Attakki Ċibernetiċi ewlenin tal-2020

Attakki b’tema COVID-19

Il-pandemija COVID-19, li bdiet fl-aħħar tal-2019, kellha effett drammatiku fuq ħajjitna madwar id-dinja. Iżda minbarra l-perikli ovvji għas-saħħa tal-bniedem u impatt ekonomiku enormi, il-pandemija biddlet id-dinja diġitali, il-mod kif naħdmu, u l-mod kif inqattgħu l-ħin liberu tagħna online.

Hekk kif l-ivvjaġġar waqaf, ħafna negozji u servizzi kellhom jaqilbu għal operazzjonijiet online.

Dawk li diġà kienu online kellhom jespandu, oħrajn kellhom jintroduċu proċeduri kompletament ġodda. Il- Gvern, organizzazzjonijiet mediċi, u organizzazzjonijiet tas-servizzi kellhom jadottaw mezzi ġodda biex jissodisfaw il-ħtiġijiet ta’ kuljum.

Laqgħat tan-negozji marru għal apps tat-telekomunikazzjoni bħal Zoom, Webex, u Microsoft Teams, li sar l-istandard il-ġdid. Il-ħaddiema tal-uffiċċju ntbagħtu d-dar, ħafna drabi bil-għaġġla u mingħajr it- tagħmir neċessarju, tant li kellhom jirrikorru għat-tagħmir tagħhom stess biex iwettqu xogħolhom.
Sfortunatament, il- kriminali ċibernetiċi raw opportunitajiet ċari f’dawn l-isfidi u żiedu b’mod attiv
attakki, li jħallu l-kompassjoni u l-ħniena tal-bniedem warajhom.

Kif mistenni, in-nies ġrew fuq l-internet biex jiksbu informazzjoni dwar il-pandemija l-ġdida: kif jistgħu jipproteġu lilhom infushom, x’inhuma l-aħħar aħbarijiet, fuq liema għajnuna jistgħu jistrieħu, eċċ.
Dan l-interess irriżulta f’numru kbir ta’ scams u tipi oħra ta’ exploits. Il- kriminali ċibernetiċi jkomplu jużaw trikks qodma biex jisfruttaw it-tema COVID-19 fl- attakki ċibernetiċi tagħhom, iqarrqu bill-vittmi biex idaħħlu l-kredenzjali jew l-informazzjoni personali tagħhom fuq paġna web tal-phishing, jew payloads malizzjużi f’dokumenti għal taparsi fihom informazzjoni essenzjali relatata mal-pandemija. Hemm approċċi notevoli oħra, u l-eżempji li ġejjin huma wħud mill-scams b’tema COVID-19 li ltqajna magħhom.

Fake free testing

L-aħħar verżjoni tal-malware Trickbot / Qakbot / Qbot infirxet f’ħafna emails ta’ phishing li offra ttestjar ta’ COVID-19 b’xejn. Il-vittmi ġew mitluba jimlew formola mehmuża, li rriżultat
li jkun dokument falz inkorporat bi skript malizzjuż. Biex tevita li tiżvela l-payload tagħha fil-malware
sandboxes, l-iskript ma jibdiex iniżżel it-tagħbija tiegħu qabel ma jkun għadda xi ħin.
Id-dokument tal-ġibda juża gimmick standard biex iqarraq bl-utenti billi jikklikkjaw ‘Enable content’ li jippermetti l-eżekuzzjoni tal-iskript VBA malizzjuż li huwa inkorporat.

Fake financial support

F’ħafna każijiet, l- attakki ċibernetiċi baqgħu bbażati fuq kif il-pajjiż lokali intlaqat minn COVID-19. Għal per eżempju, l-istat ta’ North Rhine-Westphalia (NRW) fil-Ġermanja spiċċa vittma ta’ kampanja tal- phishing. Attakkanti ħolqu kopji diżonesti tal-websajt tal-Ministeru tal-Affarijiet Ekonomiċi NRW fejn
titlob għajnuna finanzjarja għal COVID-19. Il-frodaturi ġabru d-dejta personali sottomessa mill-vittmi
u mbagħad ressqu t-talbiet tagħhom stess fuq il-websajt leġittima billi użaw l-informazzjoni tal-vittmi
iżda l-kont bankarju tal-kriminali. Uffiċjali NRW irrappurtaw li kienu saru sa 4,000 talba falza
mogħtija, li tirriżulta f’massimu ta ‘$ 109 miljun mibgħuta lill-scammers.

