Címke: kiberbűnözés

Phobos Ransomware: Fenyegetés az amerikai alapvető infrastruktúrákra

Phobos Ransomware fenyegetések az USA alapvető infrastruktúrái ellen

Az USA kiberbiztonsági és hírszerző szervei arra hívják fel a figyelmet, hogy a Phobos ransomware súlyos kockázatot jelent a kormányzati és alapvető infrastruktúrákra. A támadók széles körű módszereket és technikákat vetnek be a zsaroló szoftverek terjesztésére.

A RaaS (Ransomware as a Service) modell szerint működő Phobos különféle célpontra irányul, beleértve városi és megyei kormányzati intézményeket, sürgősségi szolgáltatásokat, oktatási intézeteket, közegészségügyi létesítményeket, valamint más kulcsfontosságú infrastruktúrákat. Ezek a támadások komoly anyagi veszteségeket okoznak az Egyesült Államokban.

Figyelmeztetést kiadó szervezetek
  • Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Hivatal (CISA)
  • Federal Bureau of Investigation (FBI)
  • Multi-State Information Sharing and Analysis Center (MS-ISAC)
Alkalmazott támadási stratégiák és technikák

A támadók gyakran élnek phishing technikákkal vagy sebezhetőségeket keresnek a hálózati rendszerekben. Sikeres behatolást követően többféle távoli elérésű eszközt telepítenek a malware terjesztése és rejtőzködése érdekében.

Egyedi támadások és eszközök

A támadók kihasználják a Windows rendszer integrált API funkcióit a felhasználói jogosultságok kiterjesztésére és azonosítási próbálkozásokra. Nyílt forrású szoftverek, mint a Bloodhound és Sharphound segítik őket a célpontok feltérképezésében. Az adatlopáshoz a WinSCP és a Mega.io szolgál.

Kiemelt támadások

A Bitdefender részletesen tárgyalt egy koordinált támadásról, amely egyszerre két külön vállalatot érintett, amit a CACTUS nevű zsarolóprogram csoport hajtott végre. Ez a támadás kiemelkedő, mivel a célpontok között voltak virtualizációs infrastruktúrák is.

Konklúzió és védekezési stratégiák

A zsarolóprogramok továbbra is jelentős bevételi forrásokat jelentenek a kiberbűnözők számára. A váltságdíj fizetése után az áldozatok gyakran ismételt támadások célpontjává válnak, tovább növelve a pénzügyi terheket.

Forrás: www.thehackernews.com

Nigéria harca a kiberbűnözés ellen

A nigériai elnök határozottan cáfolja az ország mint kiberbűnözési központ képét
Bola Tinubu elnök állítása szerint nemzetünk nem szolgáltat otthont a kiberbűnözők számára, annak ellenére sem, hogy az „infámus nigériai herceg” csalás itt született meg. Az elnök egy kiemelkedő beszédében erőteljesen visszautasította azt az elterjedt felfogást, amely szerint hazánk kiberbűnözőkkel lenne tele. Ehelyett kiemelte, hogy Nigéria jelentős és értékes hozzájárulásokat tesz a globális közösséghez, és aktívan küzd a kiberbűnözés ellen.

A kiberbűnözés továbbra is súlyos kihívást jelent hazánkban, évente körülbelül 500 millió dolláros gazdasági hatással. A Nigériai Gazdasági és Pénzügyi Bűnözés Elleni Bizottság előtt nemrég elmondott beszédében Tinubu elnök rávilágított, hogy a kiberbűnözés aláássa az ország nemzetközi hírnevét, de hangsúlyozta, hogy ez a probléma nem csak Nigériára jellemző. Sőt, a csalásokat és egyéb kibertámadásokat egy „globális jelenségként” írta le, amellyel minden rendelkezésre álló eszközzel szembe kell szállni.

„A mai világunk az interneten keresztül, valós időben kapcsolódik össze. A kormányzati műveletek, üzleti tevékenységek, intézmények és még a magánháztartások is az internetre támaszkodnak” – mondta. „Így a kiberbűnözők nem csak nekünk, hanem a világ többi részére is veszélyt jelentenek. Nem engedhetjük meg magunknak, hogy takarékoskodjunk az erőfeszítéseken és a költségeken, amikor a gonosszal nézünk szembe. Szeretném biztosítani az EFCC-t, hogy a kormány továbbra is támogatni fogja misszióját, hogy megküzdjünk az internetszerte elharapózott bűncselekményekkel.”

Fontos, hogy ellentmondjunk annak a képzetnek, miszerint az afrikai ország egy „csalók földje” lenne, egy jelzőt, amelyet „megtévesztőnek, megalapozatlannak és elfogadhatatlannak” minősített. Tinubu elnök emellett kiemelte, hogy Nigéria számos kezdeményezést tett a kiberbűnözés elleni küzdelem érdekében, beleértve az oktatási programokat is, amelyek a digitális tudatosságot és a biztonságos internetezést hivatottak elősegíteni.

Fiatalok és a kiberbűnözés
Az eseményen Ola Olukoyede, az EFCC vezetője is kifejezte aggodalmát amiatt, hogy a fiatalok egyre nagyobb részt vállalnak a kiberbűnözésben. Felhívta a figyelmet arra a veszélyre, hogy „olyan jövő generációkat nevelünk, akik számára a csalás és korrupció a hírnév és jólét megszerzésének eszközeivé válnak.”

