dostępu do kont użytkowników. Szczególnej uwagi wymagają zwłaszcza pola związane z określeniem nadawcy wiadomości i jej tematem oraz załączonymi do wiadomości plikami. Ponadto, stwarzająca zagrożenie wiadomość bardzo często zawierać może w treści odnośnik do innych zasobów (link), którego aktywacja umożliwi zainfekowanie komputera, kradzież danych etc. Dodatkowo uwagi wymagają pozostawione bez opieki nośniki danych i urządzenia, których  podłączenie do infrastruktury teleinformatycznej (komputerów, terminali, tabletów itp.) może stanowić potencjalne zagrożenie. Znalezione niezidentyfikowane nośniki/urządzenia należy niezwłocznie przekazywać do lokalnych Działów/Sekcji/ Informatyki. Ostrzegamy o możliwości wystąpienia kolejnych odsłon kampanii phishingowych, wymierzonych w prywatne skrzynki poczty elektronicznej, w szczególności osób pełniących kierownicze funkcje. Jednocześnie przypominamy, że zabronione jest przetwarzanie służbowych informacji za pośrednictwem prywatnej poczty elektronicznej. Prosimy nie otwierać odnośników i załączników do wiadomości e-mail budzących jakiekolwiek Państwa wątpliwości, a wszelkie dostrzeżone przez pracowników podmiotów leczniczych MSWiA incydenty bezpieczeństwa informacji, niezwłocznie zgłaszać do lokalnych Działów/Sekcji/ Informatyki.

Wcześniej:

Zarządzeniem Nr 282 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono III stopień alarmowy CRP (stopień CHARLIE-CRP), oraz

Zarządzeniem Nr 283 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono II stopień alarmowy (stopień BRAVO).

 

 

W związku z tym przypominamy o zwracaniu uwagi na podejrzanie wyglądające wiadomości e-mail.
Na skrzynki e-mail często spływają wiadomości informujące np. o nieopłaconych fakturach, prośbach o potwierdzenie tożsamości, postępowaniu sądowym, oczekującej przesyłce do odebrania itp. Takie wiadomości w załącznikach mogą zawierać złośliwy kod skutkujący po otwarciu załącznika zainfekowaniem komputera złośliwym oprogramowaniem spreparowanym przez atakującego hackera. Grozi to utratą danych z dysku, kradzieżą danych osobowych i nierzadko w konsekwencji utratą pieniędzy. Co więcej można w ten sposób narazić bezpieczeństwo IT całej instytucji, jeśli zaatakowany komputer pracuje w lokalnej sieci komputerowej.
Otrzymaliśmy również informację o zwiększonej ilości fałszywych maili od osób podszywających się pod banki. W mailach nakazuje się kliknięcie linku w celu zwiększenia bezpieczeństwa mobilnych aplikacji. Jest to wrogi proceder imitujący kontakt z prawdziwym bank.

 

Kategorie
bezpieczeństwo IT

Dyrektywa NIS i NIS2 – co zawierają?

Dyrektywa NIS i NIS2 – co zawierają?

Artykuł partnera IT: NETIA, autor: Tomasz Orłowski
źródło: https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/co-zawiera-dyrektywa-nis-i-nis2

Uchwalona przez Unię Europejską w lipcu 2016 r. Dyrektywa NIS (ang. Network and Information Systems Directive) była fundamentem dla wielu zmian w zakresie cyberbezpieczeństwa we wszystkich krajach członkowskich, a nowe regulacje, które pojawiły się w ich następstwie, objęły kilkaset polskich podmiotów. Dyrektywa NIS2 wprowadza kolejne regulacje, a planowana w jej wyniku nowelizacja ustawy o Krajowym Systemie Bezpieczeństwa (KSC) obejmie niedługo kolejnych kilka tysięcy polskich firm i instytucji. Czy Twoja firma jest na to gotowa?

Dyrektywa NIS – co to jest?

Dyrektywa NIS to pierwsze uchwalone przez Parlament Europejski prawo dotyczące cyberbezpieczeństwa.Jej powstanie było efektem wzmożonego ruchu sieciowego i bardzo dynamicznego rozwoju wszelkiego rodzaju usług online oraz cyfryzacji praktycznie każdego sektora biznesu. Wprowadzenie nowych zasad ujednoliciło poziom bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. Dyrektywa NIS dawała członkom stosunkowo dużą swobodę w organizacji bezpieczeństwa „na własnym podwórku”.

Co zawiera dyrektywa NIS?

Dyrektywa NIS reguluje trzy obszary (zwane w jej treści filarami) i stanowi bardzo obszerny dokument. W dalszej części artykułu skupimy się na przedstawieniu jej najważniejszych założeń:

• Pierwszy filar – zakłada powstanie w każdym z krajów członkowskich instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa).