Scams fuq edukazzjoni remota

Il-kriminali ffokaw ukoll fuq l-isfruttament ibbażat fuq edukazzjoni remota. Phising email ġdida b’tema marbuta mal- pandemija wasslet Formbook Trojan inkorporat f’applikazzjoni ta’ gradazzjoni fittizja għal
għalliema tal-iskola. Formbook huwa tip ta’ malware infostealer li kapaċi jisraq il-kredenzjali tal-login
mill-browsers tal-internet. Ilu promoss fuq forums ta’ hacking minn Frar 2016.
Interessanti l-fatt li l-attakkanti użaw diversi metodi ta’ kontra l-analiżi u kontra l-iskoperta bħal
sejbien ta’ sandbox u sejbien ta’ magni virtwali, steganografija, u kriptaġġ XOR biex jaħbi l-
payload, u b’hekk tevita b’mod effettiv il-Windows Defender.
Wara l-kampanji tal-Formbook, il- kriminali kienu magħrufa wkoll li jattakkaw ditti bijomediċi fejn
jisirqu riżorsi finanzjarji, dejta personali sensittiva, u proprjetà intellettwali.

Dokumenti foloz tal-leave mediku

Il-kampanja Trickbot sfruttat ukoll il-biżgħat pandemiċi ta’ COVID-19 biex inxerrdu dokument malizzjuż intitolat: “Leave tal-Familja u Mediku tal-Att 22.04.doc ”

L-Att dwar il-Leave Mediku tal-Familja awtentiku (FMLA) jipprovdi lill-impjegati d-dritt li jkollhom
benefiċċji mediku tal-leave. Madankollu, ladarba l-utent jattiva l-makro f’dawn id-dokumenti frawdolenti, skrittura malizzjuża tibda tniżżel malware addizzjonali fuq il-kompjuter.

Insegwu s-sigrieti relatati ma’ COVID-19 tal-gvernijiet u tal-kumpaniji privati

Ċerta dejta prezzjuża relatata mal-pandemija COVID-19 u suspettata minn xi analisti
li nżamm sigriet mill-gvern Ċiniż qed jattira hackers minn madwar
id-dinja. Pereżempju, il-grupp ta’ hacking APT32 sponsorjat mill-istati Vjetnamiżi (magħruf ukoll
bħala l-Grupp OceanLotus) irrapporta li attakka organizzazzjonijiet statali Ċiniżi bit-tama li jisirqu
miżuri ta’ kontroll tal- virus, riċerka medika, u statistika li tiżvela n-numru ta’ infezzjonijiet li allegatament ma ġewx żvelati miċ-Ċina. Il-Vjetnam huwa ġar taċ-Ċina u l-interess tiegħu parzjalment jidher li tkun motivata mix-xewqa tagħha li tikkontrolla t-tixrid tal-pandemija madwar ir-reġjun.

Il-kumpanija Ċiniża Huiying Medical, li huwa allegat li żviluppat AI li tista’ tiddijanjostika COVID-19 ibbażat fuq tomografija kompjuterizzata (CT) li tiskannja immaġini bi preċiżjoni ta’ 96%, allegatament ġie hacked. Skond id-ditta taċ-ċibersigurtà Cyble, hacker imsejjaħ “THE0TIME” poġġa d-dejta Medika Huiying għall-bejgħ fuq il-Dark Web li jista’ jkun fiha informazzjoni għall-utent, kodiċi tas-sors, u rapporti dwar esperimenti bi prezz mitlub ta’ erba’ bitcoin (madwar $ 30,000 dak iż-żmien ).
Gruppi oħra ta’ ATP attakkaw kumpaniji farmaċewtiċi u laboratorji ta’ tilqim fl-ordni
biex jisirqu dejta rilevanti.

Ħaddiema jaħdmu mid- dar taħt attakk

Il-pandemija COVID-19 biddlet b’mod sinifikanti l-pajsaġġ tat-theddid, u enfasizzat bosta riskji ta’ sigurtà u privatezza assoċjati ma’ operazzjonijiet ta’ xogħol bogħod mill- uffiċju – inkluż aċċess remot għal servers ta’ kumpaniji interni, konferenzi virtwali, u taħriġ ta’ sigurtà fost l-impjegati.

