Brandsit

Tag: Cisco Talos

  • Fałszywe ChatGPT i InVideo AI. Tak hakerzy infekują systemy ransomware

    Fałszywe ChatGPT i InVideo AI. Tak hakerzy infekują systemy ransomware

    Rosnące zainteresowanie narzędziami opartymi na sztucznej inteligencji, takimi jak ChatGPT czy InVideo AI, nie uszło uwadze cyberprzestępców. Jak wynika z najnowszego raportu Cisco Talos, hakerzy coraz częściej wykorzystują boom na AI jako przynętę do infekowania komputerów ransomware i innym złośliwym oprogramowaniem.

    Zamiast klasycznych kampanii phishingowych, oszuści tworzą fałszywe strony i instalatory podszywające się pod znane narzędzia AI. W jednym z przypadków pod nazwą „ChatGPT 4.0” kryło się ransomware Lucky_Gh0$t, które szyfruje pliki, usuwa większe dane i utrudnia odzyskanie systemu. Inne przypadki to złośliwe wersje narzędzi InVideo AI (z malware Numero) i Nova AI (z ransomware CyberLock), w których infekcja prowadzi do utraty dostępu do danych, uszkodzenia systemu lub żądania okupu – nawet do 50 tys. dolarów w kryptowalucie Monero.

    Wspólnym mianownikiem tych ataków jest próba ominięcia zabezpieczeń poprzez wykorzystanie legalnych komponentów AI oraz manipulacja zaufaniem użytkowników. Cyberprzestępcy celują zarówno w osoby prywatne, jak i firmy szukające nowoczesnych rozwiązań do automatyzacji, generowania treści czy konwersji leadów.

    Boom na AI to nie tylko szansa dla innowatorów, ale także nowe pole do nadużyć. W erze „AI dla wszystkich” użytkownicy muszą nauczyć się rozpoznawać fałszywe obietnice i krytycznie weryfikować źródła pobieranych aplikacji. Złota zasada pozostaje aktualna: jeśli coś wygląda zbyt dobrze, by było prawdziwe — prawdopodobnie takie właśnie jest.

  • Cyberbezpieczeństwo 2025 – ransomware nadal groźne, ale wektor ataków się zmienia

    Cyberbezpieczeństwo 2025 – ransomware nadal groźne, ale wektor ataków się zmienia

    W ostatnim kwartale 2024 roku badacze zauważyli zmiany, jeśli chodzi o cyberbezpieczeństwo firm – cyberprzestępcy zmienili podejście do uzyskiwania początkowego dostępu do systemów, coraz częściej wykorzystując web shell. Według raportu Cisco Talos, zamiast tradycyjnego przejmowania legalnych kont użytkowników, hakerzy skoncentrowali się na lukach bezpieczeństwa i niezałatanych, publicznie dostępnych aplikacjach.

    W 35% incydentów w IV kwartale przestępcy korzystali z open-source’owych interfejsów web shell do atakowania niezaktualizowanych aplikacji internetowych. To znaczący wzrost w porównaniu do 10% z poprzedniego kwartału. Eksperci podkreślają, że ten trend wymaga skuteczniejszego monitorowania aplikacji oraz wdrażania polityk zarządzania uprawnieniami.

    Ransomware: tymczasowy spadek i świąteczne wzmożenie ataków

    Chociaż aktywność ransomware nieco osłabła w IV kwartale, w okresie okołoświątecznym ponownie wzrosła, głównie za sprawą grupy BlackBasta. To pokazuje, że zagrożenie to wciąż pozostaje istotnym ryzykiem, a w 2025 roku może powrócić ze zdwojoną siłą.

    Ransomware, pre-ransomware oraz techniki szantażu z wykorzystaniem skradzionych danych stanowiły blisko 30% analizowanych przypadków – w porównaniu do 40% w poprzednim kwartale. Cisco Talos zwraca również uwagę na nowe zagrożenia, takie jak Interlock ransomware, przy jednoczesnej aktywności grup BlackBasta i RansomHub.

    Cyberbezpieczeństwo i kluczowa luka

    W 75% przypadków atakujący uzyskali dostęp do systemów poprzez przejęcie kont użytkowników, co było możliwe z powodu braku skutecznego uwierzytelniania wieloskładnikowego (MFA). Operatorzy BlackBasta w jednym z incydentów wykorzystali socjotechnikę, podszywając się pod dział IT ofiary w celu przejęcia danych logowania.

