DDoS – Raport za 3 kwartał 2019 roku.

W skrócie, wymaganym przez formę zestawienia, podajemy wnioski płynące z obserwacji „rynku ataków DDoS za 3 kwartał br.”: Po pierwsze specjaliści od cyberbezpieczeństwa zdefiniowali nowy trend w atakach, który wykorzystuje protokół Memcached.

Po drugie atakujący próbowali używać innego, raczej egzotycznego protokołu, aby wzmocnić ataki DDoS. Eksperci z Akamai Technologies niedawno zarejestrowali atak na jednego ze swoich klientów, który został przeprowadzony przez sfałszowanie zwrotnego adresu IP za pomocą protokołu multiemisji WS-Discovery.

Raport twierdzi, że to stosunkowo nowy trend. Cyberprzestępcy zaczęli stosować tę metodę niedawno, ale osiągnęli już zdolność ataku do 350 Gb / s. Protokół WSD ma ograniczony zakres i na ogół nie jest przeznaczony do podłączania maszyn do Internetu; raczej urządzenia używają go do automatycznego wykrywania się w sieciach LAN. Jednak dość często zdarza się, że WSD nie jest używane zgodnie z przeznaczeniem w różnych urządzeniach – od kamer IP po drukarki sieciowe (około 630 000 takich urządzeń jest obecnie podłączonych do Internetu).

Po trzecie kolejne nowe narzędzie w rękach „DDoSers” zostało wykryte przez Trend Micro. Atak rozpowszechnia się za pośrednictwem backdoora w narzędziu do wyszukiwania i analizy danych Elasticsearch. Szkodliwe oprogramowanie jest niebezpieczne, ponieważ wykorzystuje wieloetapowe podejście do infekcji, skutecznie zapobiega wykryciu i może być wykorzystywane do tworzenia botnetów do przeprowadzania ataków DDoS na dużą skalę. Firma Trend Micro zaleca wszystkim użytkownikom Elasticsearch uaktualnienie do najnowszej wersji, ponieważ backdoor został już załatany.

Jednak oprócz ewidentnych nowości, cyberprzestępcy w dalszym ciągu sięgają po sprawdzone techniki. Na przykład, kiedy w ubiegłym roku FBI zlikwidowało wiele niedrogich witryn do wynajęcia DDoS, nowe natychmiast pojawiły się na ich miejscu. Według niektórych raportów liczba ataków przeprowadzonych z ich pomocą wzrosła o 400% w porównaniu z poprzednim kwartałem.


Szeroka akcja hackerska w Kazachstanie.

Chiński dostawca bezpieczeństwa cybernetycznego Qihoo 360 opublikował w piątek raport ujawniający szeroko zakrojoną operację hackerską atakującą systemy Kazachstanu.

Celami były osoby i organizacje, takie jak agencje rządowe, personel wojskowy, badacze, dziennikarze, prywatne firmy, sektor edukacyjny, dysydenci rządowi i zagraniczni dyplomaci.

Kampania, jak twierdzi Qihoo 360, była obszerna i wydaje się, że była prowadzona przez groźnego aktora dysponującego znacznymi zasobami takiego, który był w stanie rozwinąć swoje prywatne narzędzia hakerskie, kupić drogie oprogramowanie szpiegowskie, a nawet zainwestować w sprzęt radiowy przechwytujący komunikację.

Znaki wskazują, że niektóre ataki polegały na wysyłaniu do celów starannie spreparowanych wiadomości e-mail zawierających złośliwe załączniki (phishing spear), podczas gdy inne polegały na uzyskaniu fizycznego dostępu do urządzeń, co sugeruje wręcz użycie fizycznych agentów rozmieszczonych w Kazachstanie.

Badacze Qihoo nazwali grupę odpowiedzialną za tę szeroko zakrojoną kampanię Golden Falcon (lub APT-C-34). Chiński dostawca bezpieczeństwa twierdził, że grupa jest nowa. Zaprzeczają temu ostatniemu faktowi badacze z Kaspersky Lab. Twierdzą, że Golden Falcon wydaje się inną nazwą dla DustSquad, jednostki cyberszpiegowskiej działającej od 2017 roku.


Kolejny ransomware.

Wielokrotnie pisaliśmy o atakach ransomware na „mały publik” w Stanach Zjednoczonych. Piszemy o tym z uporem maniaka, żeby pokazać jak bardzo małe, źle chronione instytucje publiczne są narażone na straty wynikające z przerw w działaniu.

Tym razem dotyczy to szkół w całej dzielnicy-Livingston Public School w New Jersey.

Według wiadomości e-mail wysłanej do rodziców w piątek, atak ransomware w okręgu szkolnym w New Jersey miał miejsce 21 listopada 2019 r.

Okręg szkolny powiadomił organy ścigania i współpracuje z firmą ochroniarską w celu zbadania ataku i oceny ich sieci. Nie ujawniono, w jaki sposób osoby atakujące miały dostęp do sieci dzielnicy ani rodzaju oprogramowania ransomware, którym zostały zainfekowane.