Ataki Hakerskie

HAKERZY PARALIŻUJĄ SZCZEPIENIA

Cyberprzestępcy przeprowadzili atak na centrum informatyczne odpowiedzialne za rejestrację i przyznawanie terminów. Sparaliżowali akcję szczepień w regionie Lacjum oraz w stolicy Włoch

To największy atak w historii na systemy ochrony zdrowie we Włoszech – informuje CNN. Rozpoczął się w niedzielę 1 sierpnia, kiedy to hakerzy zaatakowali i wyłączyli systemy informatyczne Centrum Przetwarzania Danych, który zarządza terminami szczepień COVID-19 w regionie Lacjum. Wszystkie systemy zostały dezaktywowane, w tym portal zdrowotny regionu oraz system rezerwacji szczepień. Strona internetowa Lacjum była niedostępna przez kilka godzin. Hakerom udało się dostać do systemu i przejąć nad nim kontrolę

„Prawie wszystkie pliki Centrum Przetwarzania Danych i Rezerwacji Szczepionek zostały zablokowane” – powiedział prezydent regionu Lacjum Nicola Zingaretti. „System jest wyłączony, nie można go ponownie włączyć by uniknąć dalszego rozprzestrzeniania się wirusa” – wyjaśnił. Po dziennym ataku w nocy z 1 na 2 sierpnia miała miejsce kolejna próba ataku na serwery która się jednak nie powiodła

Nicola Zingaretti poinformował że „dane regionalne dotyczące zdrowia są bezpieczne, podobnie jak dane finansowe”, ale sytuacja nadal jest poważna. Została zawieszona internetowa rezerwacja terminów szczepień w regionie. Władze lokalne apelują do mieszkańców Lacjum o cierpliwość. Kampania szczepień będzie kontynuowana mimo ataku hakerów. W niedzielę szczepienia były wypisywane ręcznie co spowodowało opóźnienia i kolejki, ale wszystkie zaplanowane szczepienia odbyły się bez zakłóceń

Atak hakerów na systemy służby zdrowia w Lacjum miał miejsce w momencie kiedy kampania na rzecz szczepień zaczęła przynosić w tym regionie duże sukcesy. Aż 70 proc. dorosłych mieszkańców regionu stawiło się na szczepienia. W całych Włoszech odsetek zaszczepionych osób powyżej 12 roku życia wynosi 61 proc.
Nie wiadomo kto stoi za atakiem ani jakie były motywy hakerów. Trwa dochodzenie. Włoska prasa informuje, powołując się na anonimowe źródła, że „atak przyszedł z zagranicy” /za rp.pl/ /4.8.2021/

KACAPY ZAATAKUJĄ IGRZYSKA

Służby bezpieczeństwa i eksperci ostrzegają że Igrzyska Olimpijskie w Tokio mogą być celem działań rosyjskich hakerów – pisze „Washington Post”. To m.in. rewanż za sankcje nałożone na Rosję przez MKOl

Według amerykańskiego dziennika przed piątkowym rozpoczęciem igrzysk ostrzeżenia o zagrożeniu ze strony hakerów na usługach rosyjskich służb wydały m.in. agencje bezpieczeństwa USA i Wlk. Brytanii
FBI ostrzegło że cyberprzestępcy mogą użyć m.in. ataków ransomware, włamań, czy tzw. phishingu, by „zakłócać transmisję wydarzeń, wykradać /…/ i publikować wrażliwe dane lub zakłócać infrastrukturę cyfrową wspomagającą olimpiadę”

Dyrektor FireEye, jednej z najbardziej znanych firm zajmujących się cyberbezpieczeństwem, John Hultqvist stwierdził że ryzyko jest znaczące. – Oni /Rosjanie/ robili to w przeszłości. Okoliczności są takie same jeżeli chodzi o zakaz występów dla rosyjskich sportowców /pod rosyjską flagą/ i wiemy że się na to przygotowywali – powiedział ekspert w wywiadzie dla CBS

„Washington Post” przypomina że celem rosyjskich hakerów były dwie poprzednie olimpiady, letnia w Rio de Janeiro i zimowa w Pjongczang. Według ekspertów ataki te wymierzone m.in. w ceremonię otwarcia igrzysk w Korei Płd. oraz organizacje antydopingowe były „szczególnie zuchwałe”, choć rosyjscy hakerzy próbowali upozorować swój atak jako dzieło Chin lub Korei Płn. Ostatecznie nie udało im się to a amerykańska prokuratura postawiła zarzuty sześciu Rosjanom
W czwartek zajmująca się cyberbezpieczeństwem japońska firma MBSD wykryła próbę ataku skierowaną przeciw komputerom w Japonii. Złośliwe oprogramowanie, zdolne do wymazania danych na zainfekowanych komputerach, miało być ukryte w rozsyłanym e-mailem pliku PDF o zagrożeniach cyberatakami dla igrzysk w Tokio /za PAP/sport.tvp.pl/ /23.7.2021/

CHINY HAKUJĄ MICROSOFT

Administracja prezydenta Bidena oskarżyła Państwo Środka o zhakowanie na początku roku oprogramowania serwera poczty e-mail Microsoft Exchange

