Атаките включват въоръжаване със списък с известни уязвимости в сигурността на 19 различни плъгина и теми, които вероятно са инсталирани на сайта WordPress, като той се използва за разгръщане на implant, който може да се насочи към конкретен уебсайт, за да се разшири допълнително мрежата.

Цялата новина можете да прочетете на международното издание DevStyleR.IO – WordPress Sites are Threatened by an Unknown Strain of Malware 

“Украинци!…Всичката информация за Вас стана публична, страхувайте се и очаквайте по-лошото.”

В съобщение до “The Guardian”, Олег Николенко, говорител на външното министерство, съобщи:

“Като резултат от огромната кибератака, уебсайтът на Министерството на вътрешните работи и други правителствени агенции временно не работи. Нашите специалисти вече започнаха да възстановяват работата на IT системите, а кибер полицията започна разследване.”

Генералният секретар на НАТО Йенс Столтенберг и висшият дипломат на ЕС Жозеп Борел осъдиха атаките. Политическият комитет и комитетът по сигурността и кибернетичните звена на ЕС планират да организират среща, чиято цел е да решат как да реагират и да подкрепят Киев. Борел заяви:

“Ще мобилизираме всичките си ресурси, за да помогнем на Украйна да се справи с този проблем. За съжаление, ние знаехме, че това може да се случи.”

Според него е трудно да се каже кой е виновникът и той не възнамерява да обвинява никого, защото в този момент няма доказателства. Столтенберг каза, че ще бъде подписано споразумение между Украйна и НАТО, за да може Киев да получи достъп до платформата на НАТО за споделяне на информация, касаеща зловреден софтуер. Ан Линде, външният министър на Швейцария, коментира:

“Трябва да бъдем много твърди в посланията си към Русия, че ако има атаки срещу Украйна, ще бъдем много строги и много силни и стабилни в отговора си.”

Посолството на САЩ в Москва не даде отговор и не коментира ситуацията веднага.

Всъщност Kronos Workforce Central също е поразена от атаката. Компанията предлага инструменти за индустрии с цел да им помогнат да управляват работната сила на облачната платформа. Той съдържа още набор от решения за управление на работно време и присъствие, управление на отсъствията, планиране и други.

Kronos съветва клиентите си да търсят алтернатива за управление на работната сила, докато той се ориентира в тази ситуация и намира решение. Някои от високопрофилните клиенти, които използват системите на Kronos, са Tesla, Puma, YMCA и други.

Компанията разбра за проблема в събота вечерта, след което обяви, че може да отнеме няколко седмици, докато проблемът бъде отстранен. Те не дадоха повече информация кога ще бъде решена ситуацията.

Според публикацията на вицепрезидента в UKG, Боб Хюз, има още услуги, засегнати от атаката, като Healthcare Extensions, UKG TeleStaff и Banking Scheduling Solution.

За да предостави изчерпателна информация за сигурността, както и насоки за отстраняване на интерфейсите за програмиране на приложения възможно най-рано и ефективно, в употреба влиза  мощният двигател за динамичен анализ (DAST) на Veracode.

„Експлозията на API означава, че разработката на приложения става все по-фрагментирана и децентрализирана, а това означава, че повърхността на атаката нараства експоненциално. Като такова, сканирането на API се превърна в най-търсената функция от нашите клиенти, търсейки решение, което спестява време, освобождава ресурси и осигурява спокойствие.“, каза Брайън Рош, главен продуктов директор във Veracode.

Междувременно API сканирането на Veracode направи по-ефективен процеса на идентифициране, приоритизиране и отстраняване на уязвимости за международно известен специалист по контрол на вредителите.

Рош добави, че в свят, в който всяка връзка трябва да започва с нулево доверие, редовното сканиране на API трябва да бъде крайъгълен камък на всяка стабилна стратегия за сигурност на софтуера.

Късно вечерта на 3 ноември, неоторизирана трета страна получи достъп до ограничено количество лична информация за част от клиентите на Robinhood. Атаката беше овладяна, а разкрити номера на социално осигуряване, номера на банкови сметки или дебитни карти не бяха открити. Компанията смята, че в резултат на инцидента няма наличие на финансови загуби за клиенти.

„Като компания, чийто главен принцип е “безопасността на първо място”, ние дължим на нашите клиенти да бъдем прозрачни и да действаме почтено. След щателен преглед, най-правилното действие е цялата общност на Robinhood да бъде уведомена за случилото се.“, каза главният служител по сигурността на Robinhood, Кейлъб Сима.

След като фирмата овладя атаката, неупълномощеното лице е поискало откуп. Правоприлагащите органи продължават да разследват инцидента с помощта на Mandiant, водеща външна фирма за сигурност.

Вече е ясно, че атаката идва от групата DarkSide – факт, за който преди седмица се спекулираше. Хакерите са се извинили за “социалните последици” от атаката, която включва недостиг на гориво на много от пазарите, които обслужва тръбопроводът с дължина 5500 мили.

Твърди се, че солидният откуп е платен в труднопроследима криптовалута, в рамките на часове след атаката, подчертавайки огромния натиск, с който се сблъска Colonial. По информация на Bloomberg, американските власти са наясто, че компанията е извършила плащането, след което хакерите са предоставили инструмент за дешифриране, за да се възстанови деактивираната компютърна мрежа.

От ФБР не препоръчват плащането на откуп на хакери, защото това не дава гаранции, че хакерите ще изпълнят обещанията си за отключване на файлове. Освен това, по този начин се стимулират и други потенциални кибер престъпления.

Все пак, много компании избират опцията да заплатят откупа, защото се намират в затруднено положение и е възможно в противен случай да не могат да възстановят данните си. Освен това, сред тях има и такива, с киберзастрахователни полици и реално разходите биха се покрили.

