Londýnské drogy zasáhly LockBit Ransomware, nahrávací software soudní síně přináší malware: Váš souhrn zpráv o kybernetické bezpečnosti
Londýn Drugs zasažen ransomware LockBit, odmítá zaplatit 25 milionů dolarů
Kanadský řetězec lékáren London Drugs byl zasažen ransomwarovým útokem organizovaným gangem LockBit. Incident byl původně označen jako „incident kybernetické bezpečnosti“, k němuž došlo 28. dubna 2024 a vedl k dočasnému uzavření všech 79 londýnských drogerií v celé západní Kanadě. Společnost potvrdila, že útok vedl ke krádeži firemních souborů, z nichž některé mohou obsahovat zaměstnance informace. LockBit požaduje výkupné ve výši 25 milionů dolarů a vyhrožuje únikem odcizených dat, pokud společnost nevyhoví.
Navzdory tvrzení společnosti LockBit, že společnost London Drugs původně nabídla 8 milionů dolarů, řetězec lékáren veřejně prohlásil, že „není ochoten a schopen“ zaplatit jakékoli výkupné kyberzločincům – i když jsou data zaměstnanců ohrožena. Přestože London Drugs ujišťuje, že databáze pacientů a zákazníků zůstávají nedotčeny, společnost informovala všechny současné zaměstnance o možném ohrožení jejich osobních údajů. Řetězec lékáren nabízí postiženým zaměstnancům dva roky bezplatného sledování kreditu a ochranu před krádeží identity, přičemž pokračuje ve vyšetřování rozsahu Údaje porušení.
Tento útok přichází uprostřed poklesu aktivit LockBit po operaci vymáhání práva, která narušila infrastrukturu gangu a odhalila jeho vůdce. Navzdory tomuto neúspěchu se ransomwarový gang stále aktivně zaměřuje na organizace, o čemž svědčí londýnský útok na drogy. I když úsilí donucovacích orgánů mohlo narušit operace LockBit, skupina zůstává významnou hrozbou kybernetická bezpečnost krajina.
Spyware pcTattletale trpí závažným narušením bezpečnosti, odhaluje uživatelská data a zdrojový kód
Spyware pcTattletale, známý svou přítomností v rezervačních systémech několika hotelů ve Wyndhamu ve Spojených státech a historií úniku citlivých dat, byl zasažen významným narušením bezpečnosti.
Bezpečnostní výzkumník Eric Daigle objevil vážnou chybu v API pcTattletale, která umožňuje neoprávněný přístup k snímkům obrazovky pořízeným ze zařízení, kde byl nainstalován spyware. Pokusy kontaktovat vývojáře za účelem vyřešení problému byly ignorovány.
Neznámý hacker navíc zneužil jinou zranitelnost k znehodnocení webu pcTattletale a úniku 20 archivů obsahujících zdrojový kód spywaru a data z databáze. Hacker tvrdí, že využil exploit Pythonu k extrahování přihlašovacích údajů AWS prostřednictvím spywarového rozhraní API založeného na SOAP. V ironickém zvratu hacker sdílel video údajně pořízené pomocí pcTattletale, které ukazuje, jak se majitel webu snaží web obnovit. To naznačuje, že vlastník mohl používat svůj vlastní spyware na svém vlastním zařízení.
Tento incident upozorňuje na rizika spojená se spywarem a na možnost zneužití citlivých dat. Uživatelům, na které se pcTattletale zaměřoval, mohly být ohroženy jejich snímky obrazovky, stisknutí kláves a další osobní informace. Uniklý zdrojový kód by také mohli využít záškodníci k vývoji sofistikovanějšího spywaru nebo zneužití zranitelností stávajícího softwaru.
Kritická chyba v nahrávacím softwaru soudní síně využívaná k poskytování malwaru RustDoor
V instalátoru JAVS Viewer v2024, softwaru používaného pro záznam jednání v soudní síni a dalších událostí, byla objevena kritická bezpečnostní chyba (CVE-4978-8.3.7). Tato chyba zabezpečení umožnila útočníkům doručit malware známý jako RustDoor prostřednictvím kompromitovaného instalačního programu.
Útok zahrnoval nahrazení legitimního instalačního programu škodlivou verzí podepsanou falešným certifikátem. Po spuštění malware komunikuje s příkazovým a řídicím serverem, deaktivuje funkce zabezpečení a stáhne další užitečné zatížení.
O tomto malwaru, RustDoor, bylo dříve známo, že cílí na zařízení macOS, ale tento incident odhaluje i verzi pro Windows. Obě verze sdílejí podobné funkce a jsou propojeny se skupinou ransomware-as-a-service s názvem ShadowSyndicate.
Útok objevil Rapid7, který zahájil vyšetřování poté, co našel škodlivý spustitelný soubor v instalační složce softwaru. JAVS, vývojář softwaru, uznal problém, odstranil postiženou verzi ze svých webových stránek a podnikl kroky k zabezpečení svých systémů. Tvrdí, že jejich zdrojový kód a další verze softwaru zůstávají nedotčeny.
Uživatelům se doporučuje, aby zkontrolovali známky ohrožení a v případě infekce znovu vytvořili bitovou kopii postižených zařízení, resetovali přihlašovací údaje a aktualizovali na nejnovější verzi JAVS Viewer. Tento incident podtrhuje rizika spojená s útoky softwarového dodavatelského řetězce a důležitost ověření pravosti staženého softwaru.
