Menu dostępności

Zestawienie tygodniowe 19 – 26 listopada

W skrócie, wymaganym przez formę zestawienia, podajemy wnioski płynące z obserwacji „rynku ataków DDoS za 3 kwartał br.”: Po pierwsze specjaliści od cyberbezpieczeństwa zdefiniowali nowy trend w atakach, który wykorzystuje protokół Memcached.

Po drugie atakujący próbowali używać innego, raczej egzotycznego protokołu, aby wzmocnić ataki DDoS. Eksperci z Akamai Technologies niedawno zarejestrowali atak na jednego ze swoich klientów, który został przeprowadzony przez sfałszowanie zwrotnego adresu IP za pomocą protokołu multiemisji WS-Discovery.

Raport twierdzi, że to stosunkowo nowy trend. Cyberprzestępcy zaczęli stosować tę metodę niedawno, ale osiągnęli już zdolność ataku do 350 Gb / s. Protokół WSD ma ograniczony zakres i na ogół nie jest przeznaczony do podłączania maszyn do Internetu; raczej urządzenia używają go do automatycznego wykrywania się w sieciach LAN. Jednak dość często zdarza się, że WSD nie jest używane zgodnie z przeznaczeniem w różnych urządzeniach – od kamer IP po drukarki sieciowe (około 630 000 takich urządzeń jest obecnie podłączonych do Internetu).

Po trzecie kolejne nowe narzędzie w rękach „DDoSers” zostało wykryte przez Trend Micro. Atak rozpowszechnia się za pośrednictwem backdoora w narzędziu do wyszukiwania i analizy danych Elasticsearch. Szkodliwe oprogramowanie jest niebezpieczne, ponieważ wykorzystuje wieloetapowe podejście do infekcji, skutecznie zapobiega wykryciu i może być wykorzystywane do tworzenia botnetów do przeprowadzania ataków DDoS na dużą skalę. Firma Trend Micro zaleca wszystkim użytkownikom Elasticsearch uaktualnienie do najnowszej wersji, ponieważ backdoor został już załatany.

Jednak oprócz ewidentnych nowości, cyberprzestępcy w dalszym ciągu sięgają po sprawdzone techniki. Na przykład, kiedy w ubiegłym roku FBI zlikwidowało wiele niedrogich witryn do wynajęcia DDoS, nowe natychmiast pojawiły się na ich miejscu. Według niektórych raportów liczba ataków przeprowadzonych z ich pomocą wzrosła o 400% w porównaniu z poprzednim kwartałem.


Szeroka akcja hackerska w Kazachstanie.

Chiński dostawca bezpieczeństwa cybernetycznego Qihoo 360 opublikował w piątek raport ujawniający szeroko zakrojoną operację hackerską atakującą systemy Kazachstanu.

Celami były osoby i organizacje, takie jak agencje rządowe, personel wojskowy, badacze, dziennikarze, prywatne firmy, sektor edukacyjny, dysydenci rządowi i zagraniczni dyplomaci.

Kampania, jak twierdzi Qihoo 360, była obszerna i wydaje się, że była prowadzona przez groźnego aktora dysponującego znacznymi zasobami takiego, który był w stanie rozwinąć swoje prywatne narzędzia hakerskie, kupić drogie oprogramowanie szpiegowskie, a nawet zainwestować w sprzęt radiowy przechwytujący komunikację.

Znaki wskazują, że niektóre ataki polegały na wysyłaniu do celów starannie spreparowanych wiadomości e-mail zawierających złośliwe załączniki (phishing spear), podczas gdy inne polegały na uzyskaniu fizycznego dostępu do urządzeń, co sugeruje wręcz użycie fizycznych agentów rozmieszczonych w Kazachstanie.

Badacze Qihoo nazwali grupę odpowiedzialną za tę szeroko zakrojoną kampanię Golden Falcon (lub APT-C-34). Chiński dostawca bezpieczeństwa twierdził, że grupa jest nowa. Zaprzeczają temu ostatniemu faktowi badacze z Kaspersky Lab. Twierdzą, że Golden Falcon wydaje się inną nazwą dla DustSquad, jednostki cyberszpiegowskiej działającej od 2017 roku.


Kolejny ransomware.

Wielokrotnie pisaliśmy o atakach ransomware na „mały publik” w Stanach Zjednoczonych. Piszemy o tym z uporem maniaka, żeby pokazać jak bardzo małe, źle chronione instytucje publiczne są narażone na straty wynikające z przerw w działaniu.

Tym razem dotyczy to szkół w całej dzielnicy-Livingston Public School w New Jersey.

Według wiadomości e-mail wysłanej do rodziców w piątek, atak ransomware w okręgu szkolnym w New Jersey miał miejsce 21 listopada 2019 r.

Okręg szkolny powiadomił organy ścigania i współpracuje z firmą ochroniarską w celu zbadania ataku i oceny ich sieci. Nie ujawniono, w jaki sposób osoby atakujące miały dostęp do sieci dzielnicy ani rodzaju oprogramowania ransomware, którym zostały zainfekowane.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...