Olukoyede szerint a legjobb megoldás, ha ösztönözzük a fiatalokat arra, hogy válasszanak olyan karrierutakat, amelyek hasonló készségeket igényelnek. „Úgy vélem, az akadémiai körök nagyobb szerepet vállalhatnak a korrupció elleni harcban a mentorálás révén, mivel a mai gyorsan változó világban a fiataloknak szükségük van iránymutatásra, hogy sikeres és célratörő életet éljenek” – tette hozzá. Hangsúlyozta a pozitív példaképek és a hatékony vezetés fontosságát a fiatalok életében.

Egy nemrég az EFCC előtt tartott beszédben Chidiebere Ihediwa, egy nigériai kiberbiztonsági szakértő, ismét felvetette a kérdést, rámutatva, hogy az online csalókat és bűnözőket át kell képezni IT szakemberekké. Ihediwa azt is sürgette, hogy bővítsük a kiberbiztonsági oktatást és képzést, hogy a fiatalok jobban felkészülhessenek a digitális világ kihívásaira, és pozitív módon használhassák fel értékes képességeiket.

Annak ellenére, hogy a nigériai kormány és a kiberbiztonsági közösség jelentős erőfeszítéseket tesz, a kiberbűnözés továbbra is egy globális probléma, amely nem ismer határokat. Az ilyen típusú bűnözés elleni küzdelem nem csak technológiai megoldásokat, hanem társadalmi változások előmozdítását és a fiatal nemzedékek oktatását is magában foglalja. Az EFCC és más szervezetek tevékenysége létfontosságú a biztonságos digitális jövő felé vezető úton.

Forrás: www.darkreading.com

Az Inferno Drainer kártékony működése és a kriptovaluta biztonsági kockázatok

Az Inferno Drainer, egy már nem működő bűnözői hálózat, 2022 és 2023 közötti egy év alatt több mint 16 000 különböző káros domain nevet hozott létre. A szingapúri központú Group-IB jelentése szerint ez a csoport „minőségi adathalász oldalakkal csalogatta a tudatlan felhasználókat, hogy a támadók által kialakított infrastruktúrához csatlakoztassák kriptovaluta tárcáikat. Ez a struktúra Web3 protokollokat imitált annak érdekében, hogy átverje és tranzakciókra késztessék az áldozatokat” – írják a The Hacker News-szal megosztott beszámolójukban.

Az Inferno Drainer 2022 novemberétől egészen 2023 novemberéig működött, ebben az időszakban több mint 87 millió dollárnyi illegális profitot termelt, több mint 137 000 áldozat megtévesztésével. A kártevő egy nagyobb, hasonló funkciójú szolgáltatások csoportjának részét képezte, melyet a csalók az „átverés mint szolgáltatás” (vagy „drainer mint szolgáltatás”) modellben kínáltak, cserébe a nyereségük 20%-át kérték.

Az Inferno Drainer vásárlói dönthettek úgy, hogy a malware-t a saját adathalász oldalaikra töltik fel, vagy igénybe veszik a fejlesztők szolgáltatását, hogy létrehozzanak és tároljanak adathalász weboldalakat, néha ingyen, máskor a lopott eszközök 30%-át felszámolva.

A Group-IB szerint a művelet több mint 100 kriptopénz márkát utánozva, speciálisan kialakított oldalakon zajlott, melyek több mint 16 000 egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése során kiderült, hogy a JavaScript alapú kártevőt kezdetben egy GitHub repóban helyezték el (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakhoz adták volna. A „kuzdaz” felhasználó jelenleg nem aktív.

Hasonlóan, további 350 oldal tartalmazta a „coinbase-wallet-sdk.js” JavaScript fájlt, egy másik GitHub repóban, a „kasrlorcian.github[.]

io”-nál. Ezek az oldalak olyan platformokon kerültek terjesztésre, mint a Discord és az X (korábban Twitter), ahol csábító ajánlatokkal, például ingyenes tokennel (azaz airdropokkal) kecsegtetve vették rá a potenciális áldozatokat, hogy kattintsanak az oldalakra. A cél az volt, hogy rábírják őket a tárcáik csatlakoztatására, ekkor, a tranzakciók elfogadása után, az eszközeiket sikeresen elszívták.

A seaport.js, coinbase.js és wallet-connect.js fájlok használatával az volt a terv, hogy népszerű Web3 protokollokat, mint a Seaport, a WalletConnect és a Coinbase imitáljanak, ezzel végrehajtva az engedély nélküli tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én jelent meg.

„Az Inferno Drainer által létrehozott adathalász oldalak egy további sajátossága az volt, hogy a felhasználók nem tudták megnyitni a weboldal forráskódját a gyorsgombok vagy az egér jobb gombjának segítségével” – jegyezte meg Viacheslav Shevchenko, a Group-IB elemzője. „Ez arra utal, hogy a bűnözők igyekeztek elrejteni a szkriptjeiket és illegális tevékenységüket az áldozatok szeme elől.”

Fontos megemlíteni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónap folyamán kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptopénz-kiürítőt tárolta.

„Bár az Inferno Drainer már nem aktív, tevékenységének jelentősége 2023 során rávilágított a kriptopénz-tulajdonosok számára fennálló súlyos kockázatokra, hiszen a drainer típusú kártevők további fejlődésén dolgoznak” – fejtette ki Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás: https://the hackernews.com

Digitális Csapdák: Egy magyar marketingügynökség tapasztalatai az online adathalászattal

Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat.

Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az „O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott.

A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is.

Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben.

Forrás: www.telex.hu