Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
DDoS Toyota Olaszország malvertising unsend ZDNet Európai Bizottság Bodybuilding.com káros kód RAM-kezelés adatvédelem böngésző bővítmény frissítés GDPR HOYA cURL Sisyphus Gmail Best Pack Exploit Kit biztonsági hiba ausztrál parlament brute force Creep Exploit Kit bug LCG Kit Flash Karoblis Cobalt Strike álhírek IBM
 március 27. 07:36

Az Alert Logic szerint ─ legalábbis néhány variáns esetében ─ megelőzhető, hogy a LockerGoga zsarolóvírus titkosítsa a fájlokat.

Bővebben

Az Alert Logic szerint ─ legalábbis néhány variáns esetében ─ megelőzhető, hogy a LockerGoga zsarolóvírus titkosítsa a fájlokat. A kutatók felfedezték, hogy a vírus enkriptálás előtt átfésüli a merevlemezt, hogy egy listát készítsen azon fájlokról, amelyeket titkosítani fog. Amennyiben ennek során egy olyan .lnk kiterjesztésű (parancsikon) fájlra bukkan, amely érvénytelen hivatkozást tartalmaz, megszakítja a műveletet. Megjegyzendő, hogy ehhez a fájlnak a legutóbb megnyitott elemeket (Recent Items) tartalmazó könyvtárban kellett lennie. Mindemögött egy programozói mulasztás áll, ugyanis a malware készítői nem gondoskodtak az imént vázolt esetben fellépő hiba lekezeléséről. A Cisco Talos fenyegetés elemző csapata más érdekes felismerést is tett: a malware későbbi verziói futáskor automatikusan kijelentkeztetik a felhasználót. Mindez esetenként azt eredményezi, hogy az áldozat már a zsaroló üzenetet sem láthatja, így ezen variánsok esetében a cél már inkább a direkt károkozás lehet.

(securityweek.com)
Kevesebb
Hasonló hírek
 április 18. 15:57

Kizárólag iOS felhasználókat céloz egy malvertising (reklámalapú vírusterjesztés) kampány, amelynek során a támadók online hirdetésekbe rejtett káros kódokkal káros webhelyekre irányítják át a felhasználókat.

Bővebben

Kizárólag iOS felhasználókat céloz egy malvertising (reklámalapú vírusterjesztés) kampány, amelynek során a támadók online hirdetésekbe rejtett káros kódokkal rosszindulatú webhelyekre irányítják át a felhasználókat. A támadók az iOS Chrome mobilböngésző egy sérülékenységét kihasználva képesek megkerülni a Chrome beépített sandboxát is. A Google megkezdte a biztonsági rés vizsgálatát, amelyről már kiderült, hogy a Google Chrome más platformokon futó verzióit és a Safarit sem érinti. A kampányt felfedező Confiant vállalat szerint a korábbi támadásokhoz hasonlóan valószínűleg a mostaniért is az az „eGobbler” nevű malvertising csoport felel, akik jellemzően amerikai iOS felhasználókat céloznak, különösen az ünnepeket megelőző időszakokban. Februárban,  az amerikai Elnökök Napjához (Presidents Day) kapcsolódó ünnepi hétvégén 800 millió, április 6. és 10. között pedig körülbelül 500 millió rosszindulatú hirdetés került kiküldésre.

(zdnet.com)
Kevesebb
 április 12. 12:52

Az Emotet az egyik legnagyobb botnet jelenleg, jelentőségére jellemző, hogy nagyobb kiberbiztonsági cégek (CrowdStrikeFireEyeKryptos LogicMcAfeeIBMCybereason) elemzései alapján nagy szerepe van a Ryuk, a LockerGoga, valamint a BitPaymer zsarolóvírusok elterjedésében is.

Bővebben

Az Emotet az egyik legnagyobb botnet jelenleg, jelentőségére jellemző, hogy nagyobb kiberbiztonsági cégek (CrowdStrikeFireEyeKryptos LogicMcAfeeIBMCybereason) elemzései alapján nagy szerepe van a Ryuk, a LockerGoga, valamint a BitPaymer zsarolóvírusok elterjedésében is. A Cofense szerint a botnetet működtető kollektíva most új taktikát kezdett alkalmazni: egy korábbi, alapozó kampány során begyűjtött valós e-mail üzenetekre válaszolva küldenek káros hivatkozást az áldozatnak. Ez a technika ─ amelyet a Palo Alto Networks Észak-Koreához köt ─ nagyon megtévesztő, hiszen a felhasználó azt tapasztalja, hogy egy legitim e-mail beszélgetésben érkezik új üzenet. Az Emotet botnet spamelő hálózata ─ a lekapcsolás megnehezítésére ─ két fő klaszterből áll (E1, E2) és jelenleg mindkettő az új kampánnyal van elfoglalva. A ZDNet felhívja a figyelmet arra, hogy amennyiben valaki gyanús hivatkozást tartalmazó e-mailt kap egy partnerétől, javasolt korábbi Emotet-es fertőzések után kutatnia a rendszerén.

