Biuletyn Harakiri

Biuletyn Harakiri luty/marzec 2021

Fake newsy i fałszywe witryny phishingowe

Na początek zerknijcie na poniższe nagranie poświęcone wykorzystywaniu fake newsów i portali społecznościowych do kampanii phishingowych:

Wyciek danych medycznych z portalu Lekarzonline.eu

W katalogu dostępnym publicznie znajdowało się 65 plików z wrażliwymi danymi pacjentów. Z zaświadczeń lekarskich i recept można było odczytać takie dane jak imię nazwisko, data urodzenia, PESEL oraz informacje o przyjmowanych lekach. W plikach znajdowały się też wyniki wywiadów lekarskich i badań. 

Obecność dokumentów z innych placówek medycznych świadczy o tym, że pliki były udostępniane przez pacjentów. 

Fałszywe aktualizacje Whatsappa – ofiarami posiadacze Iphonów

Nie jest łatwo włamać się do urządzeń Apple, jednak pomysłowość oszustów sprawia, że jest to możliwe. Jednym ze stosowanych scenariuszy ataków jest skłonienie użytkownika do zainstalowania klienta systemu MDM (Mobile Devices Management). Umożliwia on późniejsze przejęcie kontroli nad urządzeniem.

Przestępcy stworzyli stronę podszywającą się pod aktualizację komunikatora Whatsapp. W rzeczywistości strona hostowała plik konfiguracyjny systemu MDM umożliwiający m.in. pozyskiwanie danych użytkownika Iphona. 

Cyberatak na firmę dostarczającą sprzęt sieciowy dla francuskiego rządu 

W lutym wśród incydentóMowa o firmie Stormshield z branży cyberbezpieczeństwa. Przestępcy wykradli nie tylko dane klientów. Skradziona została również część kodów źródłowych firewalla, certyfikowanego do użycia w ważnych sieciach francuskiego rządu. 

Firma Stormshield wydała stosowne oświadczenie i zmieniła certyfikaty służące do aktualizacji.

Emulator Androida NoxPlayer zainfekowany złośliwym oprogramowaniem

Emulatory systemów mobilnych umożliwiają użytkownikom uruchamianie na komputerach gier dostępnych na smartfony. Jednym z takich narzędzi jest NoxPlayer, z którego korzysta 150 milionów użytkowników. 

Niedawno okazało się, że serwer aktualizacji programu NoxPlayer został zainfekowany złośliwym oprogramowaniem. W wyniku tej infekcji, użytkownicy przekonani, że aktualizują emulator, pobierali złośliwe programy. 

Jak wynika z raportów celem ataku była tylko określona grupa graczy.

Wyciek danych z Sanepidu

Winę, jak to się często zdarza, ponosi czynnik ludzki. Wysyłając wiadomość e-mail do wielu odbiorców zapomniano o użyciu BCC/UDW. W efekcie wszyscy adresaci wiadomości zobaczyli adresy e-mail innych odbiorców. 

Drobne błędy personelu mogą doprowadzić do problemów prawnych i wizerunkowych. By ustrzec się przed tego rodzaju oraz wieloma innymi problemami warto zadbać o odpowiednią edukację personelu. Specjalnie dla tego celu powstał nasz kurs online dla pracowników – Najsłabsze Ogniwo.

Obce pliki w domenach Sanepidu

Zostając jeszcze przy Sanepidzie, przez kilka miesięcy na rządowej domenie “pis.gov.pl” hostowane były obce pliki. Sprawca najprawdopodobniej znalazł błąd w konfiguracji CMS-a lub formularz przesyłania plików. 

Celem tego procederu było najprawdopodobniej pozycjonowanie produktów w wyszukiwarce przy użyciu domeny rządowej. 

Atak na CD Projekt

Firma CD Projekt padła ofiarą ataku ransomware. Dane na niektórych serwerach spółki zostały zaszyfrowane. Na szczęście CD Projekt wykonuje regularne kopie bezpieczeństwa, dzięki czemu dane udało się odtworzyć.

