Chybná aktualizácia CrowdStrike, tínedžer zo Spojeného kráľovstva zatknutý za účasť na Scattered Spider: Súhrn vašich správ o kybernetickej bezpečnosti
Aktéri hrozieb využívajú veľké IT poruchy spôsobené chybnou aktualizáciou CrowdStrike
Spoločnosti na celom svete zaznamenali výrazné prerušenie prevádzky svojich pracovných staníc Windows v dôsledku chybnej aktualizácie z kyber ochrana spoločnosť CrowdStrike. Generálny riaditeľ George Kurtz uviedol, že zatiaľ čo hostitelia Mac a Linux neboli ovplyvnení, chyba v jednej aktualizácii obsahu spôsobila modré obrazovky smrti (BSoD) na hostiteľoch Windows. Oprava bola nasadená a zákazníkom sa odporúča, aby si skontrolovali aktualizácie na portáli podpory.
Tento problém ešte znásobuje skutočnosť, že aktéri hrozieb využívajú situáciu distribúciou Remcos RAT zákazníkom CrowdStrike v Latinskej Amerike. Používajú škodlivý ZIP archív „crowdstrike-hotfix.zip“, ktorý obsahuje zavádzač, ktorý spúšťa užitočné zaťaženie Remcos RAT. Kampaň obsahuje pokyny v španielskom jazyku zacielené na zákazníkov so sídlom v Latinskej Amerike.
Prerušenia spôsobené rutinnou aktualizáciou z 19. júla ovplyvnili senzor Falcon pre Windows verzie 7.11 a vyššie. Spoločnosť Microsoft odhalila, že celosvetovo bolo ovplyvnených 8.5 milióna zariadení so systémom Windows. Incident podčiarkuje riziká spoliehania sa na monokultúrne dodávateľské reťazce a zdôrazňuje potrebu robustných mechanizmov obnovy po katastrofe.
Britský tínedžer zatknutý za účasť v organizácii Scattered Spider Cybercrime Syndicate
Orgány činné v trestnom konaní v Spojenom kráľovstve zatkli 17-ročného chlapca z Walsall, podozrivého z toho, že je členom notoricky známej skupiny Scattered Spider. počítačovou kriminalitou syndikát. Podľa polície West Midlands došlo k zatknutiu v súvislosti s globálnymi počítačovými zločinmi zameranými na veľké organizácie s ransomvérom a neoprávneným prístupom do počítačových sietí. Toto zatknutie je súčasťou širšieho vyšetrovania Národnej kriminálnej agentúry Spojeného kráľovstva (NCA) a amerického Federálneho úradu pre vyšetrovanie (FBI), ktoré predtým viedlo k zadržaniu 22-ročného člena syndikátu v Španielsku.
Scattered Spider, odnož skupiny The Com, sa stala počiatočným sprostredkovateľom prístupu a pridruženou spoločnosťou ransomware, ktorá poskytuje rodiny ransomvéru, ako sú BlackCat, Qilin a RansomHub. Spoločnosť Mandiant, ktorú vlastní spoločnosť Google, hlási posun skupiny k nešifrovaným vydieračským útokom zameraným na údaje z aplikácií typu softvér ako služba (SaaS).
V súvisiacich správach ministerstvo financií USA uvalilo sankcie na Juliju Vladimirovnu Pankratovovú a Denisa Olegoviča Degtyarenka, členov skupiny CyberArmyofRussia_Reborn (CARR). Táto hacktivistická skupina so sídlom v Rusku, spojená so skupinou Sandworm (APT44), bola zapojená do počítačové útoky o kritickej infraštruktúre v USA a Európe. Spoločnosť CARR manipulovala so zariadeniami priemyselného riadiaceho systému v rôznych zariadeniach vrátane zásobovania vodou, vodných elektrární, odpadových vôd a energetických závodov.
GhostEmperor sa znovu objavuje s pokročilými schopnosťami a technikami úniku
Skrytá čínska hackerská skupina GhostEmperor sa po dvojročnej prestávke opäť objavila a predviedla ešte pokročilejšie schopnosti a techniky úniku. GhostEmperor, ktorý pôvodne objavila spoločnosť Kaspersky Lab v roku 2021, bol neslávne známy tým, že sa zameriaval na telekomunikačné a vládne subjekty v juhovýchodnej Ázii prostredníctvom sofistikovaných útokov na dodávateľský reťazec.
Nedávne aktivity GhostEmperor boli odhalené kybernetickou bezpečnostnou firmou Sygnia, ktorá tento týždeň vydala podrobnú správu. Vyšetrovanie spoločnosti Sygnia týkajúce sa kompromitovanej siete neidentifikovaného klienta odhalilo, že za narušením bol GhostEmperor. Útočníci použili kompromitovanú sieť na infiltráciu systémov inej obete, čo znamená prvú potvrdenú aktivitu od GhostEmperor od roku 2021.
Vyšetrovanie spoločnosti Sygnia zistilo, že GhostEmperor aktualizoval svoj notoricky známy rootkit Demodex, nástroj na úrovni jadra, ktorý poskytuje najvyššiu úroveň prístupu k operačnému systému obete a zároveň obchádza softvér na detekciu a odozvu koncových bodov (EDR).
Schopnosť GhostEmperor vyhýbať sa detekcii a využívať komplexné útočné stratégie viedla výskumníkov k tomu, aby ich zaradili do kategórie štátom sponzorovaných aktérov, vzhľadom na zdroje a odborné znalosti potrebné na vývoj a nasadenie takýchto nástrojov.
