CERT RSS

Programer u jednoj kineskoj banci otkrio je ranjivost u sustavu koja mu je omogućavala da, tijekom jedne godine, putem bankomata izvuče oko milijun dolara.

Ova je vijest objavljena u hongkonškim novinama South China Morning Post, a u njoj piše kako se programer u Huaxia banci pokušao opravdati tvrdeći kako je samo istraživao sigurnosni sustav . U banci su takvo objašnjenje prihvatili, međutim, policija nije bila toliko blagonaklona te je on sada na putu za zatvor.

Programer Qin Qisheng je otkrio ranjivost u kodu bankomata koja mu je onemogućavala da bilježi transakcije koje su se odvijale oko ponoći. Qin je potom napravio skriptu kojom je onemogućio sustavu da šalje upozorenja kada podiže novac te je tako napravio 1 358 kasnonoćnih transakcija.

Nakon što su ga uhvatili, branio se govoreći kako je samo istraživao ranjivosti u sustavu što nije bilo dovoljno za policiju. Predstavnik banke je tijekom sudskog procesa rekao kako je Qin kazao da je iskorištavanje ove ranjivosti veoma složeno te da je mislio da ju banka neće shvatiti ozbiljno čak i ako ju prijavi.

Iako je banka povjerovala Qinovom objašnjenu, sud ga je osudio na nešto više od 10 godina zatvora u prosincu prošle godine.

26. siječnja 2019. godine

Nova inačica ransomwarea Scarab

Sigurnosni stručnjak Amgad.M otkrio je novu inačicu ransomwarea Scarab koja dodaje nastavak .Crash šifriranim datotekama.

Službenici grada Akron kažu kako je kibernetički napad prisilno ugasio gradsku telefonsku liniju za pomoć

WHIO-TV izvještava:

„Službenici kažu kako je financijski motiviran kibernetički napad na računalne poslužitelje prisilio grad u saveznoj državi Ohio da ugasi liniju 311 svog telefonskog centra dok se priprema za oporavak od snježne oluje.

Akron Beacon Journal izvještava kako je službenica grada Akron rekla da je napad uključivao ransomware koji je zahtijevao tisuće dolara. Ransomware je zlonamjerni softver koji prijeti da će objaviti žrtvine podatke ili blokira pristup njima.“

Nova inačica ransomwarea Xorist

Sigurnosni stručnjak Petrovic otkrio je novu inačicu ransomwarea Xorist koja dodaje nastavak .mcafee šifriranim datotekama.

Otkriven ransomware Blackware

MalwareHunterTeam otkrio je ransomware Blackware 1.0 koji je zapravo samo zlonamjerni softver za zaključavanje zaslona (eng. screenlocker) te ne šifrira datoteke.

27. siječnja 2019. godine

Otkriven ransomware Spiteful Doubletake

Sigurnosni stručnjak Jakub Kroustek otkrio je ransomware napisan u programskom jeziku Perl nazvan Spiteful Doubletake. Čini se da je ransomware još u stadiju razvoja ili da je samo tzv. proof of concept (PoC). Ovaj ransomware dodaje nastavak .enc šifriranim datotekama.

Nova inačica ransomwarea STOP koja dodaje nastavak .adobee

Sigurnosni stručnjak Michael Gillespie otkrio je novu inačicu ransomwarea STOP koja dodaje nastavak .adobee šifriranim datotekama.

Otkriven ransomware Gorgon

Sigurnosni stručnjak Jakub Kroustek otkrio je ransomware nazvan Gorgon koji dodaje nastavak .[buy-decryptor@pm.me] šifriranim datotekama.

28. siječnja 2019. godine

Rusija pogođena novim valom neželjene e-pošte koja širi ransomware

ESET izvještava:

„U siječnju 2019. godine vidjeli smo dramatični porast detekcija zlonamjernih JavaScript privitaka u e-pošti, taj vektor napada bio je većinom neaktivan kroz 2018. godinu. Od „novogodišnjih“ kampanja zlonamjerne e-pošte koje se oslanjaju na ovaj vektor, detektirali smo novi val neželjene e-pošte na ruskom jeziku koja distribuira ransomware poznat pod nazivima Shade ili Troldesh, a koje ESET detektira kao Win32/Filecoder.Shade.“

Otkriven ransomware Unit09

Sigurnosni stručnjak Michael Gillespie otkrio je novi ransomware koji dodaje nastavak .UNIT09 šifriranim datotekama i ostavlja ucjenjivačku poruku naziva $!READ ME.txt.