    Ponadto, w niemal wszystkich atakach ransomware wykryto użycie narzędzi zdalnego dostępu. W poprzednim kwartale wskaźnik ten wynosił jedynie 13%, a w IV kwartale już 75% incydentów obejmowało wykorzystanie Splashtop, Atera, Netop, AnyDesk lub LogMeIn.

    Eksploatacja podatnych aplikacji jako nowa dominująca metoda

    Eksploatacja podatnych aplikacji publicznych stała się najczęstszą metodą uzyskiwania początkowego dostępu, odpowiadając za 40% przypadków. Wcześniej dominowało przejmowanie kont użytkowników. Ten wzrost ataków oraz ich konsekwencje podkreślają konieczność skutecznego zarządzania podatnościami oraz regularnych aktualizacji systemów.

    Wzrost ataków typu password spraying

    Od grudnia 2024 roku Cisco Talos odnotowało wzrost ataków password spraying. Hakerzy masowo próbowali odgadnąć i używać haseł w krótkim czasie, co prowadziło do blokowania kont użytkowników i utrudnienia dostępu do usług VPN. W jednym przypadku zanotowano niemal 13 milionów prób logowania w ciągu 24 godzin, co świadczy o wykorzystaniu zaawansowanych, zautomatyzowanych narzędzi.

    Najczęściej atakowane sektory

    Sektor edukacyjny po raz kolejny pozostawał najbardziej narażoną branżą, odpowiadając za niemal 30% wszystkich przypadków ransomware. Przyczyną jest ograniczony budżet IT placówek edukacyjnych oraz duża liczba użytkowników, co zwiększa podatność na ataki socjotechniczne.

    Zalecenia Cisco Talos dla organizacji

    Aby ograniczyć ryzyko ataków, Cisco Talos zaleca:

    • Wdrożenie MFA – większość organizacji dotkniętych ransomware miała niewłaściwie skonfigurowane MFA lub mechanizm ten został złamany.
    • Regularne aktualizacje – 15% incydentów wynikało z użycia przestarzałego oprogramowania.
    • Segmentację sieci – 40% ataków web shell było możliwych z powodu słabej segmentacji sieci.
    • Zastosowanie narzędzi EDR (Endpoint Detection and Response) – w 25% przypadków brakowało odpowiednich zabezpieczeń lub były one źle skonfigurowane.

    IV kwartał 2024 roku przyniósł istotne zmiany w krajobrazie cyberzagrożeń. Ataki na podatne aplikacje internetowe stały się częstsze, a ransomware nadal stanowi poważne zagrożenie. Organizacje muszą konsekwentnie wdrażać skuteczne strategie cyberbezpieczeństwa, w tym MFA, segmentację sieci oraz regularne aktualizacje systemów. Eksperci podkreślają, że ochrona przed cyberatakami to proces wymagający stałego monitorowania, dostosowywania strategii oraz edukacji użytkowników.

  • Ransomware Interlock uderza w korporacje

    Ransomware Interlock uderza w korporacje

    Ransomware pozostaje jednym z najpoważniejszych zagrożeń w świecie cyfrowym, nieustannie się rozwijając i adaptując do nowych zabezpieczeń. Najnowszym przykładem jest Interlock – nowy rodzaj złośliwego oprogramowania, który przyciągnął uwagę badaczy z Cisco Talos. Interlock wyróżnia się zaawansowaniem technicznym oraz unikalnymi metodami działania, które zwiększają jego skuteczność w atakach na duże organizacje.

    Podwójne wymuszenie jako strategia

    Interlock nie tylko szyfruje dane ofiar, ale stosuje strategię podwójnego wymuszenia (ang. double extortion), grożąc ujawnieniem wykradzionych danych, jeśli okup nie zostanie zapłacony. Jego celem są głównie organizacje o złożonej infrastrukturze, takie jak instytucje rządowe, firmy technologiczne czy sektor zdrowia. W pierwszych atakach, zarejestrowanych we wrześniu 2024 roku, Interlock wykorzystywał niezałatane luki w zabezpieczeniach, aby przejąć kontrolę nad systemami ofiar.

    Zaawansowane techniki ataku

    Proces ataku trwa średnio 17 dni i zaczyna się od fałszywego pliku instalatora Google Chrome, który uruchamia złośliwe oprogramowanie typu RAT (Remote Access Trojan). Następnie, zainstalowany skrypt PowerShell zapewnia napastnikom trwały dostęp do systemu, umożliwiając m.in. kradzież poświadczeń i rejestrowanie naciśnięć klawiszy. Dalsze działania obejmują wykorzystanie technik takich jak kerberoasting oraz narzędzi, takich jak Azure Storage Explorer i AzCopy, do przesyłania danych do chmury kontrolowanej przez atakujących.