(www.zdnet.com)
Kevesebb
 április 11. 12:56

Február végén kibertámadás érte a japán HOYA vállalat thaiföldi üzemét, amely három napig részleges leállásokat okozott a gyártósoron.

Bővebben

Február végén kibertámadás érte a japán HOYA vállalat thaiföldi üzemét, amely három napig részleges leállásokat okozott a gyártósoron. A vállalat közleménye szerint körülbelül 100 munkaállomás fertőződött meg hitelesítő adatokat gyűjtő káros kóddal, valamint a támadás második fázisában kriptobányász malware-rel. Helyi hírforrások szerint – a szokatlanul magas erőforrás-felhasználás miatt – utóbbi vezetett a támadás felfedezéséhez. Habár  az üzletmenetre összességében alacsony befolyással bírt a támadás, és adatszivárgás sem történt, a termelésben keletkezett csúszás következményeivel a vállalat a mai napig küzd. A japán cég mellett márciusban hasonló kibertámadás érte a Toyota tokiói értékesítési leányvállalatát, amely során 3,1 millió vásárló érzékeny adata vált elérhetővé a hackerek számára. Szintén márciusban, a LockerGoga zsarolóvírus miatt, a norvég Norsk Hydro alumíniumipari vállalat volt kénytelen átállni a manuális műveletekre.

(www.bleepingcomputer.com)
Kevesebb
 április 10. 14:56

A Chronicle kutatói szerint egy negyedik csoport is részt vett a Stuxnet malware készítésében.

Bővebben

A Stuxnetet a világ első ─ felfedezett ─ katonai célú kiberfegyvereként tarják számon. A káros kódot, amelyet vélhetően az Egyesült Államok és Izrael vetett be egy iráni urándúsító üzem ellen, az eddigi kutatások már három másik kiberfenyegetéssel is összefüggésbe hozták (a Duqu és a Flame nevű, valamint az NSA-féle Equation Group kártékony szoftvereivel). A Chronicle legfrissebb elemzése szerint azonban a Stuxnet egy moduljának ─ a vezérlőszerverekkel való kapcsolattartást időzítő Stuxshop ─ fejlesztésében a Flowershop nevű, 2002 és 2013 között aktív malware-t készítő kollektíva is részt vett. A Chronicle az ilyen összetett kollaborációk meghatározására egy új fogalmat is bevezetett, az ún. „Supra Threat Actor”-t (STA), amely alatt egy több országot, szervezetet vagy csoportot reprezentáló, nagyobb szerveződést értenek. A Stuxnetet készítő STA-ra GOSSIPGIRL-ként hivatkoznak. A szakértők szerint a felfedezés azért is fontos, mert alátámasztja a Symantec teóriáját, miszerint a Stuxnet fejlesztése már 2005-ben megkezdődött.

(securityweek.com)
Kevesebb
 április 08. 12:50

Az Emsisoft újabb dekriptor eszközt tett ingyenesen elérhetővé, ezúttal a „Planetary” zsarolóvírus család által titkosított fájlok váltak visszafejthetővé.

Bővebben

Az Emsisoft újabb dekriptor eszközt tett ingyenesen elérhetővé, ezúttal a „Planetary” zsarolóvírus család által titkosított fájlok váltak visszafejthetővé. A szóban forgó ransomware onnan ismert, hogy a titkosított fájlok kiterjesztéseként bolygó neveket alkalmaz, mint például a .Pluto vagy a .Neptune, de legutóbb például egy videojátékban szereplő fiktív bolygó nevét használták (.mira). A fájlok visszafejtéséhez szükség van a zsarolóvírus által létrehozott váltságdíj felszólítást tartalmazó üzenetre (ransom note), amely egy „!!!READ_IT!!!.txt” nevű fájl, és minden olyan könyvtárban megtalálható, amelyben a vírus fájlokat titkosított. A dekriptor és a hozzá tartozó felhasználói útmutató az Emsisoft weboldaláról ingyenesen beszerezhető.

(www.bleepingcomputer.com)
Kevesebb
 április 04. 13:00

A nápolyi rendőrség közleménye alapján a hatóságok razziát tartottak a hivatalosan biztonsági kamera megfigyelő rendszert működtető, azonban a Motherboard információi szerint kémprogramokat is gyártó eSurv nevű cégnél.