● Kważi nofs il-maniġers kollha tal-IT tħabtu biex jagħtu struzzjonijiet u jassiguraw remote workers.
● 31% tal-kumpaniji globali huma attakkati minn ċiberkriminali mill-inqas darba kuljum. L-iktar tipi ta’ attakki komuni kienu attentati ta’ phishing, attakki DDoS, u attakki bil-vidjokonferenzi.
● 92% tal-organizzazzjonijiet globali kellhom jadottaw teknoloġiji ġodda biex ilestu l-bidla għal remote work.
● Bħala riżultat, 72% tal-organizzazzjonijiet globali raw l-ispejjeż tal-IT tagħhom jiżdiedu matul il-pandemija.
● Attakki ta’ suċċess jibqgħu frekwenti, minkejja żieda fl-infiq fuq it-teknoloġija, minħabba li l-organizzazzjonijiet mhumiex qed jagħtu biżejjed prijorità lill-kapaċitajiet difensivi.
● 39% tal-kumpaniji kollha rrappurtaw attakki ta’ konferenzi bil-vidjo matul il-pandemija.

(Sors: Stħarriġ Acronis fost 3.400 kumpanija u ħaddiema remoti minn madwar id-dinja fl-2020)

Il-Coronavirus iżid l-attakki ta’ Zoom

Il-bidu tal-pandemija COVID-19 ra l-pjattaforma tal-konferenzi virtwali Zoom tiġbed l-attenzjoni mhux mixtieqa tal- kriminali ċibernetiċi. Bil-bażi ta’ utenti miżjuda, aktar u aktar nies
bdew janalizzaw l-kodiċi ta’ Zoom għal nuqqasijiet u jqajmu tħassib dwar il-privatezza.
Pereżempju, Vice.com irrapporta li żewġ vulnerabbiltajiet ta’ ġurnata żero – toqob tas-sigurtà li l-bejjiegħa ma kinux konxji minnhom u għalhekk ma kellhom l-ebda protezzjoni għalihom – kienu disponibbli fis-suq tal-Dark Web: waħda għall-Windows u oħra għall-macOS. L-isfruttar Zoom Windows RCE (Remote Code Execution) kien għall-bejgħ għal $ 500,000.

Zoom sar ukoll fil-mira ta’ kampanja ta’ phishing immirata biex tisraq il-kredenzjali tas-servizz.
L-emails tal-phishing ġew ikkunsinnati lil aktar minn 50,000 kaxxa tal-posta, immirati lejn l-utenti tal-Microsoft 365 bi stedina falza bl-email għal sejħa Zoom li jmiss mad-dipartiment tar-riżorsi umani biex jiddiskuti reviżjoni tal-prestazzjoni (suġġett iddisinjat biex iqanqal ansjetà fil-vittma li tista’ tneħħi l-għaqal normali tagħhom li tikklikkja fuq link tal-email). Attakki ta’ phishing bħal dawn, flimkien ma’
attakki tal-mili tal-kredenzjali fejn l-attakkanti jiċċekkjaw jekk l-utent qassamx l-istess password fuq
Servizzi varji, wasslu għal aktar minn 500,000 kredenzjali ta’ l-utent Zoom f’wiċċ l-ilma fuq fora taħt l-art. Il-fatt li ħafna vidjokonferenzi Zoom ma kellhomx sett ta’ password ġibed ukoll il- kriminali ċibernetiċi.

In-nies bdew jippruvaw in-numri kollha possibbli tal-ID tal-laqgħa, sakemm sabu laqgħa kontinwa. Imbagħad ingħaqdu mas-sejħa u ddisturbaw lill-parteċipanti billi daqqew vidjows, mużika qawwija, jew materjali oħra mhux xierqa.
Dawn l-attakki fuq Zoom wasslu biex bosta skejjel waqqfu l-programmi ta’ tagħlim il-bogħod mill- iskola.
Mhux Zoom biss: l-utenti tal-Microsoft 365 ġew attakkati wkoll. Naturalment, Zoom ma kinitx l-unika kollaborazzjoni għodda fil-crosshairs tal-attakkanti. Attakki simili ġraw lil Microsoft Teams u Webex.