    Powiązania z Rhysida

    Analizy Cisco Talos sugerują, że Interlock może być ewolucją wcześniejszego ransomware Rhysida. Podobieństwa w kodzie, metodach ataku i listach wykluczeń plików wskazują na wspólną linię rozwoju obu wariantów. Interlock dodatkowo stosuje nowe techniki, które zwiększają jego skuteczność, np. groźby ujawnienia danych ofiar w ciągu 96 godzin od ataku.

    Rosnące zagrożenie dla dużych organizacji

    Interlock jest kolejnym dowodem na to, że ransomware staje się coraz bardziej wyspecjalizowane i groźne. Ataki takie jak ten podkreślają znaczenie inwestowania w zaawansowane rozwiązania z zakresu cyberbezpieczeństwa oraz regularne aktualizowanie zabezpieczeń, aby zminimalizować ryzyko naruszeń.

    źródło: Cisco Talos

  • Od dyskietek po kryptowaluty: 35 lat ransomware

    Od dyskietek po kryptowaluty: 35 lat ransomware

    Grudzień 2024 roku to ważny moment dla świata cyberbezpieczeństwa – upływa 35 lat od pierwszego ataku ransomware i 20 lat od pojawienia się jego współczesnej formy, która z eksperymentalnego narzędzia przerodziła się w jedno z największych wyzwań dla użytkowników internetu.

    Pierwsze kroki: ransomware na dyskietce

    Pierwszy atak ransomware miał miejsce w 1989 roku. Na dyskietkach rzekomo zawierających ankietę dotyczącą ryzyka zachorowania na AIDS ukryto złośliwe oprogramowanie, które po 90 uruchomieniach komputera szyfrowało pliki i żądało okupu w formie czeku. Sprawca nie został ukarany. Próby tego typu w tamtych czasach często kończyły się fiaskiem ze względu na brak internetu i anonimowych metod płatności.

    Nowa era kryminalna

    Krytyczny zwrot nastąpił w 2004 roku z pojawieniem się ransomware GPCode, które korzystało z załączników w e-mailach, by infekować komputery ofiar. Choć początkowo stosowano proste algorytmy szyfrowania, rozwój technologii pozwolił przestępcom na wdrożenie bardziej zaawansowanych metod, takich jak klucze publiczne.

    Przełomem okazały się kryptowaluty, które w 2013 roku zostały wykorzystane przez twórców CryptoLocker. Bitcoin umożliwił anonimowe transakcje, co nadało atakom ransomware bardziej profesjonalny i lukratywny charakter.

    Profesjonalizacja cyberprzestępczości

    W latach 2010–2020 środowisko ransomware przeszło głęboką transformację. Cyberprzestępcy zaczęli działać w modelu partnerskim, delegując zadania takie jak dystrybucja oprogramowania na mniej wykwalifikowane grupy, sami zaś skupili się na ulepszaniu technologii. Powstały nawet specjalistyczne portale dla partnerów, umożliwiające monitorowanie efektywności działań.

    W 2019 roku pojawiło się oprogramowanie Maze, które wprowadziło podwójny szantaż – ofiary nie tylko traciły dostęp do zaszyfrowanych danych, ale grożono im również ujawnieniem wykradzionych informacji, co dodatkowo potęgowało presję.

    „Wcześniej, w 2017 roku, ransomware WannaCry i NotPetya pokazały, jak destrukcyjne mogą być tego typu ataki. WannaCry automatycznie rozprzestrzeniało się między systemami, jednak ograniczony jeszcze wówczas sposób płatności z wykorzystaniem portfeli bitcoin utrudnił przestępcom identyfikację ofiar, które zapłaciły okup. Z kolei NotPetya, choć przypominało ransomware, w rzeczywistości działało bardziej jak narzędzie destrukcyjne – usuwając krytyczne dane, co czyniło odzyskanie plików niemożliwym nawet po zapłaceniu okupu”

    komentuje Martin Lee z Cisco Talos.

    Zmiana strategii i nowe cele

    Podczas gdy początkowe ataki ransomware były skierowane na masowego użytkownika, ewolucja strategii skupiła uwagę przestępców na dużych instytucjach. Ataki takie jak SamSam (2016) pokazały, że celowanie w konkretne organizacje, takie jak szpitale czy korporacje, przynosi wyższe zyski.

