Zestawienie tygodniowe 23 - 30 listopada

Canon ujawnił w tym tygodniu, że jest ofiarą kradzieży danych. Doszło do tego podczas ataku ransomware na początku sierpnia 2020 roku. Incydent, wykryty 4 sierpnia, spowodował, że cyberprzestępcy mieli dostęp do sieci firmy Canon w okresie od 20 lipca do 6 sierpnia. Korzystając z tego dostępu, cyberprzestępcy uzyskali pliki „zawierające informacje o obecnych i byłych pracownikach Canon w latach 2005–2020.

Firma twierdzi, że zagrożone informacje obejmują nazwiska, a także dane, takie jak data urodzenia, numer ubezpieczenia społecznego, numer prawa jazdy, numer konta finansowego, numer identyfikacyjny wydany przez rząd i podpis elektroniczny. „Chcieliśmy powiadomić naszych obecnych i byłych pracowników oraz ich beneficjentów i osoby na utrzymaniu o tym incydencie oraz zapewnić ich, że traktujemy to poważnie” – zauważa Canon.

Rodzina ransomware użyta w tym ataku to prawdopodobnie malware „Maze”. Ujawniły to wyciek notki okupu, który BleepingComputer zdobył w sierpniu. Cyberprzestępcy stojący za Maze są znani z kradzieży danych ofiar w celu przekonania ich do zapłacenia okupu, a nawet utworzyli witrynę, na której dane ofiar nie chcących zapłacić, są upubliczniane.

Atak na Canon został ujawniony pracownikom w ciągu kilku dni, pokazał zrzut ekranu wewnętrznej wiadomości. W tej wiadomości firma zauważyła, że atak ransomware nie był związany z awarią, która wpłynęła na część długoterminowej pamięci w image.canon, usłudze w chmurze do przechowywania zdjęć i filmów. W tamtym czasie Canon powiedział, że chociaż niektóre pliki przechowywane w pamięci długoterminowej, których dotyczy problem, zostały utracone, nie doszło do wycieku danych. W aktualizacji opublikowanej 7 sierpnia firma poinformowała, że nie zidentyfikowano żadnego nieautoryzowanego dostępu do image.canon.

Uważa się, że grupa, która twierdziła, że brała udział w atakach ransomware, aby udowodnić słabe praktyki bezpieczeństwa organizacji, zarobiła miliony na swoich nielegalnych operacjach.

Autor: Kapitan Hack Data dodania: 30 lis 2020 11:07 5 min czytania

Zatrzymanie trzech, domniemanych „Nigeryjskich książąt”

Trzech obywateli Nigerii zostało aresztowanych w Lagos. Są podejrzewani o udział w oszustwach typu Business Email Compromise (BEC). Uważa się, że ta trójka jest częścią większej zorganizowanej grupy przestępczej zwanej TMT, która jest zaangażowana w dystrybucję złośliwego oprogramowania, phishing i szeroko zakrojone oszustwa BEC.

Według Interpolu, ta trójka prawdopodobnie obsługiwała odsyłacze phishingowe, domeny i kampanie masowej wysyłki. Podejrzani wykorzystali kampanie do dostarczenia 26 rodzin złośliwego oprogramowania, w tym oprogramowania szpiegującego i narzędzi zdalnego dostępu. Niektóre ze szkodliwych programów wykorzystywanych przez grupę to AgentTesla, Azorult, Loki, nanocore RAT, Spartan i Remcos RAT.

Uważa się, że od 2017 roku grupa TMT atakowała przedsiębiorstwa rządowe i prywatne w ponad 150 krajach. Dane pozyskane z urządzeń należących do trzech aresztowanych członków pomogły zidentyfikować około 50 000 ofiar. Aresztowania to wynik operacji Falcon, trwającego rok śledztwa prowadzonego przez Interpol i firmę ochroniarską Group-IB z siedzibą w Singapurze, przy pomocy nigeryjskiej policji.

Nieoficjalna łatka na Windowsa 7

Nieoficjalna łatka jest teraz dostępna za pośrednictwem usługi 0patch ACROS Security, która usuwa lukę zero-day zidentyfikowaną na początku tego miesiąca w systemach Windows 7 i Windows Server 2008 R2. Wada eskalacji uprawnień, szczegółowo opisana przez badacza bezpieczeństwa Clémenta Labro 12 listopada, istnieje, ponieważ wszyscy użytkownicy mają uprawnienia do zapisu dwóch kluczy, których można użyć do wykonanie kodu.

W szczególności badacz odkrył, że lokalny użytkownik niebędący administratorem może wskazać dowolny z dwóch kluczy w celu utworzenia podklucza wydajności, a następnie uruchomić monitorowanie wydajności w celu załadowania biblioteki DLL atakującego za pośrednictwem procesu WmiPrvSE.exe systemu lokalnego i wykonania z niej kodu.

Podklucz Performance określa nazwę biblioteki DLL sterownika i określają funkcje w tej bibliotece DLL. Ponieważ użytkownik może dodawać wpisy wartości do podklucza, użytkownik lokalny może nadużywać problemu, aby wykonać kod z uprawnieniami SYSTEM. Badacz, który stworzył kod proof-of-concept, twierdzi, że wpływ tej luki jest niewielki, biorąc pod uwagę wymagany dostęp lokalny, nie wspominając o tym, że dotyczy to tylko starszych, nieobsługiwanych już wersji systemu Windows.

Zarówno system Windows 7, jak i Windows Server 2008 R2 osiągnęły koniec wsparcia technicznego w styczniu 2020r i są obecnie w okresie rozszerzonych aktualizacji zabezpieczeń (ESU), ale nie będą już otrzymywać poprawek zabezpieczeń po styczniu 2023 r.

ACROS Security obiecał jednak poprawki dla tych iteracji platform nawet po tym, jak Microsoft przestanie zapewniać dla nich wsparcie, a nawet dla systemów, które nie są zarejestrowane w programie ESU. W ramach usługi 0patch firma z siedzibą w Słowenii udostępniła nieoficjalną, bezpłatny mikropatch dla nowo ujawnionego „dnia zerowego”, aby wyeliminować użycie tego konkretnego klucza Performance, zapobiegając w ten sposób jego nadużyciom.