Najprawdopodobniej zaszyfrowane nie zostały dane klientów, lecz kody źródłowe gier oraz dane finansowe, księgowe i kadrowe.

Spółka CD Projekt okazała się być dobrze zabezpieczona przed samą utratą danych. Przestępcy próbowali natomiast szantażować ją informacją, iż wykradli i upublicznią poufne dane, w tym kody źródłowe gier. Reakcja na zaistniały kryzys była godna pochwały – spółka zdecydowała się nie negocjować z przestępcami.

Jakiś czas na portalu aukcyjnym wystawiono rzekome “pełne kody źródłowe gier Thronebreaker, Witcher 3, Witcher 3 RTX i Cyberpunk 2077”. Aukcje zostały jednak wycofane i nie ma pewności, czy sprzedawca faktycznie był w posiadaniu plików. 

Phishing mailingu Home.pl

Klienci rejestratora domen Home.pl otrzymali wiadomości e-mail z adresu podszywającego się pod obsługę klienta tego usługodawcy. Wiadomość informowała o konieczności opłacenia faktury. Po kliknięciu w przycisk “logowania” ofiara trafiała na domenę z rozszerzeniem .ru, której celem było wyłudzenie loginu i hasła.

Haker zatruł wodę przez Internet

Do bezprecedensowego zdarzenia doszło na Florydzie. Intruz włamał się do systemu sterowania wodociągami i stukrotnie zwiększył stężenie wodorotlenku sodu (dokładnie ze 100ppm do 11100ppm). 

Wodorotlenek sodu stosowany jest do sterowania kwasowością wody. Tak wysokie stężenie mogłoby doprowadzić do poważnych oparzeń. Na szczęście pracownik wodociągów szybko zauważył zmianę i przywrócił prawidłowy poziom. 

Jak włamywacz uzyskał zdalny dostęp do panelu kontrolnego? Wystarczyło, że włamał się do używanego przez wodociągi programu do zdalnego sterowania pulpitem – TeamViewer. 

Atak ransomware na Urząd Marszałkowski Województwa Małopolskiego

Na stronie urzędu pojawiła się informacja, że Urząd Marszałkowski Województwa Małopolskiego 

“…informuje o naruszeniu ochrony danych osobowych związanym z incydentem, który został stwierdzony w dniu 8 lutego 2021 r. polegającym na ataku złośliwego oprogramowania szyfrującego pliki. Zdarzenie to doprowadziło do utraty dostępności danych osobowych (m.in. klientów UMWM), za przywrócenie której atakujący zażądał zapłaty okupu, niemniej żądanie to zostało stanowczo odrzucone.”

Urzędy państwowe coraz częściej padają ofiarą cyberataków.

Złośliwe oprogramowanie szerzy się na Discord

Na platformie społecznościowej Discord coraz częściej pojawia się złośliwe oprogramowanie. Pliki podszywają się pod popularne oprogramowanie i gry, często używają tych samych ikon. Celem jest skłonienie użytkowników do pobrania złośliwych programów służących do kradzieży danych oraz szyfrowania plików.

Ze względu na specyfikę platformy Discord, przestępca może wgrać dowolne pliki nawet nie posiadając tam konta.

Phishing zamówień – celem polskie firmy

Przedstawiciele wielu polskich firm zaczęli dostawać fałszywe “zamówienia”. Przestępcy wysyłają z różnych domen wiadomości, w których proszą o podanie danych umożliwiających opłacenie zamówienia. W załącznikach podszywających się pod dokumenty kryje się złośliwe oprogramowanie. 

Wyciekły dane z częstochowskiego MOPSu

W częstochowskim Miejskim Ośrodku Pomocy Społecznej doszło do wycieku danych pracowników. Skradzione dane zostały użyte przez przestępców do zagłosowania w budżecie obywatelskim.

O incydencie bezpieczeństwa natychmiast poinformowano Prokuraturę oraz Urząd Ochrony Danych Osobowych.

***

Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa.

Poprzednie wydania biuletynu znajdziesz tutaj.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.