    Ostatnie lata przyniosły zarówno wzrost liczby ataków, jak i coraz lepsze narzędzia obronne. Kopie zapasowe danych stały się kluczowym elementem strategii ochrony, choć ich brak wciąż jest piętą achillesową wielu firm.

    Ransomware pozostanie z nami, ewoluując wraz z technologią. Branża cyberbezpieczeństwa odpowiada jednak innowacjami, które pomagają ograniczać skutki zagrożeń.

    „Ransomware raczej nie zniknie – jego opłacalność sprawia, że zostanie z nami na długie lata i wciąż będzie ewoluował. Cyberprzestępcy nadal będą wykazywali się niezwykłą pomysłowością w wymyślaniu nowych technik i metod mających na celu udoskonalenie swojego modelu biznesowego oraz unikania wykrycia ich samych i ich złośliwego oprogramowania. Branża cyberbezpieczeństwa odpowiada jednak swoimi innowacjami, stale tworząc nowe narzędzia i strategie ochrony. Dzięki stałemu aktualizowaniu wiedzy i globalnej współpracy możemy ograniczyć ryzyko i zbudować bardziej odporną cyfrową przyszłość”

    podsumowuje Martin Lee, lider Cisco Talos w regionie EMEA.

    źródło: Cisco Talos

  • Luka w zabezpieczeniach aplikacji Microsoft na macOS 

    Luka w zabezpieczeniach aplikacji Microsoft na macOS 

    W ostatnich dniach grupa cyberbezpieczeństwa Cisco Talos ujawniła istnienie poważnej luki w zabezpieczeniach aplikacji Microsoft działających na systemie macOS, która mogła narazić użytkowników na poważne zagrożenia dla ich prywatności. Według raportu, luki te pozwalały złośliwym podmiotom na uzyskanie nieautoryzowanego dostępu do kamer i mikrofonów w komputerach Mac, co mogło skutkować nagrywaniem dźwięków, robieniem zdjęć, a nawet wysyłaniem wiadomości e-mail z konta użytkownika bez jego wiedzy.

    Szczegóły zagrożenia

    Luka ta związana jest z mechanizmem autoryzacji systemu macOS, znanym jako Transparency, Consent, and Control (TCC). TCC zarządza dostępem aplikacji do różnych zasobów systemu, takich jak kamera, mikrofon czy biblioteka zdjęć. W normalnych warunkach, aby aplikacja mogła uzyskać dostęp do tych zasobów, musi uzyskać wyraźną zgodę użytkownika. Jednak badacze z Cisco Talos odkryli, że złośliwe oprogramowanie mogło wykorzystać uprawnienia przyznane aplikacjom Microsoft, by uzyskać dostęp do tych zasobów bez dodatkowej autoryzacji ze strony użytkownika.

    Zidentyfikowano osiem luk w różnych aplikacjach Microsoft, w tym w takich popularnych programach jak Outlook, Teams, PowerPoint, OneNote, Excel i Word. Wykorzystanie tych luk pozwalało atakującym na przejęcie kontroli nad kamerą i mikrofonem, co mogło prowadzić do poważnych naruszeń prywatności użytkowników. Atakujący mogli nie tylko nagrywać audio i wideo, ale także wysyłać wiadomości e-mail z kont użytkowników, co stanowi dodatkowe zagrożenie, szczególnie w kontekście ataków phishingowych.

    Reakcja Microsoft i Apple

    Cisco Talos informuje, że Microsoft początkowo zareagował na te doniesienia, klasyfikując exploit jako „niskiego ryzyka”. Było to uzasadniane faktem, że atak wymagał ładowania niepodpisanych bibliotek w celu obsługi wtyczek innych firm, co teoretycznie miało ograniczać możliwości wykorzystania tej luki.

    Pomimo tego, Microsoft zdecydował się na wprowadzenie poprawek w aplikacjach Teams i OneNote dla macOS. Niestety, jak dotąd, nie zostały podjęte żadne działania w przypadku innych aplikacji, co może oznaczać, że użytkownicy tych programów nadal są narażeni na potencjalne ataki.

    W związku z tą sytuacją, badacze z Cisco Talos zasugerowali także, że Apple mogłoby wprowadzić dodatkowe zmiany w mechanizmie TCC, aby uczynić system bardziej odpornym na tego typu ataki w przyszłości.