Nuqqas ta’ sigurtà għall-persuni li jaħdmu mid-dar

Issa li xi nies iridu jaħdmu mid-dar fuq il-kompjuters tagħhom stess hemm theddid għas-sigurtà
rampanti. Dawk il-magni tad-dar mhux biss ħafna drabi m’għandhomx protezzjoni ċibernetika effettiva, iżda ħafna utenti wkoll ma japplikawx regolarment l-aħħar protezzjonijiet tas-sigurtà għas-sistema operattiva tagħhom u software popolari ta’ parti terza, li jħalli l-magni tagħhom vulnerabbli. Ħafna minn dawn il-magni privati ma humix immaniġġjati mid-dipartiment tal-IT u għalhekk l-ebda politika tal-kumpanija ma hija applikata għalihom.
Li tkopri dawn il-vulnerabbiltajiet u l-kwistjonijiet tal-immaniġġjar tal- protezzjoni fit-tarf sar uġigħ ta’ ras għall-amministraturi u t-tekniċi li jipprovdu l-appoġġ tal-IT biex jgħinu negozji żgħar jgħixu matul din l-emerġenza.
Barra minn dan, in-netwerks tad-dar huma spiss esposti għal apparati oħra mhux protetti, spiss
mit-tfal u membri oħra tal-familja. Barra minn hekk, il-broadband router spiss ikun
skaduti, li jippermettu lill-attakkanti jeħtfu r-router u potenzjalment idawru traffiku speċifiku.

Ransomware għadu t-theddida numru wieħed

Ovvjament, l-2020 kienet sena ta’ ransomware b’aktar attakki, telf ogħla, u estorsjoni ġdida
tekniki li qed jiġu implimentati miċ-ċiberkriminali. Każijiet kbar isiru pubbliċi prattikament kull ġimgħa.
Skond rapport ippubblikat mill-Koalizzjoni, wieħed mill-akbar fornituri ta’ servizzi ta’ assigurazzjoni ċibernetika fl-Amerika ta’ Fuq, każijiet ta’ ransomware ammontaw għal 41% tal-pretensjonijiet ta’ assigurazzjoni ċibernetika ppreżentati fl-ewwel nofs tal-2020. “Ransomware ma jiddiskriminax mill-industrija. Rajna żieda fl-attakki ta’ fidwa madwar kważi kull industrija li naqdu,” tirrapporta Coalition.

Miri kbar iġibu flus kbar

Fit-18 ta’ Lulju, l-akbar fornitur tat-telekomunikazzjoni ta’ l-Arġentina ntlaqat minn attakk ta’ ransomware – aktarx mill- Grupp Sodinokibi – jitlob ħlas ta’ $ 7.5 miljun. Kif inhu tipiku għal bosta attakkanti li jixtiequ biex iġġiegħel deċiżjoni mgħaġġla mill-vittma, din it-talba ġiet issettjata biex tirdoppja jekk ma titħallasx fi żmien 48 siegħa. Ir-ransomware allegatament infettat aktar minn 18,000 workstation, inklużi terminals b’ dejta sensittiva ħafna.
Garmin, waħda mill-ikbar kumpaniji tad-dinja tal-apparat li jintlibsu, ikkonfermat li l-waqfien ewlieni li beda fl-24 ta’ Lulju kien dovut għal attakk ta’ ransomware ta’ WastedLocker. Dan l-attakk ġiegħel lil Garmin twaqqaf l-operazzjonijiet taċ-ċentri tal-kuntatt, Garmin Connect, u anke linji tal-produzzjoni fit-Tajwan. Bi stima ta’ $ 4 biljun fi dħul annwali, Garmin ċertament hija mira ta’ valur għoli. L-ammont ħlas mitlub huwa maħsub li huwa $ 10 miljun. Attakki reċenti oħra ta’ WastedLocker talbu ammonti li jvarjaw minn $ 500,000 sa miljuni. Il-lista tal-vittmi ta’ ħlas għolji tkompli. Fi Frar, l-FBI ippubblika stimi għall-profitti ta’ xi gruppi ta’ ransomware. Il-lista indikat li gruppi bħal Ryuk għamlu madwar $ 3 miljun fix-xahar fl-2019. Bi ġranet tal-ħlas bħal dawn, mhux probabbli li t-theddida tonqos dalwaqt.

