Atak na rurociąg

Atak ransomware uderzył w obiekt do kompresji gazu ziemnego w USA, ostrzegły służby federalne. Atak spowodował dwudniowe zamknięcie rurociągu. Systemy przywrócono z kopii zapasowych.

Atakujący byli w stanie przeniknąć do sieci IT obiektu, a następnie przejść dalej, aby ostatecznie zinfiltrować centrum kontroli i komunikacji po stronie technologii operacyjnej (OT). Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) powiedziała w alercie wydanym w tym tygodniu, że napastnicy z powodzeniem przejęli tożsamość jednego z pracowników w celu uzyskania wstępnego dostępu.

Kompromitacja w sieci IT doprowadziła do tego, że cyberatak wywołał dostarczone oprogramowanie ransomware do szyfrowania danych zarówno w sieci IT, jak i OT. Zdolność do fałszywego przestawienia się była spowodowana brakiem segmentacji sieci między IT, a częściami infrastruktury OT, powiedział CISA.

Widzimy tutaj scenariusz, który staje się regułą w atakach ransomware. „Obecne trendy w oprogramowaniu ransomware wykorzystują początkowy dostęp do środowisk IT ofiary, aby przechwycić dane uwierzytelniające lub skompromitować Windows Active Directory (AD) w celu uzyskania powszechnego dostępu do całej sieci ofiary ”, powiedział przedstawiciel CISA – „Po osiągnięciu tego, atakujący może następnie wykorzystać złośliwe skrypty i legalne narzędzia do zdalnego wykonywania, takie jak PSExec, aby wystawić oprogramowanie ransomware, a nawet wypchnąć złośliwe oprogramowanie za pośrednictwem globalnych polityk. W rezultacie wszystkie maszyny Windows przyłączone do domeny są zarażane prawie jednocześnie, aby wygenerować zdarzenie szyfrowania całej sieci. Ta strategia została wykorzystana do wdrożenia różnych odmian oprogramowania ransomware, w tym Ryuk, MegaCortex i Sodinokibi.

CISA zauważyło, że osoby atakujące nigdy nie uzyskały możliwości kontrolowania fizycznych procesów sieci. Atak nie wpłynął na żadne programowalne sterowniki logiczne (PLC), które są odpowiedzialne za bezpośredni odczyt i manipulację tymi procesami w środowiskach przemysłowych – było tak, ponieważ atak był ograniczony do systemów opartych na Windows.


Co dalej z Assangem

Brytyjska sędzina wstrzymała w czwartek przesłuchanie Juliana Assange’a po czterech dniach intensywnej sprzeczki prawnej, która ma związek z prośbą Waszyngtonu o ekstradycje. Amerykanie chcą sądzić Assange’a pod zarzutem szpiegostwa.

Sędzina Vanessa Baraitser, która ostatecznie rozstrzygnie kontrowersyjną sprawę, nakazała zespołom prawnym 48-letniego australijskiego i amerykańskiego rządu zwołanie krótkich przesłuchań w marcu i kwietniu. Pełna rozprawa w sprawie ekstradycji zostanie wznowiona w połowie maja, kiedy to zostaną wezwani i przesłuchani świadkowie, a ostateczne rozstrzygnięcia spodziewane są najpóźniej do sierpnia.

Sędzia odrzucił w czwartek wniosek prawników Assange’a, aby pozwolili mu usiąść ze swoim zespołem obrony, a nie w „klatce” ze szklanymi ścianami. Assange wielokrotnie wstawał i przerywał postępowanie, aby narzekać na niemożność wysłuchania argumentów lub poufnego spotkania ze swoimi prawnikami.

Assange stoi w obliczu zarzutów wynikających z amerykańskiej ustawy o szpiegostwie za opublikowanie w 2010 r. listy tajnych akt zawierających szczegółowe informacje o kampaniach wojskowych USA w Afganistanie i Iraku, a także o zarzutów o włamania do komputerów.

Większość minionej dekady Assange spędził w londyńskiej ambasadzie Ekwadoru, aby uniknąć ekstradycji do Szwecji, gdzie musiał by stawić czoła zarzutom gwałtu i napaści seksualnej. Z kolei prawnicy rządu USA oskarżają założyciela WikiLeaks o ryzykowanie życiem źródeł wywiadowczych poprzez opublikowanie tajnych dokumentów rządowych oraz o to, że Assange pomógł analitykowi wywiadu USA Chelsea Manningowi ukraść i opublikować tajne dokumenty.

W odpowiedzi prawnicy Assange’a argumentowali, że zarzuty są „polityczne”, a jego ekstradycja naruszyłaby prawo międzynarodowe i liczne traktaty. Oskarżyli także Stany Zjednoczone o „odważne i rażące” zniekształcanie faktów na temat jego postępowania, nazywając niektóre z ich twierdzeń „kłamstwami, kłamstwami i jeszcze raz kłamstwami”. Wyrok przeciwko Assange’owi mogłoby go uwięzić na 175 lat, jeśli zostanie skazany za wszystkie 17 zarzutów amerykańskiej ustawy o szpiegostwie.


Edge bezpieczniejszy

W tym tygodniu Microsoft wprowadził nowe funkcje w przeglądarce Edge, aby zapobiec pobieraniu „potencjalnie niechcianych aplikacji” (PUA). PUA to aplikacje, które tworzą dodatkowe reklamy, kopią kryptowaluty lub wyświetlają oferty innych programów o złej reputacji. Takie oprogramowanie może szkodzić wrażeniom wizualnym użytkownika, obniżyć wydajność systemu i maszyny oraz obniżyć ogólną jakość systemu Windows.

Począwszy od wersji 80.0.338.0, Microsoft Edge będzie zawierał nową funkcję blokującą pobieranie plików, które mogą zawierać PUA, uniemożliwiając tym aplikacjom dotarcie do komputera użytkownika. Ta funkcja zostanie jednak domyślnie wyłączona, chociaż użytkownicy będą mogli ją włączyć w zaledwie trzech krokach, klikając „…” w prawym górnym rogu, przechodząc do Ustawień, a następnie Prywatność i usługi oraz włączając: „Blokuj potencjalnie niechciane aplikacje” w obszarze Usługi.

Blokowanie PUA, jak twierdzi Microsoft, wymaga włączenia Microsoft Defender SmartScreen. W przypadku aplikacji, które przez pomyłkę zostały oznaczone jako PUA, Edge oferuje opcję zachowania aplikacji. W tym celu użytkownicy będą musieli nacisnąć „…” na dolnym pasku, wybrać „Zachowaj”, a następnie wybierz „Zachowaj mimo to” w wyświetlonym oknie dialogowym.

Microsoft twierdzi, że nową funkcją jest pomaganie użytkownikom w uzyskiwaniu potrzebnych aplikacji, przy jednoczesnym zapewnieniu kontroli nad urządzeniami i wydajnością. Jednocześnie opublikował dokumentację bezpieczeństwa, w której szczegółowo opisano, w jaki sposób identyfikuje złośliwe oprogramowanie, niechciane oprogramowanie i PUA. Firma opublikowała również informacje o tym, jak administratorzy mogą włączyć tę funkcję.