    Odkrycie luki w zabezpieczeniach aplikacji Microsoft na macOS to poważne ostrzeżenie dla użytkowników i firm korzystających z tych narzędzi. Choć Microsoft podjął już pewne kroki w celu zabezpieczenia swoich aplikacji, pozostają pytania o to, jak skutecznie zminimalizować ryzyko związane z tymi lukami w pozostałych programach.

    Użytkownicy powinni zachować szczególną ostrożność, monitorując aktywność swoich urządzeń i regularnie aktualizując oprogramowanie, aby zminimalizować ryzyko narażenia na ataki. Sprawa ta pokazuje, jak ważne jest, by producenci oprogramowania oraz dostawcy systemów operacyjnych stale współpracowali w celu zapewnienia jak najwyższego poziomu bezpieczeństwa cyfrowego.

  • Cyber alarm – edukacja i produkcja na celowniku cyberprzestępców

    Cyber alarm – edukacja i produkcja na celowniku cyberprzestępców

    Ransomware, w tym aktywność pre-ransomware, był najczęściej obserwowanym zagrożeniem w czwartym kwartale 2023 r, stanowiąc 28 proc. wszystkich incydentów bezpieczeństwa odnotowanych przez zespół Cisco Talos. Jest to wzrost o 17 proc. względem poprzedniego okresu. Cisco Talos zaobserwował wiele grup cyberprzestępczych wykorzystujących ransomware w tym Play, Cactus, BlackSuit i NoEscape.

    Najważniejsze informacje:

    • Do najpoważniejszych incydentów w ostatnim kwartale poprzedniego roku należały zagrożenia spowodowane czynnikami wewnętrznymi (insider threats) oraz kampanie phishingowe.
    • Zespół Cisco Talos zareagował na wiele incydentów, w których stwierdzono dalszą aktywność cyberprzestępców po wystąpieniu ataku, chociaż same ataki miały ograniczoną skalę i były powstrzymane na wczesnym etapie.
    • Edukacja i produkcja były najczęściej atakowanymi sektorami: dotyczyła ich prawie połowa wszystkich incydentów.
    • Najczęściej obserwowanymi sposobami uzyskania początkowego dostępu było wykorzystanie wykradzionych danych uwierzytelniających do kont i publicznie dostępnych aplikacji: każdy z nich odpowiadał za 28 proc. przypadków.
    • Brak wdrożenia uwierzytelniania wieloskładnikowego (MFA) był główną słabością systemów bezpieczeństwa, odpowiadającą za 36 proc. incydentów.
    • Według dostępnych raportów, w 2023 r. nastąpił znaczny wzrost phishingu z wykorzystaniem kodów QR.
    • Chociaż niesławna luka „Log4Shell” została załatana w grudniu 2021 r., po dwóch latach atakujący nadal wykorzystują podatne systemy.

    Poza edukacją i produkcją, popularnymi celami były podmioty związane z opieką zdrowotną i administracją publiczną. W porównaniu z poprzednim kwartałem eksperci Cisco Talos odnotowali niewielki wzrost liczby incydentów wymierzonych w sektor edukacji, podczas gdy liczba ataków na przemysł wzrosła aż o 10 proc.

    ransomware
    źródło: Cisco Talos
    ransomware
    źródło: Cisco Talos
    ransomware
    źródło: Cisco Talos

    Cyberprzestępcy atakują placówki oświatowe w celu przeprowadzenia ataków ransomware lub uzyskania danych osobowych studentów i wykładowców. Szkoły o ograniczonych możliwościach i budżetach są najbardziej narażone z uwagi na niewystarczające inwestycje w cyberbezpieczeństwo lub konieczność ograniczania kosztów. Ataki mogą jednak stanowić wyzwanie nawet dla najlepiej wyposażonych szkół – dane wrażliwe są niezwykle atrakcyjnym celem gdyż są wykorzystywane do dalszych ataków, sprzedawane na forach dark web lub używane do wyłudzania pieniędzy.

    Jak się chronić przed najnowszymi cyberzagrożeniami?

