Siber suçlar asla uyumaz ama editörler uyur. Dark Reading’in editörleri, bu kısa Dört Temmuz haftasını tamamlamak için, daha önce değinmediğimiz, ancak ele almamaktan çekineceğimiz tüm ilginç tehdit istihbaratını ve siber olay hikayelerini bir araya getiriyor.
Kritik bir Cisco güvenlik açığından, Hive fidye yazılımı yükseltmelerine ilişkin bir Microsoft uyarısından, QNAP sorunlarından ve bir çift siber saldırıdan bahsediyoruz.
Bu haftanın “kaçırmanız durumunda” (ICYMI) özetinde, aşağıdakiler hakkında daha fazla bilgi için okumaya devam edin:
- Kritik Cisco Güvenlik Açığı İşletim Sistemine Kök Erişime İzin Veriyor
- Hive Ransomware, Rust-y Yükseltmesi Aldı
- QNAP, “Checkmate” Fidye Yazılım Saldırılarına Karşı Uyarıyor
- “SHI-eesh”: BT Devi Koordineli Siber Saldırıda Çevrimdışı Kaldı
- California College, Fidye Yazılım Saldırısından Sonra Çevrimdışı Kalıyor
Kritik Cisco Güvenlik Açığı İşletim Sistemine Kök Erişime İzin Veriyor
Cisco, siber saldırganların uygulama kaynak kodunu veya yapılandırma ve kritik sistem dosyalarını manipüle etmesine izin verebilecek kritik bir kusur da dahil olmak üzere 10 güvenlik hatası için yamalar çıkardı.
Kritik sorun (CVE-2022-20812, CVSS önem puanı 9.0), Cisco Expressway Series yazılımını ve Cisco TelePresence VCS yazılımını (varsayılan durumdaysa) etkileyen bir yol geçiş güvenlik açığıdır.
“Cisco Expressway Series ve Cisco TelePresence VCS’nin küme veritabanı API’sindeki bir güvenlik açığı, uygulamada Yönetici okuma-yazma ayrıcalıklarına sahip kimliği doğrulanmış, uzak bir saldırganın, etkilenen bir cihazda mutlak yol geçiş saldırıları gerçekleştirmesine ve temeldeki işletim sistemindeki dosyaların üzerine yazmasına izin verebilir. bir kök kullanıcı olarak,” göre danışmaCisco’nun Mayıs ayındaki son hata açıklamasından bu yana en son.
Ağ devinin belirttiği gibi, güvenlik açığı, kullanıcı tarafından sağlanan komut argümanlarının yetersiz giriş doğrulaması nedeniyle ortaya çıkıyor.
“Bir saldırgan, sistemde yönetici okuma-yazma kullanıcısı olarak kimlik doğrulaması yaparak ve etkilenen komuta hazırlanmış girdiler göndererek bu güvenlik açığından yararlanabilir.”
Hive Ransomware, Rust-y Yükseltmesi Aldı
Hive olarak bilinen bir hizmet olarak fidye yazılımı (RaaS) teklifi, Rust programlama dilini kullanarak altyapısını elden geçirdi.
Güvenlik araştırmacılarının Hive’ın yeraltı ekonomisinde bulunan hızlı değişime uyum sağlamanın bir örneği olduğunu belirttiği Microsoft’tan gelen vızıltı budur.
Araştırmacılar, “Birkaç büyük güncelleme taşıyan en son varyantı ile Hive, sürekli değişen fidye yazılımı ekosistemine örnek olarak en hızlı gelişen fidye yazılımı ailelerinden biri olduğunu kanıtlıyor” dedi. bir gönderide bu hafta. “En dikkate değer değişiklikler, başka bir programlama diline tam kod geçişini içerir. [from GoLang to Rust] ve daha karmaşık bir şifreleme yönteminin kullanılması.”
Araştırmacılar, BlackCat fidye yazılımı tarafından da kullanılan bir dil olan Rust’ın kodlama kontrolünde, bellek kullanımında, tersine mühendisliğe karşı dirençte ve çeşitli kriptografik kitaplıklara erişimde ilerlemelere izin verdiğini söyledi.
Şifrelemeye gelince, danışma belgesine göre, “yeni Hive varyantı, onu daha kaçamak hale getirebilecek dize şifrelemesi kullanıyor”. “Aynı dizenin şifresini çözmek için kullanılan sabitler bazen örnekler arasında farklılık gösterir ve bu da onları algılama için güvenilmez bir temel haline getirir.”
QNAP, “Checkmate” Fidye Yazılım Saldırılarına Karşı Uyarıyor
Ağa bağlı depolama (NAS) satıcısı QNAP, cihazlarına karşı Checkmate fidye yazılımının yürütülmesiyle sonuçlanan etkinliği işaretliyor.
