Google, en son güncellemesinde diğer dokuz güvenlik açığını ele almanın yanı sıra, iki hafta içinde Chrome tarayıcısında ikinci bir aktif olarak istismar edilen sıfırıncı gün açığını düzeltti.

LockBit, ilk olarak Eylül 2019'da .ABCD virüsü adı altında keşfedilen bir Hizmet Olarak Ransomware'dir (RaaS). O zamandan beri birkaç yeni özellikle güncellendi.

Ne oldu?

Son zamanlarda , bu fidye yazılımının arkasındaki saldırganlar yeni bir veri sızıntısı web sitesi başlattı ve kurbanları fidye ödemeye zorlamak için çifte gasp taktiği kullanmaya başladı.

internete açık bırakılan bir Amazon Web Services (AWS) bulut depolama grubu binlerce Joomla kullanıcısının kişisel bilgilerini açığa çıkardı.

Joomla içerik yönetim sisteminde (CMS) uzmanlaşmış geliştiricileri ve servis sağlayıcıları için bir topluluk forumu olan Joomla Resources Directory'yi (JRD) kullanmak için kaydolan yaklaşık 2.700 kişi bilgileri saldırı sonrası çalındı . Buna, şifrelenmemiş biçimde JRD kullanıcıların  tam site yedeklemeleri de dahildir; her yedek kopya, tüm veriler dahil olmak üzere web sitesinin tam bir kopyasını içermektedir.

Veritabanındaki alanlar  tam adı, işletme adresini, işletme e-posta adresini, işletme telefon numarasını, şirket URL'sini, işletmenin yapısını, karma şifreyi, IP adresini ve bülten abonelik tercihlerini içerir.

Joomla güvenlik ekibi tarafında yakın zamanda yapılan bir gönderide, "Verilerin çoğu herkese açıktı, çünkü kullanıcılar verilerini herkese açık bir dizine dahil edilmek üzere gönderdi ." Ancak, “özel verilerin (yayınlanmamış, onaylanmamış listeler, biletler) saldırı sonrası çalınan bilgiler arasında”  açıklamasını yaptılar.

Yedeklemeler, ihlal sırasında JRD'nin ekip üyesi olan bir kişinin sahibi olduğu üçüncü taraf bir şirket tarafından AWS'de saklandı. Bu kişi artık ekipte değil, ancak saldırıya maruz kalan bulut alan, JRD sitesinin güvenlik denetimi sırasında keşfedildi.

Joomla güvenlik ekibi “Veri erişimi hakkında herhangi bir kanıtımız olmasa bile, Joomla Resources Directory'de hesabı olan kişilere, parolalarını hemen değiştimelerini ve diğer hizmetlerde aynı şifreyi (veya e-posta adresi ve şifre kombinasyonunu) kullanmanızı önemle tavsiye ederiz.”diye konuştu.

Yanlış yapılandırılmış bulut depolama alanları şirketleri rahatsız etmeye devam ediyor. Mayıs ayında, dünyanın en büyük alan adı kayıt şirketi olan GoDaddy, müşterileri saldırganların web barındırma hesabı kimlik bilgilerini almış olabilecekleri konusunda uyardı .

Grafik yonga üreticisi Nvidia, grafik sürücülerindeki iki yüksek yoğunluklu hatayı düzeltti. Saldırganlar, etkilenen Windows oyun aygıtlarında hassas verileri görüntülemek, artan ayrıcalıklar kazanmak veya hizmet reddi (DoS) saldırıları başlatmak için bu güvenlik açıklarından yararlanabiliyor.

Windows için Nvidia'nın grafik sürücüsü (GPU Ekran Sürücüsü olarak da bilinir), meraklı oyuncuları hedefleyen cihazlarda kullanılır; cihazın işletim sistemi ve programlarının yüksek düzeyde, oyun için optimize edilmiş grafik donanımını kullanmasını sağlayan yazılım bileşenidir.

Güvenlik açıklarından biri olan CVE-2020-5962, grafik sürücüsü ayarlarının ve sistemde yüklü diğer yardımcı programların denetimini sağlayan Nvidia Denetim Masası bileşeninde bulunmakta.Nvidia'nın açıklamasına göre, yerel sistem erişimi olan bir saldırganın DoS veya ayrıcalıklar kazanmasına neden olabilecek bir sistem dosyasını bozmasına izin verebilir.

Başka bir güvenlik açığı (CVE-2020-5963), Nvidia tarafından sunulan bir bilgi işlem platformu ve programlama modeli olan CUDA Sürücüsü'nde bulunmaktadır. Sorun, sürücünün İşlemler Arası İletişim API'larındaki uygunsuz erişim kontrolünden kaynaklanıyor. Bu, kod yürütmesine, DoS'ye veya bilgi erişimine yol açabilir.