USA i inne kraje ujawniły również szeroki zakres innych cyberzagrożeń ze strony Pekinu, w tym ataki ransomware hakerów współpracujących z rządem na firmy w zamian za miliony dolarów okupu. Według wysokiego urzędnika administracji chińskie Ministerstwo Bezpieczeństwa Państwowego wykorzystuje hakerów kontraktowych którzy angażują się w programy cyberwymuszeń i kradzieży dla zysku. Poinformował on o śledztwie pod warunkiem zachowania anonimowości

Departament Sprawiedliwości ogłosił zarzuty przeciw czterem chińskim obywatelom którzy według prokuratorów współpracowali z Ministerstwem Bezpieczeństwa Państwowego w kampanii hakerskiej, której celem były dziesiątki systemów komputerowych, w tym firmy, uniwersytety i instytucje rządowe

Zwraca to uwagę na trwające cyberzagrożenie ze str. chińskich hakerów rządowych, mimo że administracja USA ostatnio była pochłonięta próbami powstrzymania ataków ze strony rosyjskich hakerów, których celem był m.in rurociąg paliwowy. Mimo że wskazywaniu palcem nie towarzyszyły żadne sankcje wobec Pekinu wysoki rangą urzędnik administracji, który ujawnił działania dziennikarzom, powiedział że USA konfrontowały się z wysokimi chińskimi urzędnikami i że Biały Dom uważa że wielonarodowe publiczne napiętnowanie takiej działalności to wysyłanie ważnego sygnału

Unia Europejska i Wlk. Brytania również wskazały na Chiny. UE stwierdziła że złośliwe działania cybernetyczne o „znaczących skutkach”, skierowane przeciw instytucjom rządowym, organizacjom politycznym i kluczowym branżom w 27 państwach członkowskich bloku, mogą być powiązane z chińskimi grupami hakerskimi. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego poinformowało że grupy są ukierunkowane na przemysł morski i wykonawców obrony morskiej w Stanach Zjednoczonych i Europie

W oświadczeniu szef polityki zagranicznej UE Josep Borrell powiedział że hakowanie było „przeprowadzane z terytorium Chin w celu kradzieży własności intelektualnej i szpiegostwa”. – Cyberatak na Microsoft Exchange dokonany przez chińskie grupy wspierane przez państwo był lekkomyślnym, ale znanym wzorcem zachowania – powiedział minister spraw zagranicznych Wlk. Brytanii Dominic Raab
Większość najbardziej szkodliwych i głośnych niedawnych ataków ransomware dotyczyła rosyjskich gangów przestępczych
Włamanie do Microsoft Exchange zostało pierwszy raz zidentyfikowane w styczniu i zostało szybko przypisane chińskim cyberszpiegom przez firmy z sektora prywatnego. Administracja połączyła wskazanie Chińczyków ze wskazówkami dla firm na temat taktyk które stosują /za rp.pl/ /19.7.2021/

CHIŃCZYCY ATAKUJĄ NORWEGÓW

Władze Norwegii poinformowały że marcowy cyberatak na ich system poczty elektronicznej parlamentu został przeprowadzony z Chin. Wezwano Pekin do podjęcia kroków w celu zapobiegania takim działaniom

„To poważny incydent który uderzył w naszą najważniejszą instytucję demokratyczną” – powiedziała minister spraw zagranicznych Ine Eriksen Soereide. – Dochodzenie przeprowadzone przez służby wywiadowcze wykazało że atak pochodzi z Chin, a kilku sojuszników Norwegii, Unia Europejska i Microsoft, również potwierdziły ten wniosek – dodała
Chińska ambasada w Norwegii nie skomentowała tych oskarżeń. Chińscy urzędnicy informowali wcześniej że ich kraj jest również ofiarą hakerów i sprzeciwia się wszelkim formom cyberataków

Hakerzy w przeprowadzonym w marcu cyberataku wykorzystali lukę w zabezpieczeniach oprogramowania Exchange Microsoftu. Również Stany Zjednoczone i sojusznicy Waszyngtonu oskarżyli chińskie Ministerstwo Bezpieczeństwa Państwowego o globalne działanie o charakterze cyberprzestępczym
Norweski minister spraw zagranicznych poinformował że chiński ambasador w Norwegii został wezwany do bezpośredniego omówienia tej kwestii. Rząd oczekuje że Chiny potraktują tę sprawę niezwykle poważnie. – Chińskie władze muszą zapobiegać takim atakom – powiedziała /za Reuters/www.rp.pl/ /19.7.2021/

CZY REVIL ZOSTAŁ ROZBITY

Czy REvil, niezwykle aktywny gang ransomware /wymuszający okupy/, został wreszcie rozbity… Internetowa strona cyberprzestępców znajdująca się w tzw. Dark Webie jest nieaktywna

Eksperci ds. cyberbezpieczeństwa na forach internetowych donoszą że serwisy REvil, na których dotąd chwalili się kolejnymi atakami oraz sprzedawali i publikowali skradzione dane, jest offline. Jak poinformował Lawrence Abrams, specjalista z BleepingComputer, wyłączona jest także strona do płatności okupu. Co więcej, anonimowa grupa badaczy vx-underground pisze że „Unknown” /pod takim pseudonimem w sieci aktywny był jeden z członków gangu REvil/ jest nieobecny na forach hakerskich od 8 lipca