29. siječnja 2019. godine

Otkrivena nova inačica ransomwarea Xorist koja dodaje nastavak .mbrcodes

Sigurnosni stručnjak Michael Gillespie otkrio je novu inačicu ransomwarea Xorist koja dodaje nastavak .mbrcodes.

Otkrivena nova inačica ransomwarea Jigsaw zvana Anti-Capitalist

MalwareHunterTeam otkrio je novu inačicu ransomwarea Jigsaw zvanu Anti-Capitalist koja dodaje nastavak .fun šifriranim datotekama.

Otkriven ransomware DESYNC

Sigurnosni stručnjak Michael Gillespie otkrio je novi ransomware koji dodaje nastavak .DESYNC šifriranim datotekama i ostavlja ucjenjivačku poruku naziva # HOW TO DECRYPT YOUR FILES #.txt.

30. siječnja 2019. godine

Kampanja zlonamjerne e-pošte s tematikom ljubavnih pisama poslužuje koktel zlonamjernog softvera te intenzivno napada Japan

Kampanja zlonamjerne e-pošte s tematikom ljubavnih pisama koja je prethodno detektirana i analizirana 10. siječnja, sada je promijenila svoj fokus na mete u Japanu te je udvostručila volumen zlonamjernih privitaka koje dostavlja, uključujući ransomware GandCrab.

Novi ransomware LockerGoga navodno korišten u napadu na tvrtku Altran

Hakeri su zarazili sustave tvrtke Altran Technologies sa zlonamjernim softverom koji se proširio kroz mrežu tvrtke te time pogodio tvrtkine operacije u nekim zemljama Europe. Kako bi zaštitili podatke klijenata i svoju imovinu, Altran je ugasio svoju mrežu i aplikacije.

Nova inačica ransomwarea Xorist

Sigurnosni stručnjak GrujaRS otkrio je novu inačicu ransomwarea Xorist koja dodaje nastavak .Mcafee i ostavlja ucjenjivačku poruku naziva HOW TO DECRYPT FILES.

31. siječnja 2019. godine

Pogled na ransomware Jaff

Fortinet je objavio izvještaj o ransomwareu Jaff:

„Ransomware Jaff izvorno je objavljen na proljeće 2017. godine, no većinom je zanemaren jer je u isto vrijeme ransomware WannaCry bio glavna vijest za novinske agencije diljem svijeta. Od tada, ransomware Jaff vrebao je u sjeni te zaražavao strojeve diljem svijeta. U ovoj analizi laboratorija FortiGuard Labs, pogledat ćemo neke česte ransomware tehnike koje ovaj zlonamjerni softver koristi te kako one predstavljaju ransomwareovu rutinu zaraze općenito.“

Otkrivene nove inačice ransomwarea Dharma

Sigurnosni stručnjak Jakub Kroustek otkrio je par novih inačica ransomwarea Dharma koje dodaju nastavak .qwex, .ETH odnosno .air šifriranim datotekama.

Nova inačica ransomwarea Obfuscated

Sigurnosni stručnjak Michael Gillespie otkrio je novu inačicu ransomwarea Obfuscated koja dodaje prefiks “[id=]” šifriranim datotekama. Ovaj ransomware je i dalje moguće dešifrirati.

Otkrivena nova inačica ransomwarea Jigsaw

Sigurnosni stručnjak Michael Gillespie otkrio je novu inačicu ransomwarea Jigsaw koja dodaje nastavak .YOLO šifriranim datotekama. Na temelju poruke, čini se da bi ransomware mogao biti dio red team/blue team vježbe?

1. veljače 2019. godine

Matrix: suptilni, ciljani ransomware

Sigurnosna stručnjakinja tvrtke Sophos Luca Nagy objavila je izvještaj o ransomwareu Matrix.

24. prosinca 2018. godine

Nova inačica programa za analizu ransomwarea CryptoTester

Sigurnosni stručnjak Michael Gillespie objavio je novu inačicu programa za analizu ransomwarea CryptoTester 1.2.0.6 koja dodaje nove značajke poput izvoza RSA ključeva, base64 kodiranja i dekodiranja te razne ispravke grešaka.