    • Brak uwierzytelniania wieloskładnikowego pozostaje jednym z największych ryzyk bezpieczeństwa przedsiębiorstw. Wszystkie organizacje powinny wdrożyć jedną z dostępnych form takiego uwierzytelniania.
    • Rozwiązania do wykrywania incydentów na punktach końcowych i reagowania na nie, takie jak Cisco Secure Endpoint, mogą wykrywać niebezpieczną aktywność w sieciach i urządzeniach organizacji.
    • Atakujący często próbowali ominąć uwierzytelnianie wieloskładnikowe w rozwiązaniach Endpoint Detection and Response, aby wyłączyć ich mechanizmy ostrzegania.
    • Sygnatury Snort i ClamAV mogą blokować wiele znanych narzędzi pre-ransomware, które atakujący wdrożyli w tym kwartale, takich jak Play i NoEscape.
  • Ewolucja cyberzagrożeń – ransomware, APT i nowe schematy ataków w 2023 roku

    Ewolucja cyberzagrożeń – ransomware, APT i nowe schematy ataków w 2023 roku

    Ataki, które zdominowały krajobraz cyberzagrożeń w 2023 roku to m.in. ransomware, commodity loaders i ataki typu APT, czyli zaawansowane i trwałe zagrożenia. Cisco Talos, komórka firmy zajmująca się cyberochroną, prezentuje podsumowanie Cisco Talos Year in Review, pokazując jak globalne konflikty, zmiany geopolityczne i inne wydarzenia kształtowały trendy w cyberbezpieczeństwie, zmieniając taktyki i podejście podmiotów odpowiedzialnych za cyberprzestępczość, w tym m.in. za cyberszpiegostwo. 

    Wieloletnie doświadczenie Cisco Talos oraz globalna obecność firmy w zakresie cyberbezpieczeństwa poprzez m.in. wykrycia naruszeń punktów końcowych, reakcje na cyberincydenty, monitoring ruchu sieciowego czy wiadomości e-mail, dostarczyły ogromną ilość danych pomocnych w ustrukturyzowaniu krajobrazu najważniejszych zagrożeń. Wykorzystując te informacje, eksperci Cisco byli w stanie nakreślić te typy ataków, które były najczęściej obserwowane w 2023 roku. 

    Ransomware na czele zagrożeń

    Ataki typu ransomware nadal zagrażały przedsiębiorcom, a LockBit utrzymał pierwsze miejsce na liście już drugi rok z rzędu. Najczęściej atakowanym sektorem była natomiast opieka zdrowotna, ponieważ atakujący nadal koncentrowali się na tych podmiotach, które mają kluczowe znaczenie w kwestii bezpieczeństwa cyfrowego i jednocześnie niską tolerancję na przestoje w funkcjonowaniu. 

    Atakujący, tacy jak np. grupa Clop, wdrażali tzw. exploity zero-day, czyli programy wykorzystujące błędy w oprogramowaniu pojawiające się na rynku zanim producenci zdołają wypuścić oficjalne poprawki do systemów, co dotychczas było schematem działania kojarzonym głównie z atakami typu APT. W tym samym czasie wyciek kodu źródłowego ransomware pozwalał na „wejście do gry” mniej wykwalifikowanym cyberprzestępcom. Dodatkowo, analitycy Cisco zaobserwowali jeszcze jeden trend, który skomplikował krajobraz zagrożeń, mianowicie to, że atakujący wykorzystujący ransomware wymuszając okup skupiali się od razu na ujawnieniu wrażliwych danych, zamiast na ich wcześniejszym szyfrowaniu jak miało to często miejsce wcześniej. 

    Wektory działań często pozostają te same

    Commodity loaders, czyli programy służące do ładowania złośliwego kodu, są nadal używane w przypadku ransomware, wykorzystując typy oprogramowania zbliżone do tych z 2022 roku, m.in. Qakbot czy IcedID, czyli najpopularniejsze trojany skierowane w branżę finansową. Znalazło to potwierdzenie w badaniach Cisco, które wykazały, że gros ataków dotyczyło właśnie sektora usług finansowych i transportu, a więc obszarów chętnie atakowanych przez osoby wykorzystujące ten typ ataków. Co ciekawe, mechanizmy te zaczynają być pozycjonowane jako „wysublimowane mechanizmy dostarczania złośliwych ładunków” bez konotacji z konkretną branżą czy sektorem gospodarki. Obsługujący je cyberprzestępcy szkolą się natomiast w nowych sposobach na ominięcie czujności potencjalnych ofiar i chociaż mijający rok przyniósł udaną próbę wyeliminowania dużego botnetu Qakbot, eksperci Cisco przekonują, że nie oznacza to, iż zagrożenie zniknęło całkowicie. 