Na razie nie wiadomo co to oznacza ale cześć fachowców łączy to nietypowe zdarzenie z faktem że prezydent USA zwrócił się kilka dni temu do Władimira Putina o rozwiązanie kwestii grup ransomware działających z terenu Rosji
REvil stoi za co najmniej kilkoma potężnymi atakami hakerskimi w br. Ofiarami pośrednio paść mogło tysiące firm. Ostatnie uderzenie przeprowadził w zeszłym tygodniu; włamał się do Kaseya, firmy informatycznej z siedzibą w Miami, i wykorzystał swój dostęp do ataku na komputery niektórych klientów tego przedsiębiorstwa. To uruchomiło reakcję łańcuchową, a ofiarami padły organizacje na całym świecie /za rp.pl/ /13.7.2021/

ATAK NA 200 FIRM

Powiązana z Rosją grupa hakerów włamała się do systemów ok. 200 firm. Atak typu ransomware, jaki przypuścili na dużą skalę hakerzy, potwierdziła amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury /CISA/, zapowiadając zbadanie sprawy

Ataki typu ransomware /zbitka słów ransom „okup” i software „oprogramowanie”/ blokują dostęp do systemu komputerowego lub uniemożliwiają odczyt zapisanych w nim danych często poprzez techniki szyfrujące. Sprawcy takich ataków żądają zazwyczaj okupu za przywrócenie stanu poprzedniego
Według firmy Huntress Labs Inc. specjalizującej się w bezpieczeństwie cybernetycznym hakerzy uderzyli w dostawców usług zarządzanych /MSP/, którzy często zapewniają wsparcie w zakresie informatyki /IT/ dla małych i średnich firm. Przez ataki na dostawcę usług zarządzanych włamywacze mogą następnie uzyskać dostęp i infiltrować sieci komputerowe ich klientów

„Z tego co wiemy teraz jest osiem partnerów MSP którzy zostali narażeni. Ich klienci pochodzą z co najmniej 200 firm których dane w wyniku włamania zostały zaszyfrowane i stoją one w obliczu żądania zapłaty okupu” – mówił cytowany przez Bloomberga ekspert John Hammond z Huntress Labs, nie identyfikując wprost dostawców usług zarządzanych
Spodziewa się że liczba ofiar „znacznie wzrośnie” w miarę odkrywania kolejnych włamań

Andrew Howard, dyr. generalny szwajcarskiej firmy Kudelski Security, uznał incydent za jeden z ataków o największym zasięgu przeprowadzonych przez podmioty niebędące państwami narodowymi. Ocenił że został zaplanowany wyłącznie w celu wyłudzenia pieniędzy
Bloomberg przytacza wypowiedź Jakea Williamsa, gł. specj. ds. technologii w BreachQuest. Jest on zaznajomiony z wieloma atakami typu ransomware. Przypomniał on że hakerzy żądali w takich przypadkach okupu co najmniej 45 tys. dol. USA. Jednak w przeszłości grupy ransomware wymuszały jedną dużą płatność od dostawcy usług zarządzanych, a nie od wszystkich jego klientów. REvil szyfruje natomiast dane setek klientów MSP i żąda oddzielnie zapłaty od każdego z nich

„Nie ma możliwości by mieli odpowiednią przepustowość dla obsłużenia każdego indywidualnego przypadku w tym samym czasie. /…/ Jeżeli nadal będą postępować w ten sposób rozwiązanie problemu zajmie tygodnie” – przewiduje Williams. Wg. Bloomberga naukowcy zajmujący się bezpieczeństwem cybernetycznym wskazali na firmę Kaseya, która tworzy oprogramowanie wykorzystywane przez dostawców usług zarządzanych, jako główny cel ataku. Kaseya doradziła swoim klientom wyłączenie oprogramowania Virtual System Administrator z powodu potencjalnego zagrożenia

„Jesteśmy w trakcie badania przyczyny incydentu ale zalecamy natychmiastowe wyłączenie serwera VSA do czasu otrzymania od nas dalszych informacji” – przekazały władze spółki Kaseya. Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury /CISA/ potwierdziła że doszło do włamań. „CISA podejmuje działania by zrozumieć i zająć się niedawnym atakiem typu ransomware na firmę Kaseya VSA i wielu dostawców usług zarządzanych /MSP/, którzy wykorzystują oprogramowanie VSA” – oświadczyła agencja

W opinii Allana Liska, starszego analityka zagrożeń w firmie Recorded Future Inc. zajmującej się bezpieczeństwem cybernetycznym, na którego powołuje się Bloomberg, to już trzeci raz kiedy REvil obrał za cel firmę Kaseya
REvil stał również za majowym atakiem ransomware na dostawcę mięsa JBS SA. Firma poinformowała że ostatecznie zapłaciła 11 mln dol. okupu /za PAP/interia.pl/ /3.7.2021/