25. prosinca 2018. godine

Nakon 18 mjeseci od početnog izbijanja zaraze, ransomware WannaCry i dalje vreba na zaraženim računalima

Čak 18 mjeseci nakon izbijanja početne zaraze, ransomware WannaCry i dalje predstavlja problem za tisuće, ako ne i stotine tisuća, zaraženih računala.

Prema voditelju istraživanja sigurnosti i analize prijetnji tvrtke Kryptos Logic, Jamieu Hankinsu, kill switch domena ransomwarea WannaCry u periodu od jednog tjedna broji preko 17 milijuna spajanja s preko 630 tisuća jedinstvenih IP adresa iz 194 zemalja.

26. prosinca 2018. godine

Ransomware JungleSec kompromitira žrtve putem IPMI kartica

Od početka studenog, ransomware naziva JungleSec kompromitira žrtve putem nesigurnih IPMI (Intelligent Platform Management Interface) kartica. IPMI je upravljačko sučelje ugrađeno u matične ploče poslužitelja ili instalirano u obliku dodatne kartice koje administratorima omogućuje daljinsko upravljanje računalom.

Ažuriran alat SamSamStringDecrypter

Sigurnosni stručnjak Michael Gillespie ažurirao je alat za analizu ransomwarea SamSam naziva SamSamStringDecrypter. Popravljena je greška u softveru zbog koje se program prisilno zatvarao prilikom neuspjeha u ekstrakciji niza znakova te je dodana podrška za starije verzije ransomwarea SamSam.

Ažuriran alat AuroraDecrypter

Sigurnosni stručnjak Michael Gillespie ažurirao je alat za dešifriranje ransomwarea Aurora koji sada podržava inačicu koja koristi nastavak .Nano.

27. prosinca 2018. godine

Zlonamjerna elektronička pošta distribuira ransomware Shade (Troldesh) i drugi zlonamjerni softver

Sigurnosni stručnjak Brad objavio je analizu kampanje zlonamjerne elektroničke pošte koja putem privitka distribuira ransomware Shade/Troldesh i drugi zlonamjerni softver.

30. prosinca 2018. godine

Sumnja se da je ransomware zaslužan za kibernetički napad na nekoliko velikih američkih novina

Glavni sumnjivac u kibernetičkom napadu koji je tijekom vikenda uzrokovao prekid u tiskanju i isporuci nekoliko velikih američkih novina je obitelj ransomwarea Ryuk. Napad je navodno pogodio tiskovne centre kojima upravlja tvrtka Tribune Publishing te tvrtka u nekadašnjem vlasništvu Tribune Publishinga, Los Angeles Times.

• Milijuni korisnika još uvijek koriste slabe lozinke, koje je lako pogoditi, kako bi zaštitili svoje uređaje
• Najveći prijestupnik u 2018. godini je “123456”, nakon kojeg slijedi “password”
• Obje lozinke zadržale su svoja mjesta petu godinu za redom
• Gotovo 10% ljudi koristilo je jednu od 25 najgorih lozinki u protekloj godini

Tvrtka koja se bavi kibernetičkom sigurnosti otkrila je koje su lozinke bile najviše hakirane u 2018. godini, a prva na listi je lozinka “123456” koju slijedi “password” i to petu godinu za redom. Unatoč neprestanim upozorenjima sigurnosnih stručnjaka, milijuni ljudi još uvijek koriste slabe lozinke koje se mogu lako pogoditi.

Prema njihovom istraživanju, temeljenom na pet milijuna hakiranih računa, 10% korisnika koristilo je najmanje jednu od 25 najgorih lozinki u protekloj godini.

Svake godine tvrtka SplashData sa sjedištem u Los Gatosu, koja pruža usluge zaštite identiteta, procjenjuje milijune probijenih lozinki kako bi utvrdila koje su najlakše hakirane. Lista sadrži nekoliko neučinkovitih lozinki koje su se iz nekog razloga dugo zadržale među korisnicima interneta. Nakon “12345” i “password”, sljedećih pet lozinki na listi zapravo su numerički nizovi – 123456789, 12345678, 12345, 111111 i 1234567.

Postoji nekoliko tema na listi najgorih lozinki, uključujući imena i hobije kao što su ‘donald’ i ‘football’.