Bővebben

A nápolyi rendőrség közleménye alapján a hatóságok razziát tartottak a hivatalosan biztonsági kamera megfigyelő rendszert működtető, azonban a Motherboard információi szerint kémprogramokat is gyártó eSurv nevű cégnél. Egy korábbi publikációjuk szerint a cég felelős több, mint 25, a Google Play Store-ba juttatott káros kódért, amelyekre az eset kapcsán vizsgálódó kutatók összefoglaló néven, Exodus-ként hivatkoznak. A spyware-t több komoly kritika is érte, mert bár a fejlesztő cég rendelkezik érvényes, „passzív és aktív elfogó rendszerek fejlesztésére” szóló szerződéssel, a hatályos olasz jogszabályok értelmében a kémkedési célú szoftverek nem telepíthetők a célpont megfelelő leellenőrzése nélkül. Az Exodus készítői ezt azonban nem végezték megfelelően, ráadásul nem ez volt az egyetlen súlyos hiba. Mint kiderült, a fertőzött eszközökön az Exodus hátsó ajtót is nyitott, ezzel bárki számára támadhatóvá téve őket. Helyi lapok információi szerint a rendőrségi eljárás már a Motherboard múlt heti cikke előtt megindult, amelynek részeként most az eSurv teljes infrastruktúráját lekapcsolták, egy, a céghez közel álló forrás szerint illegális lehallgatás vádjával.

(motherboard.vice.com)
Kevesebb
 április 01. 15:57

A Skylight Cyber biztonsági kutatói közreadtak egy listát azokról a hálózati eszköz azonosítókról (MAC cím), amelyeket az ASUS ellátási láncát felhasználó malware támadás során a támadók a célpontok azonosításához használtak. A lista 583 MAC címet tartalmaz, amelyek az esetet feltáró Kaspersky által elemzett backdoorokból származnak. Az orosz biztonsági cég bár korábban kiadott egy online toolt, amellyel bárki megállapíthatta, hogy a saját eszközei érintettek-e a támadásban, azonban a Skylight Cyber fontosnak látta a teljes lista nyilvánosságra hozását, mert úgy vélik, ez szolgálja igazán a biztonsági közösség érdekeit. Azon felhasználók számára, akik megtalálják a hálózati eszközük címét, javasolt a rendszer teljes újratelepítése a gyári beállításokra történő visszaállítással (lásd: alapállapotba állítás).

(securityaffairs.co)
Kevesebb
 március 27. 07:38

A LockerGoga zsarolóvírus ezúttal a vegyipar két prominens amerikai vállalatának (Hexion, Momentiv) működésében okozott fennakadásokat.

Bővebben

A LockerGoga zsarolóvírus ezúttal a vegyipar két prominens amerikai vállalatának (Hexion, Momentiv) működésében okozott fennakadásokat. A cégek múlt hétvégi közleményei szerint a hálózatbiztonsági incidensek következtében nem voltak képesek hozzáférni egyes informatikai rendszereikhez, ám a zsarolóvírus támadás a gyártásért felelős rendszereket kevésbé érintette, tekintve, hogy azok más hálózaton találhatóak. A támadások során bekövetkezett károk pontos mértékéről bővebb adat nem érhető el, mivel a cégek a korábbi áldozatoknál (például Norsk Hydro-nál) jóval kevesebb információt hoztak nyilvánosságra. A Motherboard ugyanakkor birtokába jutott egy belső momentives üzenetnek, amely szerint az incidens globális leállást okozott a vállalat IT rendszerében, amelynek következtében több száz új számítógépet kellett vásárolniuk, valamint egyes dolgozók e-mail fiókjai is hozzáférhetetlenné váltak. Ismert továbbá, hogy a LockerGoga eddig azonosított variánsai nem rendelkeznek a hálózaton való továbbterjedéshez (Network Lateral Movement) szükséges beépített mechanizmussal, szakértők úgy vélik a Norsk Hydro esetében a káros kód valószínűleg az Active Directory-n keresztül terjedt el. A Motherboard szerint mindkét vállalatot március 12-én érte támadás, amelynek egyik lehetséges oka, hogy a Hexion és a Momentive is egy befektetői csoporthoz tartozik, így rendszereik kapcsolatban állhatnak egymással. A LockerGoga támadásokat figyelemmel kísérő biztonsági szakértő, Kevin Beaumont elmondása szerint a VirusTotal oldalra feltöltött egyedi minták alapján legalább 8 szervezet szenvedhetett el támadást, amelyek közül egyelőre csak négy ismert.

(securityweek.com)
Kevesebb