Görüntü sürücüsü ayrıca, çekirdek ana katmanı (CVE-2020-5966), hizmet ana bilgisayarı bileşeninde (CVE-2020665964), DirectX 11 kullanıcı modu sürücüsü (CVE-2020-5965) bulunan dört orta yoğunlukta hata içerir. ) ve UVM sürücüsü (CVE-2020-5967).

Windows ve Linux kullanıcıları için Nvidia'nın GeForce, Quadro ve Tesla yazılımını kullanan sürücüler de dahil olmak üzere çeşitli sürücüler etkilenir durumda. Etkilenen ve güncellenen sürümlerin tam listesi aşağıdadır.

Nvidia, sanal GPU (vGPU) yöneticisinde, çok sayıda sanal makinenin tek bir fiziksel GPU'ya eşzamanlı, doğrudan erişmesine olanak tanıyan ve sanallaştırılmamış işletim sistemlerine dağıtılan Nvidia grafik sürücülerini kullanan aracı olan dört yüksek yoğunluklu kusuru da ortadan kaldırdı.

Bu durumda yazılım, bir kaynak sınırları içindeki bellek veya dosyalar gibi bir dizin veya işaretçi kullanılarak erişilebilen işlemleri kısıtlamaz (veya yanlış şekilde kısıtlamaz). Bu, kod yürütmesine, DoS'ye, ayrıcalıkların artmasına veya bilgi ifşasına (CVE-2020-5968) yol açabileceği konusunda uyarıda bulundu Nvidia.

Bir başka kusur, paylaşılan kaynakları kullanmadan önce doğrulayan vGPU eklentisinden kaynaklanıyor ve DoS veya bilgi açıklamasına yol açabilecek bir yarış durumu yaratıyor (CVE-2020-5969) ve başka bir aksaklıkta, giriş veri boyutu vGPU eklentisinde doğrulanmaz, bu da kurcalamaya veya hizmet reddine neden olabilir (CVE-2020-5970).

Son vGPU kusuru (CVE-2020-5971), hedeflenen tampondan sonraki bellek konumlarına referans veren tampon erişim mekanizmaları (indeksler veya işaretçiler gibi) kullanarak bir tampondan okuma yazılımından kaynaklanır. Bu, kod yürütmesine, DoS'ye, artan ayrıcalıklara veya bilgilerin ifşa edilmesine yol açabilir.

Nvidia'nın yayınladığı sadece en son yamalar. Mart ayının başlarında şirket, grafik sürücüsünde, yerel bir saldırgan tarafından DoS veya kod yürütme saldırılarını başlatmak için kullanılabilecek çok sayıda şiddetli güvenlik açığı düzeltti. Geçen yıl, Nvidia, Windows için grafik sürücüsü ve GeForce Experience dahil olmak üzere iki popüler oyun ürününde yüksek yoğunluklu kusurlar için düzeltmeler yayınladı. Kusurlar, DoS'tan ayrıcalıkların artırılmasına kadar bir dizi kötü niyetli saldırı başlatmak için kullanılabilir. Ayrıca 2019'da Nvidia, GeForce Experience yazılımında, sömürüldüğünde kod yürütmesine veya DoS ürünlerine yol açabilecek başka bir yüksek yoğunluklu güvenlik açığı belirlemişti.

Honda'nın küresel operasyonları bir fidye yazılımı saldırısıyla vuruldu. Şirket daha önce saldırının çeşitli tesislerdeki operasyonların yanı sıra müşteri hizmetleri ve finansal hizmetler operasyonlarını etkilediğini söyledi. 

Bir Honda sözcüsü Forbes'a saldırıyı doğruladı,  "Honda, bazı ABD tesislerinde üretim operasyonlarını etkileyen bir siber saldırı yaşadı. Ancak, kişisel olarak tanımlanabilir bilgilerin kaybına dair mevcut bir kanıt yok. Çoğu tesiste üretime devam ettik ve şu anda Ohio'daki otomobil ve motor tesislerimizin üretimine dönüş yönünde çalışıyor. ”

Threatpost'a göre , "araştırmacılar  Pazartesi günü sosyal medya da yayınlanan saldırının örneklerini analiz  ettiler ve Snake fidye yazılımının isabetten sorumlu olduğunu belirlediler. Yılan ilk olarak Ocak ayında   MalwareHunterTeam tarafından keşfedilip analiz edildi. Mühendis Vitali Kremez. Dragos'taki araştırmacılar , Go dilinde yazılmış kötü niyetli yazılımlara da baktılar , yoğun bir şekilde gizlenmişler, ICS / SCADA ortamlarının peşine düşüyorlar  ve yüksek oranda tehdit hedefliyorlar. "

Cisco, saldırganların bilinen iki kritik SaltStack güvenlik açığından yararlanarak sunucularını tehlikeye atabildiğini söyledi . Kusurlar, Cisco ağ araçları ürünlerinde kullanılan açık kaynaklı salt-master service bulunmaktadır.

