Zestawienie tygodniowe 25 stycznia – 1 luty

Libańska grupa cyber-przestępcza

„Lebanese Cedar APT organizuje wyrafinowane, dobrze zaprojektowane ataki przy użyciu niestandardowych narzędzi atakujących od 2012 roku, często bez zakłóceń ze strony globalnej społeczności bezpieczeństwa. Zdolność grupy do pozostania w ukryciu nie jest przypadkowa – jest wynikiem sprytnego doboru celów, narzędzi i wektorów ataku”, zauważa ClearSky w swoim raporcie opublikowanym w zeszłym tygodniu.

Grupę hakerów uważa się za powiązaną z rządem libańskim. Włamali się do setek serwerów należących do organizacji na całym świecie, zachowując jednocześnie niski współczynnik wykrycia ataków.

Nowa seria włamań, przypisywanych Libańskiemu Cedrowi” obserwowana jest od początku 2020 r. ClearSky wykryła zagrożone firmy w Stanach Zjednoczonych, Wielkiej Brytanii, Egipcie, Izraelu, Jordanii, Libanie, Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich i innych krajach.

Ataki były wysoce ukierunkowane i uważa się, że są motywowane interesami politycznymi i ideologicznymi, ponieważ grupa może być powiązania z jednostką ds. Cyberbezpieczeństwa Hezbollahu.

Lebanese Cedar wykorzystuje różnorodne narzędzia, wiele z nich jest open source, ale preferuje użycie powłoki internetowej Caterpillar i Explosive RAT. Podczas dochodzenia analitycy bezpieczeństwa ClearSky odkryli również przeglądarkę plików JSP zmodyfikowaną tak, aby służyła celom hakerów.

Wektorem włamań grupy APT są zazwyczaj podatne na ataki internetowe serwery Oracle (CVE-2012-3152) i Atlassian (CVE-2019-3396 i CVE-2019-11581) ofiary. Zaobserwowano, że grupa hakuje organizacje telekomunikacyjne i IT, dostawców hostingu, agencje rządowe oraz firmy zarządzające hostingiem i aplikacjami.

Ciekawe dane w raporcie ITRC

Według raportu Identity Theft Resource Center (ITRC), cyberprzestępcy w 2020 roku odeszli od kradzieży danych klientów indywidualnych i skupili się na większych, bardziej dochodowych atakach na firmy.

Organizacja non-profit, która wspiera ofiary kradzieży tożsamości, odkryła, że liczba naruszeń danych w USA spadła o 19% w 2020 r. do 1108. Jednak liczba indywidualnych ofiar takich cyberprzestępstw spadła o 66% w porównaniu z rokiem poprzednim.

Ransomware i ataki phishingowe są obecnie preferowaną formą kradzieży danych, ponieważ wymagają mniej wysiłku i generują większe zyski. ITRC powiedział, że jeden atak ransomware może wygenerować tyle samo przychodów w ciągu kilku minut, co setki indywidualnych prób kradzieży tożsamości w ciągu miesięcy lub lat.

Według firmy Coveware zajmującej się cyberbezpieczeństwem średnia wypłata za oprogramowanie ransomware wzrosła z mniej niż 10 000 USD za zdarzenie w 2018 r. do ponad 233 000 USD w 2020 r..

Jednak eksperci wzywają konsumentów, aby nie tracili czujności.

Według opublikowanego w czwartek raportu ITRC, nawet przy spadku, w 2020 r. nadal było 300,5 mln osób dotkniętych naruszeniami danych. Chociaż liczba ta może obejmować zdarzenia, w których dana osoba jest wielokrotnie ofiarą.

Jedną z rosnących tendencji są ataki na strony trzecie (takie jak np. dostawcy usług), które zapewniłyby dostęp do wielu organizacji za pomocą jednego ataku. Często taka ofiara jest mniejsza i ma słabsze środki bezpieczeństwa niż firmy, dla których pracują dostawcy.