• Drugi filar – dotyczy współpracy krajów członkowskich na poziomie technicznym oraz strategiczno-politycznym. Ten filar realizowany jest przez tak zwane Cooperation Group oraz sieć CSIRT, w skład których wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja Europejska jako obserwator.

• Trzeci filar – reguluje obowiązek reagowania na incydenty, obowiązek implementacji systemów bezpieczeństwa adekwatnych do ryzyka w poszczególnych sektorach i wiele innych. Dyrektywa nakłada również na członków UE stworzenie dedykowanej strategii narodowej w zakresie cyberbezpieczeństwa.

Czym jest dyrektywa NIS?

Dyrektywa NIS2 to rewizja istniejącej dyrektywy NIS. Jej powstanie było efektem kilku czynników:

• Przyczynił się do tego między innymi wybuch pandemii COVID-19, która znacznie przyśpieszyła cyfryzację, w tym popularyzację i rozwój usług chmurowych oraz zwiększyła znaczenie dostawców usług cyfrowych na rynku. Nowa dyrektywa obejmie swoimi regulacjami także bezpieczeństwo łańcucha dostaw.

• Dyrektywa NIS2 ma też skłonić instytucje państw członkowskich do bardziej skrupulatnego nakładania kar na przedsiębiorstwa, które nie wywiązują się z nałożonych obowiązków przez dyrektywę NIS (w Polsce poprzez ustawę o KSC). W grę wchodzą również kary nakładane na zarządy firm. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.

• Trzecim z głównych powodów było niedoszacowanie liczby „krytycznych” pod względem cyberbezpieczeństwa sektorów gospodarki. Wprowadzenie nowej klasyfikacji i dodanie do listy wielu nowych podmiotów ma wpłynąć na poprawę bezpieczeństwa w UE i wiedzy CSIRT (ang. Computer Security Incident Response Team) na temat ogólnego poziomu cyberbezpieczeństwa.

• Problemem, który ujawnił się po uchwaleniu dyrektywy NIS były duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty.

Dyrektywa NIS2 nanosi na państwa członkowskie obowiązek opracowania planu i procedur na wypadek wystąpienia incydentów i kryzysów o dużej skali.

Największą zmianą z perspektywy firm i instytucji jest znaczne rozszerzenie zakresu podmiotów objętych zarządzeniami dyrektywy. Już niedługo w naszym kraju na kilka tysięcy firm zostaną nałożone duże wymagania dotyczące cyberbezpieczeństwa. Wiele podmiotów może nie być gotowych do spełnienia warunków. Jak sobie z tym poradzić? Piszemy o tym w dalszej części artykułu.

Dyrektywa NIS a ustawa o KSC

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w Polsce w życie w sierpniu 2018 r. Była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, służba zdrowia i inne).

Do najważniejszych obowiązków OUK należało między innymi:

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,

• ich utrzymanie oraz monitorowanie,

• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

Pod koniec 2020 r. Unia Europejska przyjęła projekt dyrektywy NIS2. W efekcie już miesiąc później, tj. w styczniu 2021 r. rozpoczęto prace nad nowelizacją ustawy o Krajowym Systemie Bezpieczeństwa. Zmiany będą znaczące i obejmą dużą grupę podmiotów (szacuje się, że nawet kilka tysięcy na terenie naszego kraju).

Oprócz operatorów usług kluczowych specjalne wymagania dotyczące cyberbezpieczeństwa spełnić będzie musiała druga grupa – tak zwane podmioty istotne. Mają być tutaj sklasyfikowane m.in. podmioty świadcząceusługi pocztowe i kurierskie, dostawcy usług cyfrowych, producenci maszyn, urządzeń i pojazdów.

Czy Twoja firma ma odpowiednią ochronę przed cyberatakami?

 Nie jesteśmy w stanie przewidzieć, kiedy wejdzie w życie znowelizowana ustawa o KSC (spodziewany czas jest jednak krótki – nawet 3–4 miesiące). W przeciwieństwie do pierwotnej wersji ustawy z 2018 r., główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.

Niestety sprostanie wymogom znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie wymagało znacznie więcej wysiłku niż jedynie stosowanie się do podstawowych zasad cyberbezpieczeństwa. Szacuje się, że wdrożenie wymaganych zmian może zająć firmie nawet kilkanaście miesięcy. To zdecydowanie zbyt długi czas, z uwagi na planowane vacatio legis, czyli okres od publikacji aktu prawnego do momentu jego wejścia w życie, które w przypadku ustawy o KSC wyniesie zaledwie 30 dni.