Değişim çok azımızın hazır olduğu bir hızda geliyor.

Son birkaç hafta içinde, tehdit araştırmacıları siber suçluların davranışlarında dramatik bir değişim olduğunu belgeliyorlar. Örneğin Mart, bir önceki yıla göre virüslerde % 131'lik bir artış gördü, bunların çoğu uzaktaki çalışanları hedefleyen kimlik avı saldırılarındaki artışa (günde ortalama yaklaşık 600 yeni saldırı) bağlandı. Aynı zamanda, geleneksel saldırılar düştü, IPS tetikleyicileri ve botnet'ler gibi göstergeler % 30'dan fazla düştü.

Tabii ki, bu değişim kuruluşların iş yapma biçimindeki dramatik değişimi yansıtmaktadır. Milyonlarca şirket ve işçinin aniden bir uzak işçi modeline geçişiyle, siber suçlular bu yeni saldırı yüzeyini taramak için; zayıflık ve güvenlik açıklarından yararlanmaya çalışmaktadır. Bu değişikliklerin gerçekleştiği hız göz önüne alındığında, başarı şansları çok yüksektir.

Avustralya nakliye devi şirket Nefilim Ransomware virüsü (Cryptolocker) tarafından vuruldu ve müşterilerin gecikmeler yaşamalarına neden oldu.

Avustralya nakliye ve lojistik devi olan firma fidye yazılımı saldırısı sonucu üç ayda ikinci kez vuruldu . Şirket, Nefilim olarak bilinen nispeten yeni bir fidye yazılımı biçiminin sistemlerini hedef aldığını söyledi. 50 ülkede 1.200'den fazla yerde faaliyet gösteren bir nakliye ve teslimat hizmeti veren şirket. Genellikle eBay gibi e-ticaret devleri tarafından dökme malları, kritik yedek parçaları ve tıbbi malzemeleri taşımakta.

Şirket Pazartesi günü, bazı sunucularında olağandışı etkinlik tespit ettikten sonra belirli BT sistemlerini kapattı ve müşterilerin gecikmeler ve aksamalar yaşamasına neden oldu. Şirket web sitesinde yer alan bir açıklamaya göre, “Şimdiye kadar yapılan araştırmalar sonucunda bu etkinliğin bir fidye yazılımı saldırısının sonucu olduğunu doğrulayabiliriz . “Bu, bu yılın başlarında karşılaştığımız fidye yazılımı olayı ile ilgisi yok. Firmamızın herhangi bir fidye talebine katılma niyeti yok ve bu aşamada ağımızdan herhangi bir verinin çıkarıldığını gösteren hiçbir kanıt yok. ”

NEFILIM Ransomware

Nefilim henüz yeni keşfedildi. Araştırmacılara göre, büyük olasılıkla Nemty , Crysis ve SamSam gibi fidye yazılım ailelerine benzer şekilde Uzak Masaüstü Protokolü (RDP) aracılığıyla yayılıyor.

“Nefilim, Nemty fidye yazılımı ile çok fazla kod paylaşan nispeten yeni bir fidye yazılımı varyantı Nefilim ransomware yeni olmakla birlikte, bu ay tüm cephelerde şirketleri vuruyor gibi görünüyor. Pazartesi günü Sky News Victoria Secret, Nike gibi markalar için iç çamaşırı üreten bir Sri Lanka giyim üreticisi hedefleyen fidye operatörleri. Rapora göre, üreticiden 300 GB özel dosya çaldıklarını ve çalındığı iddia edilen belgelerin bazılarını çevrimiçi yayınladıklarını söylediler.

Nefilim, çeşitli kurbanların fidye ödememesi durumunda halka veri yayınlamakla tehdit edebiliyor, Bu,hareket araştırmacıların çifte gasp olarak adlandırdığı yeni bir fidye yazılımı taktiği .

COVID-19 salgını sonrası çalışanların evden çalışabilmeleri için yapılan, 1,5 milyondan fazla yeni Uzak Masaüstü Protokolü (RDP) bağlantısı internete büyük bir açığa neden oldu. Dünyada açık RDP portlarını hedefleyen saldırıların sayısı Mart ve Nisan aylarında üç kattan fazla arttı.