    Jednym z nowszych trendów ponadregionalnych, który zaobserwowali eksperci Cisco Talos jest wzrost liczby ataków z wykorzystaniem APT i ransomware na urządzenia sieciowe. Obie grupy ataków polegają na wykorzystaniu ujawnionych niedawno luk w zabezpieczeniach lub słabych danych uwierzytelniających, co było jedną z głównych słabości w analizowanych przypadkach. Niezależnie od poziomu wyrafinowania i intencji atakujących, powody ataków były przeważnie takie same: urządzenia sieciowe mają dla organizacji ogromną wartość, a jednocześnie wiele słabych punktów. 

    Niestabilność geopolityczna przejawia się w zwiększonej aktywności APT. Znajduje to odzwierciedlenie w analizach Cisco, które pokazały wzrosty podejrzanego ruchu podczas głównych wydarzeń geopolitycznych. Dla przykładu, zmiany relacji Zachodu z krajami Azji i Pacyfiku przynosiły ośmielenie działań grup chińskich wyrażane większymi zniszczeniami w wyniku cyberataków. Miało to także odbicie w atakach na sektor telekomunikacji, którego infrastruktura jest często elementem infrastruktury krytycznej w strategicznie ważnych rejonach, np. takich jak Guam czy Tajwan.

    Natomiast w przypadku rosyjskich ataków APT, grupy Gamaredon czy Turla ze zdwojoną siłą atakowały Ukrainę, jednak ogólna aktywność rosyjskich ataków w 2023 roku nie oddawała pełni możliwości cyberzagrożeń tego źródła widocznych w przeszłości, prawdopodobnie z powodu wzmożonego zbiorowego wysiłku na rzecz cyberobrony atakowanych podmiotów. 

    Światełko w tunelu cyberochrony

    Jasnym punktem na mapie cyberzagrożeń były wysiłki Cisco w celu stworzenia i dostarczenia rozwiązań bezpieczeństwa, które pomogły wzmocnić partnerów firmy. Specjalny oddział Cisco Talos kontynuuje udaremnianie ataków przeciwko kluczowym podmiotom w Ukrainie. W 2023 roku udało się m.in. ustabilizować ukraińską sieć energetyczną przed skutkami zagłuszania globalnego systemu pozycjonowania GPS przez dostarczenie zmodyfikowanych przełączników Cisco do stref działań wojennych. Wspólnie z partnerami, Cisco uruchomiło również Network Resilience Coalition, koncentrując się na zwiększaniu świadomości co do zagrożeń oraz dostarczaniu praktycznych zaleceń w celu poprawy bezpieczeństwa sieci.

  • Zeroday w Cisco IOS XE: Zagrożenie, które wymaga natychmiastowej uwagi

    Zeroday w Cisco IOS XE: Zagrożenie, które wymaga natychmiastowej uwagi

    Talos, zespół ds. bezpieczeństwa Cisco, poinformował o odkryciu nowego zeroday w internetowym interfejsie użytkownika oprogramowania IOS XE. To odkrycie stanowi potencjalne zagrożenie zarówno dla fizycznych, jak i wirtualnych systemów, które korzystają z aktywnego serwera HTTP lub HTTPS działającego na platformie IOS XE. Atakujący, po połączeniu się z Internetem lub niewiarygodną siecią, mogą całkowicie przejąć system, tworząc konto o poziomie uprawnień 15.

    Najważniejszym aspektem tego zeroday jest fakt, że został nadany identyfikator CVE-2023-20198 i uzyskał maksymalny krytyczny wynik CVSS wynoszący 10, co sugeruje ogromne ryzyko związanego z tą luką. W praktyce oznacza to, że potencjalne konsekwencje ataku są poważne i wymagają natychmiastowej uwagi.

    Szybka reakcja Cisco i Talos

    Warto zaznaczyć, że Cisco nie pozostawiło użytkowników samych sobie w obliczu tego zagrożenia. Firma opublikowała poradnik, który zawiera wskazówki dotyczące wyłączenia serwerów HTTP/S w systemach, które znajdują się w Internecie. To jedna z pierwszych reakcji na pojawienie się zeroday i dowód na zaangażowanie firmy w rozwiązanie problemu. Warto podkreślić, że ze względu na krytycznie wysoki wynik CVSS, zarówno Talos, jak i Cisco zalecają wszystkim użytkownikom szybkie i pełne przestrzeganie tych zaleceń.