Jak sobie z tym poradzić? Jednym z najwygodniejszych rozwiązań jest skorzystanie z usługi Netia SOC, czyli Security Operations Center – wykwalifikowanego zespołu specjalistów ds. bezpieczeństwa teleinformatycznego, którzy zajmą się cyberbezpieczeństwem w Twojej firmie. Nowelizacja ustawy o KSC zakłada bowiem, że w realizację założeń mogą być zaangażowane zewnętrzne zespoły SOC, prowadzące proaktywny monitoring sieci przy użyciu wydajnych systemów i reagujące na incydenty bezpieczeństwa, a następnie przesyłające stosowne raporty do sektorowych i krajowych zespołów reagowania CSIRT. Zespół Netia SOC ponadto realizuje szeroki wachlarz zaawansowanych usług bezpieczeństwa, które pomogę w osiągnięciu zgodności z istniejącymi i nowymi regulacjami, m.in. skanowania podatności sieciowych i aplikacyjnych, audyty bezpieczeństwa, testy penetracyjne, analiza złośliwego oprogramowania, ochrona poczty firmowej, ochrona przed wyciekami danych firmowych czy wreszcie szkolenia w zakresie cyberbezpieczeństwa.

Co daje postawienie na zewnętrzny SOC? Zgodność z nowymi przepisami bez wdrażania w firmie poważnych zmian, budowania co najmniej kilkunastoosobowego zespołu i inwestowania w infrastrukturę sprzętową.
Wiesz już, kiedy weszła w życie dyrektywa NIS, co oznacza dyrektywa NIS2 i jak wpływa na ustawę o KSC. Liczymy, że przedstawione tu porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.

Kategorie
bezpieczeństwo IT

Przedłużenie obowiązywania stopni alarmowych do 30 listopada 2023 r.

Przedłużenie obowiązywania stopni alarmowych do 30 listopada 2023 r.

Premier Mateusz Morawiecki podpisał zarządzenia, które przedłużają do 30 listopada 2023 roku obowiązywanie stopni alarmowych: 3. stopnia CHARLIE-CRP, 2. stopnia BRAVO na terenie całego kraju oraz 2. stopnia BRAVO wobec polskiej infrastruktury energetycznej, mieszczącej się poza granicami Rzeczypospolitej Polskiej.

źródło: https://www.gov.pl/web/rcb/przedluzenie-obowiazywania-stopni-alarmowych-do-30-listopada-2023-r

Premier Mateusz Morawiecki podpisał zarządzenia, które do 30 listopada 2023 roku przedłużają obowiązywanie trzech stopni alarmowych:

  • trzeciego stopnia alarmowego CRP (3. stopień CHARLIE-CRP) na całym terytorium Rzeczypospolitej Polskiej – zarządzenie nr 364 z 31 sierpnia 2023 roku;
  • drugiego stopnia alarmowego (2. stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej – zarządzenie nr 363 z 31 sierpnia 2023;
  • drugiego stopnia alarmowego (2. stopień BRAVO) wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej – zarządzenie nr 365 z 31 sierpnia 2023 roku.
Kategorie
bezpieczeństwo IT

Ergonomiczne rozwiązanie dla biznesu – Monitor Samsung S4U

5 października 2022

Kategorie
bezpieczeństwo IT

Model wspólnej odpowiedzialności za dane IT według Microsoft:

Decyzja o wyborze i ocena ryzyka w korzystaniu z usług w chmurze publicznej ma kluczowe znaczenie dla zrozumienia modelu wspólnej odpowiedzialności i zadań w odniesieniu do zabezpieczeń obsługiwanych przez dostawcę usług w chmurze oraz zadań, które są obsługiwane przez Ciebie.

Jest to wspólna odpowiedzialność pod pewnymi warunkami. Obowiązki związane z obciążeniem pomiędzy usługodawcę a klienta różnią się w zależności od tego, czy obciążenie to jest hostowane w oprogramowaniu jako usłudze (SaaS), w platformie jako usłudze (PaaS) lub infrastrukturze jako usłudze (IaaS) albo w lokalnym centrum danych. Sprawdź z jakiego modelu usług Microsoft korzystasz i kto odpowiada za bezpieczeństwo Twoich danych.

Kategorie
bezpieczeństwo IT

Hakerzy atakują serwery Exchange za pomocą BlackCat

Jak podaje Microsoft, grupa ransomware BlackCat uzyskuje dostęp do sieci firmowych wykorzystując niezałatane luki w zabezpieczeniach serwerów Exchange.

Po uzyskaniu dostępu, cyberprzestępcy szybko rozpoczynają gromadzenie danych o zainfekowanych systemach oraz kradzież danych uwierzytelniających, a na końcu umieszczają ransomware.