“Hakeri postižu veliki uspjeh koristeći imena poznatih osoba, pojmove iz pop kulture i sporta, te jednostavne uzorke na tipkovnici pomoću kojih ulaze u online račune jer znaju da mnogi ljudi koriste one lako pamtljive kombinacije”, rekao je Morgan Slain, predsjednik Uprave SplashData. “Nadamo se da objavom ove liste možemo uvjeriti ljude da poduzmu korake kako bi se zaštitili na internetu”, rekao je.

Prema SplashDatu, od pet milijuna probijenih lozinki za listu 2018., većinu su koristili korisnici u Sjevernoj Americi i Zapadnoj Europi.

Lozinke koje su procurile iz hakiranih web stranica za odrasle nisu bile uključene u izvješće.

Kako biste stvorili jaku lozinku, tvrtka preporučuje korisnicima da upotrebljavaju zapis od dvanaest znakova ili više s mješovitim vrstama znakova. Također preporučuju upotrebu različitih lozinki za svaku prijavu odnosno korisnički račun. Na taj način, ako haker dobije pristup jednoj lozinki, neće ju moći koristiti za pristup drugim web stranicama.

Korisnici također mogu koristiti upravitelja lozinki za organiziranje lozinki, generiranje sigurnih slučajnih lozinki i automatsko prijavljivanje na web stranice.

Stručnjaci upozoravaju da je dodavanje broja ili simbola u uobičajenu riječ također nedjelotvoran trik. Razlog zbog čega česta izmjena lozinki ne pomaže je činjenica da većina ljudi kod promjene lozinke naprave samo manju izmjenu poput zamjene broja 1 s brojem 2. Ove male izmjene nazivaju se “transformacije”, a hakeri su ih vrlo svjesni i ugrađuju ih u svoje skripte. Prethodna istraživanja pokazala su da će muškarci za 2,8 puta vjerojatnije koristiti takvu izmjenu u usporedbi sa ženama.

KAKO izabrati sigurnu lozinku?

Prema tvrtki Norton – davatelju internetskih sigurnosnih usluga “što je kraća i manje složena vaša lozinka, to će brže program za pronalaženje ispravne kombinacije znakova doći do nje”.

Što je dulja i složenija vaša lozinka, to je manje vjerojatno da će napadač koristiti metodu “brute force”, zbog duljine vremena potrebnog da program dođe do vase lozinke.

Umjesto toga, upotrebljavat će metodu nazvanu “dictionary attack” (napad rječnikom) u kojoj program prolazi kroz unaprijed definirani popis uobičajenih riječi koje se koriste u lozinkama.”

Evo nekoliko koraka koje treba slijediti prilikom izrade nove lozinke:

DA:

1 – Koristite kombinaciju brojeva, simbola, velikih i malih slova

2 – Provjerite ima li lozinka barem osam znakova

3 – Upotrijebite skraćene izraze za lozinke

4 – Redovito mijenjate lozinke

5 – Odjavite se s web-mjesta i uređaja nakon upotrebe

NE:

1 – Odaberite uobičajenu zaporku poput “123456”, “password”, “qwerty” ili “111111”

2 – Koristite jednu riječ. Hakeri mogu koristiti sustave koji se temelje na rječnicima kako bi pronašli lozinku

3 – Upotrijebite izvedbu svog imena, imena člana obitelji, kućnog imena, telefonskog broja, adrese ili rođendana

4 – Zapišite lozinku, dijelite je ili neka netko drugi koristi vaše podatke za prijavu

5 – Odgovorite “da” kada se traži da spremite svoju lozinku na računalni preglednik

Ucjenjivačke scam poruke elektroničke pošte u posljednje su vrijeme postale veoma unosne zlonamjernim korisnicima. Nova “sextortion” kampanja upravo podiže ljestvicu tako što žrtve navodi na preuzimanje zlonamjernog sadržaja Azorult putem kojega se kasnije preuzima zlonamjerni ransomware sadržaj GandCrab.

“Sextortion” podrazumijeva primanje poruke elektroničke pošte u kojoj stoji da je netko ostvario pristup vašem računalu te prikupljao snimke putem ugrađene kamere. Poruke često sadrže i lozinke koje su korisnici nekada koristili ili još uvijek koriste, a koje su pribavljene u nekom od slučajeva curenja podataka, a sve u svrhu stvaranja dojma legitimnosti.