    Skonfigurowany atak i zagrożenia

    Dotychczasowe przypadki podejrzanej aktywności, związane z wykorzystaniem tej luki, pokazują, że atakujący są bardzo sprawni. Przykłady obejmują tworzenie podejrzanych kont z podejrzanego adresu IP oraz zakładanie pliku konfiguracyjnego. W obu przypadkach atakujący udawali podmiot Cisco, co dodatkowo utrudniało wykrycie ataku. Ponadto, atakujący wykorzystywali inną znaną lukę (CVE-2021-1435), co pokazuje, że byli dobrze przygotowani i zdolni do wykorzystywania wielu zagrożeń w celu osiągnięcia swoich celów.

    Rekomendacje od Talos

    Talos, zespół ds. bezpieczeństwa Cisco, wyraźnie zaleca organizacjom i firmom, aby dokładnie przeanalizowały swoje systemy w poszukiwaniu nowych lub niewyjaśnionych kont użytkowników. Istnienie takich kont może wskazywać na to, że złośliwe działania są w toku, a atakujący próbują przejąć kontrolę nad systemem.

    Zeroday w Cisco IOS XE jest poważnym zagrożeniem dla organizacji i firm korzystających z tego oprogramowania. Reakcja Cisco i Talos na to odkrycie jest szybka i zdecydowana, co jest zrozumiane w kontekście krytycznie wysokiego ryzyka. Jednak ważne jest, aby każda organizacja, która korzysta z IOS XE, podjęła niezbędne kroki w celu zabezpieczenia swoich systemów i monitorowania potencjalnych zagrożeń. Bezpieczeństwo cyfrowe powinno być priorytetem, zwłaszcza w obliczu tak poważnego zagrożenia, jak to zeroday.

  • Wycieki kodów – Błogosławieństwo czy klątwa dla cyberbezpieczeństwa?

    Wycieki kodów – Błogosławieństwo czy klątwa dla cyberbezpieczeństwa?

    W ostatnich latach, krajobraz cyberzagrożeń uległ znaczącym zmianom. Eksperci z Cisco Talos zauważają rosnącą liczbę wariantów oprogramowania ransomware, co prowadzi do częstszych ataków i nowych wyzwań dla specjalistów ds. cyberbezpieczeństwa. W tym artykule przyjrzymy się, jak te zmiany wpływają na branżę i jakie są ich konsekwencje.

    Ransomware jako Usługa (RaaS)

    Jednym z najbardziej niepokojących trendów jest pojawienie się modelu „Ransomware jako Usługa” (RaaS). W tym modelu, cyberprzestępcy oferują swoje usługi różnym zleceniodawcom, co znacznie komplikuje identyfikację atakujących. Grupy te często zmieniają nazwy lub łączą się z innymi, co dodatkowo utrudnia ich śledzenie.

    Obniżenie progu wejścia

    Od 2021 roku, wycieki kodów źródłowych i narzędzi do tworzenia ransomware stały się coraz bardziej powszechne. To obniżyło próg wejścia do świata cyberprzestępczości, umożliwiając nawet amatorom tworzenie własnych ataków. Wycieki te, takie jak Babuk, Conti, czy LockBit 3.0, miały różne przyczyny – od celowych działań do błędów ludzkich, ale ich wpływ na krajobraz zagrożeń jest znaczący.

    Cisco
    Kreator ataków ransomware Chaos; źródło: Cisco Talos

    Amatorska cyberprzestępczość

    Interesującym zjawiskiem jest pojawienie się „amatorskich” cyberprzestępców, którzy żądają znacznie niższych okupów niż zorganizowane grupy. Działają oni na podstawie wyciekłych kodów i narzędzi, co pozwala im na testowanie nowych rozwiązań i granic. Ich żądania okupu są znacznie niższe, często w przedziale od 3,50 USD do 4390 USD w Bitcoinach.

    Cisco
    Stawki żądań okupu przez grupy ransomware; źródło: Cisco Talos

    Jak wycieki wzmacniają cyberbezpieczeństwo?

    Chociaż wycieki kodów źródłowych ułatwiają życie cyberprzestępcom, przynoszą też pewne korzyści dla branży cyberbezpieczeństwa. Analiza tych kodów pozwala na zrozumienie taktyk, technik i procedur (TTP) stosowanych przez atakujących. To z kolei umożliwia opracowanie skuteczniejszych metod wykrywania i zwalczania zagrożeń.

    Ewolucja w dziedzinie ransomware stawia przed nami nowe wyzwania, ale również otwiera nowe możliwości dla specjalistów ds. cyberbezpieczeństwa. Zrozumienie tych trendów i adaptacja do nich jest kluczowa dla skutecznej obrony przed rosnącą falą cyberataków.