Według zespołu Microsoft 365 Defender Threat Intelligence Team, cyberprzestępcy potrzebowali dwóch tygodni od wykorzystania luki Exchange, zanim wdrożyli oprogramowanie ransomware.

„W innym zaobserwowanym przez nas incydencie okazało się, że osoba powiązana z tą grupą przestępczą uzyskała początkowy dostęp do środowiska za pośrednictwem internetowego serwera Remote Desktop, wykorzystując do zalogowania się skompromitowane dane uwierzytelniające.” – podaje Microsoft

Jak działa BlackCat ransomware?

BlackCat, znany również jako ALPHV i Noberus, jest jednym z pierwszych ransomware napisanych w języku programowania Rust. O BlackCat było głośno w grudniu poprzedniego roku, kiedy to pierwszy raz został wykryty. Powstał nowy trend, w którym cyberprzestępcy wykorzystują nowe języki, takie jak Rust, Drlang, Nim czy Go do tworzenia swoich payloadów.

Robią to nie tylko po to, aby pozostać niewykrytym przez tradycyjne oprogramowanie zabezpieczające, ale również po to, aby rzucić wyzwanie specjalistom ds. bezpieczeństwa, którzy mogliby łatwo porównać ransomware z innymi znanymi wirusami. Tym sposobem osoba odpowiedzialna za bezpieczeństwo, bez uprzedniej wiedzy o języku nie jest pewna z czym ma do czynienia.

BlackCat potrafi atakować i szyfrować systemy Windows, Linux oraz instancje VMWare. Po zaszyfrowaniu, dane są następnie przetrzymywane aby uzyskać okupu w ramach tzw. podwójnego wymuszenia. Poniżej schemat działania i wdrażania złośliwego oprogramowania:

Źródło: Microsoft

Według raportu opublikowanego przez FBI, od czasu swojego debiutu w 2021 r. oprogramowanie ransomware-as-a-service (RaaS) BlackCat uderzyło co najmniej 60 organizacji na całym świecie (stan na marzec 2022 r.).

Co więcej, Microsoft stwierdził, że BlackCat jest dystrybuowany przez organizacje cyberprzestępcze, które były powiązane z innymi podobnymi ransomware, w tym Hive, Conti, REvil i LockBit 2.0.

Jednym z wymienionych przez Microsoft hakerów jest DEV-0237 znany również pod pseudonimem FIN12, którego ostatnio zauważono atakującego branżę opieki zdrowotnej oraz DEV-0504, który działa od 2020 r. i jest odpowiedzialny za poprawę ładunku, gdy ten przestaje działać.

Źródło: Microsoft

DEV-0504 był też odpowiedzialny za wdrożenie ransomware w firmach z sektora energetycznego w styczniu 2022 roku. Chwile później zatakował firmy m.in. z branży modowej, tytoniowej, IT i produkcyjnej.

Podsumowanie

Wykrywanie zagrożeń takich jak BlackCat staje się coraz trudniejsze, ponieważ oprogramowanie cały czas jest poprawiane, zmieniane i łatwe do przeoczenia przez zwykłego człowieka.

Microsoft twierdzi, że organizacje muszą zmienić swoje strategie obronne, aby zapobiec atakom typu end-to-end. Niezbędne jest również wzmocnienie sieci poprzez różne najlepsze praktyki, takie jak monitorowanie dostępu i właściwe zarządzanie poprawkami.

Osoby odpowiedzialne w organizacji za bezpieczeństwo powinny sprawdzić dostęp z zewnątrz oraz zlokalizować w swoim środowisku podatne na ataki serwery Exchange i jak najszybciej je zaktualizować.

Kategorie
bezpieczeństwo IT

Rekomendacje w związku z zagrożeniem na Ukrainie.

Każdy z nas codziennie jest narażony na zagrożenia w cyberprzestrzeni, ale są momenty, gdy czujność trzeba jeszcze dodatkowo wzmocnić. W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Jeśli do tej pory Twoja firma nie testowała nigdy procedury przywracania kopii zapasowych, to jest to właściwy moment na zrobienie tego.

Rekomendacje dla obywateli

* Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.

* Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.

* Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.

* Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.

* Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.

* Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:

* Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.

* Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.

* Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.

* Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.

* Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.

* Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.

* Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.

* Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.

* Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.

* Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.

* Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.

* W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.

* Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.

* Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.

Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.

* Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:

CSIRT GOV — administracja rządowa i infrastruktura krytyczna,

CSIRT MON — instytucje wojskowe,

CSIRT NASK — wszystkie pozostałe.

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

* Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.

* Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.

* Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.

* Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Miejsce na przypisy

Skip to content