Siber saldırganlar, zayıf parolalarla hesapları kırmak için bir sözlük saldırısı kullanarak özellikle İnternet’e maruz kalan KOBİ dosya paylaşım hizmetlerini hedefliyor.
“Saldırgan bir aygıtta başarılı bir şekilde oturum açtığında, paylaşılan klasörlerdeki verileri şifreler ve her klasörde ‘!CHECKMATE_DECRYPTION_README’ dosya adıyla bir fidye notu bırakır” QNAP’ın danışmanlığı
bu hafta. “Davayı kapsamlı bir şekilde araştırıyoruz ve mümkün olan en kısa sürede daha fazla bilgi sağlayacağız” diye ekledi.
Tayvan merkezli cihaz üreticisinin müşterileri, Dark Reading’in bu hafta başlarında (potansiyel savunmalarla birlikte) kapsamlı bir uzman yuvarlak masa toplantısında bozduğu, devam eden, amansız fidye yazılımı faaliyetinden muzdaripti.
İşletmelerini korumak ve bir fidye yazılımı şah matından kaçınmak için kullanıcılar, KOBİ hizmetini internete maruz bırakmaktan kaçınmalı ve her durumda güçlü parolalar kullanmalıdır.
“SHI-eesh”: BT Devi Koordineli Siber Saldırıda Çevrimdışı Kaldı
BT tedarikçisi bigwig SHI International, bu hafta “koordineli ve profesyonel bir kötü amaçlı yazılım saldırısının” hedefi olduğunu söyledi.
Dünya çapında 5.000 çalışanı ve 15.000 müşterisi olan New Jersey merkezli satıcı, enfeksiyonu durdurmak ve SHI sistemleri ve operasyonları üzerindeki etkisini en aza indirmek için hızla hareket ettiğini söyledi. Bu, SHI’nin halka açık web siteleri ve e-postaları gibi bazı sistemlerin “saldırı araştırılırken ve bu sistemlerin bütünlüğü değerlendirilirken” çevrimdışı olduğu anlamına geliyordu.
SHI personeli e-postaya yeniden erişim sağladı, ancak Perşembe günü itibariyle ana web sitesi hala faaliyete geçmedi. Şirket bir web sitesi bildiriminde söyledi BT ekiplerinin diğer sistemleri tekrar çevrimiçi duruma getirmek için çalışmaya devam etmesi.
Siber saldırganların amacının ne olduğu belli değil, ancak bazı araştırmacılar bir tedarik zinciri uzlaşma girişiminin gerçek bir olasılık olduğunu belirtti.
“SHI, büyük bir kuruluş olmasının yanı sıra, birkaç Fortune 500 şirketi için önemli bir yazılım ve donanım sağlayıcısıdır ve üçüncü taraf tedarikçilerin ihlal edildiğine veya müşteri verilerinin sızdırıldığına dair bir kanıt olmasa da, bu kesinlikle birçok kişi için rahatlık için çok yakın. Dispersive Holdings CEO’su Rajiv Pimplaskar, e-posta yoluyla söyledi.
California College, Fidye Yazılım Saldırısından Sonra Çevrimdışı Kalıyor
BT bir saldırıya hazır olmadığında neler olduğuna dair en son örnek olarak, Kaliforniya, Palm Desert’ta bir topluluk koleji olan 12.500 öğrencilik Desert College of the Desert, araştırmacıların bir fidye yazılımı saldırısı olduğundan şüphelendiği acıdan sonra çevrimdışı kalıyor.
Siber saldırı, 4 Temmuz’da okulun çevrimiçi hizmetlerini ve kampüs telefon hatlarını çökertti. Perşembe günü geç saatlerde, okulun web sitesi hala geri döndü. Bir uyarı
öğrencilerin transkript talep etme, ders ekleme veya bırakma veya derslere kaydolma yeteneği de dahil olmak üzere “şu anda çoğu hizmette sistem genelinde bir kesinti yaşanıyor”.
Swimlane’de kıdemli güvenlik çözümleri mimarı Josh Rickard, “Eğitim kurumları son birkaç yıldır fidye yazılım grupları için başlıca hedef olmaya devam etti” diyor ve College of the Desert’ın kötü amaçlı yazılım saldırısına ikinci kez maruz kaldığına dikkat çekiyor. ; ilk olay Ağustos 2020’de gerçekleşti. “Gelecekte benzer saldırıları önlemek ve operasyonların sorunsuz bir şekilde devam etmesini sağlamak için College of the Desert gibi eğitim kurumlarının bilgi güvenliği ekiplerine, araçlarına, süreçlerine ve ürünlerine daha fazla kaynak ayırması gerekiyor. “
Rickard, olayın ciddi operasyonel aksama nedeniyle fidye yazılımı olduğundan şüpheleniyor, ancak College of the Desert’ın bunu doğrulamadığını ve yalnızca bir “bilgisayar ağı kesintisi” olduğunu kabul ettiği belirtilmelidir.