U porukama stoji kako trebate uplatiti otkupninu ili će snimke završiti na adresama vaših kolega i prijatelja. Sigurnosni stručnjaci napominju kako je riječ o prijevari i kako u većini slučajeva nema straha od kompromitacije računala.

Novu kampanju spazili su stručnjaci iz tvrtke ProofPoint te su preuzeli sadržaj u kojem su se nalazile navodne snimke. Međutim, preuzeta arhiva sadržavala je zlonamjerni sadržaj.

U nastavku prenosimo primjer poruke korištene u kampanji:

Hello!

I have very bad news for you.
09/08/2018 – On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I’m talk you about sites for adults.

I want to say – you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea….
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I’m know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Ova nova taktika tjera korisnicima strah u kosti te su mnogi od njih spremni preuzeti arhivu samo kako bi se uvjerili u postojanje same snimke. Preuzimanje arhive uzrokuje preuzimanje zlonamjernog sadržaja, a problem što ste imali s nezgodnom porukom postaje problem cijelog računala.

Rat za “YouTube kanal s najviše pretplatnika” između korisnika T-Series i PewDiePie je upravo postao mnogo zanimljiviji nakon što je nepoznati haker ostvario pristup do 50 000 s internetom povezanih pisača te ispisao poruke u kojima traži primaoce da se pretplate na PewDiePieov YouTube kanal.

PewDiePie, čije je pravo ime Felix Kjellberg, je poznati švedski YouTuber koji se proslavio komentirajući video igre, a od 2013. godine drži titulu vlasnika kanala s najviše pretplatnika.

Međutim, kanal pod vlasništvom Bollywoodske izdavačke kuće T-Series posljednih mu mjeseci ozbiljno prijeti i trenutno oba kanala imaju oko 73 milijuna pretplatnika.

Kako ne bi izgubio titulu, PewDiePie je pokrenuo kampanju u sklopu koje je jedan od njegovih obožavatelja, na Twitteru poznat kao “TheHackerGiraffe”, odlučio stvar uzeti u svoje ruke.

TheHackerGiraffe je pretražio internet kako bi pronašao ranjive pisače s otvorenim portom 9100 koristeći Shodan te je putem njih slao sljedeće poruke:

“PewDiePie is in trouble, and he needs your help to defeat T-Series!”

“PewDiePie, the currently most subscribed to channel on YouTube, is at stake of losing his position as the number one position by an Indian company called T-Series that simply uploads videos of Bollywood trailers and campaigns.”

U nastavku teksta stoji kako bi primaoci poruke trebali otkazati pretplatu kanalu izdavačke kuće T-Series te se pretplatiti na PewDiePiev kanal.

Haker je koristio open-source rješenje kako bi ostvario pristup pisačima nazvano “Printer Exploitation Toolkit (PRET)”, a koje je osmišljeno kao pomoć prilikom otkrivanja ranjivosti pisača.

Iako ovakva kampanja djeluje kao zgodan trik kojim se može podići svijest o važnosti kibernetičke sigurnosti, sigurnosni stručnjaci nikako ne podržavaju sudjelovanje u sličnim kampanjama.

Trenutno je razlika između broja pretplatnika oba kanala veoma malena tako da dvoboj ova dva kanala još ni približno nije završen. Ostaje za vidjeti tko će pobijediti i je li potez s pisačima PewDiePieu donio odlučujuću prednost!

Odjel za Nacionalni CERT, Hrvatska akademska i istraživačka mreža – CARNET,  sudjelovao je u jedanaestoj po redu NATO vježbi zaštite NATO i nacionalnih računalnih sustava pod nazivom “Cyber Coalition 2018“. Vježba, između ostalog, obuhvaća obranu od malvera i hibridne izazove. Testirane su operativne i pravne procedure te suradnja s privatnim sektorom i akademskom zajednicom.

Trodnevnom vježbom, u kojoj je sudjelovalo 28 NATO članica, NATO partnerske zemlje te Europska unija rukovodilo se iz Estonije, dok je većina sudionika bila na svojim uobičajenim radnim mjestima.

Više informacija o vježbi dostupno je na:

OSRH – Međunarodna vježba „Cyber Coalition 2018“ – Dan uvaženih gostiju

NATO – Cyber Coalition helps prepare NATO for today’s threats

NATO – NATO Holds Cyber Coalition 2018

NATO – Cyber Coalition helps prepare NATO for today’s threats