Почти половината от жертвите на ransomware във Великобритания за 2020 г., 46%, са платили сумата, изисквана от хакерите, но въпреки това, 11% от тях така и не достигат отново до своята информация. Дори и след плащане, едва 18% от 1006 жертви на острова успяват да възобновят своите криптирани или блокирани данни, вследствие на атаки.

На международно ниво картината е дори по-лоша и повече от половината жертви на атаки плащат – 56%. Една пета от тях обаче, така и не получават обратен достъп до своята информация. По данни на същото проучване на Kaspersky, в което от компанията се допитват до 15 000 потребители, 29% от тези, които стават жертва на ransomware атака, успяват да възобновят абсолютно всичко.

Половината губят поне част от файловете, 32% губят значителна част от тях, а 18% се разминават с минимални щети. 13% пък губят почти всичко, до което хакерите са се добрали.

Марина Титова, начело на Consumer Product Marketing в Kaspersky, споделя, че “предаването на изискваната сума от хакерите по никакъв начин не гарантира връщането на данните и дори окуражава кибер престъпниците да продължат със тази си практика“.

От Kaspersky съветват потребителите регулярно да правят back-up на ценната си информация, както и да използват софтуер за безопасност, така че да намалят потенциалните шансове за атака. Потребителите също така редовно получават и друг важен съвет – да не се отварят никакви линкове в spam имейлите, както и да не се посещават непознати сайтове.

Както знаем, че COVID-19 пандемията доведе и до значително покачване на кибер престъпленията. За 2020 г. ransomware атаките са се увеличили със 150%.

В анализа на Recorded Future се споделя също, че 10 отделни организации от индийския енергиен сектор, включително 4 от 5-те Regional Load Despatch Centres (RLDC), които балансират предаването на електроенергия, са определени като цели в съгласувана кампания срещу критичната инфраструктура на Индия. Други идентифицирани цели включват 2 индийски морски пристанища.

Използвайки комбинация от проактивно откриване на вражеска инфраструктура, анализ на домейни и Recorded Future Network Traffic Analysis, е установено, че подмножество от тези сървъри AXIOMATICASYMPTOTE, споделят някои общи инфраструктурни тактики, техники и процедури (TTP) с няколко китайски държавно финансирани групи, включително APT41 и Tonto Team.

Въпреки някои припокривания с предишни групи, понастоящем Insikt Group не вярва, че има достатъчно доказателства, които да приписват категорично дейността в тази конкретна кампания на съществуваща публична група. Поради тази причина продължават да я проследяват като тясно свързана, но отделна група – RedEcho.

Отношенията между Индия и Китай се влошиха значително след граничните сблъсъци през май 2020 г., които доведоха до първите смъртни случаи от 45 години между двете най-населени държави в света. В резултат на това на 12 януари 2021 г. министърът на външните работи на Индия Субраманям Джайшанкар обяви, че доверието между Индия и Китай е „дълбоко нарушено“. Докато дипломацията и икономическите фактори са били ефективни за предотвратяване на реална война, кибер операциите продължават да предоставят на страните способност да провеждат шпионаж или предварително позициониране в мрежи за потенциално разрушителни причини, опоменават в анализа си Recorded Future.

Microsoft заяви, че хакерите не са направили промени в хранилищата до които са имали достъп, тъй като компрометираните акаунти са имали разрешение само да преглеждат кода, но не и да го променят. Бе подчертано също, че участниците в атаката не могат да използват клиентски данни, както и да използват продукти на Microsoft, така че да атакуват и потребителите.

Преди това, на 17 декември, Microsoft призна че е използвала SolarWinds Orion, платформа за мониторинг на ИТ вътрешна си мрежа.

Дни по-рано пък се разбра, че хакерите са атакували производителя на софтуер за управление на мрежи, системи и бизнеси SolarWinds, като са вмъкнали зловреден софтуер в актуализации за платформата Orion. След това той е използван, за да се утвърди първоначално във вътрешните мрежи на частни компании и държавни агенции по целия свят, сред които и водещи такива в САЩ. Въпреки, че за атаката се разбра през декември, то хакерите са наблюдавали системите и операциите в продължение на месеци преди това.

Същевременно, множество компании използващи Orion актуализацията продължават да намират следи от зловредна намеса.

Припомняме, че Forbes определя SolarWinds атаките за един от най-големите технологични проблеми на 2021 г., а също и едно от сериозните предизвикателства пред новата администрация на Джо Байдън.

Разбира се, в изявление, направено във Facebook, руското външно министерство определи обвиненията като поредния неоснователен опит Русия да бъде обвинена в кибератаки и кибер заплахи срещу американската администрация.

Все пак съществува сериозно притеснение, че хакерите, насочени към Министерството на финансите и Националната администрация за телекомуникации и информация на Министерството на търговията, са използвали подобен инструмент за проникване в други правителствени агенции, а въпросното проследяване на имейли най-вероятно датира още от лятото.

“Това е много по-голям случай отколкото само една агенция,” споделя запознат със случая. “Това е огромна кампания за кибершпионаж, насочена към правителството на САЩ и неговите интереси”.

Атаката представлява предизвикателство за входящата администрация на новоизбрания президент Джо Байдън, тъй като служителите разследват каква информация е открадната и се опитват да установят за какво ще бъде използвана. Не е необичайно широкомащабните кибер разследвания да отнемат месеци или години.

Смята се, че шпионите са се намесили чрез тайно подправяне на актуализации, публикувани от ИТ компанията SolarWinds, която обслужва държавни клиенти в изпълнителната власт, военните и разузнавателните служби, съобщават от Ройтерс. Самата методика е скриване на злонамерен код в легитимни софтуерни актуализации, предоставени на целеви обекти от трети страни.