Barra minn hekk, il-familji moderni tar-ransomware mhux biss jitolbu ħlas għad-decrypting tad-data iżda ukoll talli ma żvelawx dejta kunfidenzjali misruqa lill-pubbliku, li jżid iċ-ċansijiet tagħhom li
ħlas saħansitra aktar.

Flus għal non-disclosure

Il-grupp ta’ ransomware REvil / Sodinokibi ħabbar fl-14 ta’ Awwissu li kkomprometta lill-Brown-Forman ibbażat f’Kentucky – il-kumpanija parent tal-marki tal-whisky Jack Daniels, Old Forester, The Glendronach, u diversi nbejjed u spirti oħra. B’rapport annwali tal-2020 li juri profitti grossi ta’ aktar minn $ 2 biljun u dħul nett ta’ $ 872 miljun, Brown-Forman hija mira ta’ valur bla dubju ta’ xejn għall-operaturi tar-ransomware. Il-grupp REvil iddikjara li seraq 1TB ta’ dejta, inkluża informazzjoni kunfidenzjali tal-impjegati, dejta finanzjarja, komunikazzjonijiet interni, u ftehimiet tal-kumpanija. Stampi mpoġġija fis-sit tat-tnixxija tagħhom jindikaw li għandhom data li tmur lura mill-inqas sa l-2009.

Canon, il-korporazzjoni multinazzjonali li tispeċjalizza fi prodotti ottiċi u tal-immaġini, sfat vittma ta’
Attakk tar-ransomware tal-labirint li kellu impatt fuq is-sistema tal-email tagħhom, Microsoft Teams, il-websajt tal-Istati Uniti tagħhom,
u applikazzjonijiet interni oħra. L-operaturi tar-ransomware Maze ddikjaraw li serqu aktar minn 10TB ta’ dejta minn Canon, inklużi databases privati. Canon irrikonoxxa l-attakk f’messaġġ intern mibgħut lill-impjegati.

CWT, waħda mill-akbar kumpaniji tal-immaniġġjar tal-ivvjaġġar u tal-avvenimenti fid-dinja, kienet kompromessa mir-ransomware Ragnar Locker. L-attakkanti allegatament serqu 2TB ta’ dejta korporattiva sensittiva u jiddikjaraw li kkompromettew aktar minn 30,000 sistema. Filwaqt li l-attakkanti inizjalment talbu $ 10 miljun għar-ritorn sikur ta ‘dejta misruqa, CWT daħal fin-negozjati u eventwalment qabel li jħallas ħlas ta’ 414 bitcoin – ugwali għal aktar minn $ 4 miljun fil-ħin tal-kitba.

Conti, ransomware ġdid bħala servizz (RaaS) u s-suċċessur tal-varjant notorju Ryuk,
ħarġet websajt dwar it-tnixxija tad-dejta bħala parti mill-istrateġija ta’ estorsjoni tagħha biex iġġiegħel lill-vittmi jħallsu ħlas. Filwaqt li Conti ilu attiv għal diversi xhur, ma kienx sa ftit ilu li l- kriminali ċibernetiċipubblikament ħarġu sit tat-tnixxija tad-dejta fejn jheddu li jippubblikaw id-dejta misruqa tal-vittmi jekk il-ħlas mitlub ma titħallasx. “Conti.News” bħalissa telenka 112 vittma, inklużi kumpaniji kbar u magħrufa.

B’kollox, madwar 20 grupp differenti ta’ ransomware ħolqu paġni dedikati għal tnixxijiet ta’ dejta, ospitati fuq in-netwerk taħt l-art Tor. Aktar minn 700 kumpanija kellhom id-dejta tagħhom ippubblikata – 37% tat-tnixxijiet ġew minn infezzjonijiet tar-ransomware Maze, segwit minn Conti bi 15%, u Sodinokibi bi 12%.

Dan il-ksur tad-dejta jist ‘jirriżulta f’telf ta’ reputazzjoni, attakki ta’ segwitu, u diversi multi. Barra minn hekk, it- tnixxija ta’ dejta tal-klijent tista’ tkun punibbli taħt regolamenti ta’ privatezza bħal GDPR jew CCPA, u il-ħlas jista’ jkun reat taħt ir-regolament OFAC ta’ l-Istati Uniti.

 

Artikli Oħrajn