SECURITY SUNDAY 30/2024

Meta odstraňuje tisíce účtů spojených s nigerijskými podvody

Společnost Meta ve středu oznámila, že podnikla kroky k odstranění přibližně 63 000 účtů na Instagramu, u nichž bylo zjištěno, že se zaměřují na sextortion podvody.

Odstraněno bylo také 1 300 účtů, 200 stránek a 5 700 skupin na Facebooku, které byly založeny v Nigérii a které byly používány k organizování, náboru a školení nových podvodníků.

Agentura Bloomberg upozorňuje na sebevraždy způsobené sextortion a odhalila, jak podvodníci vystupují na Instagramu a Snapchatu jako dospívající dívky, aby nalákali své cíle a přiměli je k zaslání explicitních fotografií, které jsou pak použity k vydírání obětí.

„Finanční sextortion je strašlivý zločin, který může mít zničující následky,“ uvedla Meta.

Akce společnosti Meta přichází v době, kdy INTERPOL uvedl, že provedl globální operaci označovanou jako Jackal III, která se zaměřila na západoafrické skupiny organizovaného zločinu, jako je Black Axe, což vedlo k desítkám zatčení a zabavení nelegálního majetku v hodnotě 3 milionů dolarů, včetně kryptoměn a luxusních předmětů.

Škodlivá knihovna cílí na macOS a krade přihlašovací údaje Google Cloud

Výzkumníci v oblasti kybernetické bezpečnosti objevili v repozitáři Python Package Index (PyPI) škodlivý balíček, který se zaměřuje na systémy Apple macOS s cílem ukrást přihlašovací údaje uživatelů služby Google Cloud z úzkého okruhu obětí.

Balíček s názvem „lr-utils-lib“ byl do registru nahrán na začátku června 2024.

„Malware používá seznam předdefinovaných hashů k zacílení na konkrétní počítače se systémem MacOS a pokouší se získat autentizační údaje služby Google Cloud,“ uvedl v páteční zprávě výzkumník společnosti Checkmarx Yehuda Gelb.

Důležitým aspektem balíčku je, že nejprve zkontroluje, zda byl nainstalován do systému macOS, a teprve poté přistoupí k porovnání univerzálního jedinečného identifikátoru (UUID).

Pokud je napadený počítač mezi počítači uvedenými v předdefinované sadě, pokusí se získat přístup ke dvěma souborům, konkrétně application_default_credentials.json a credentials.db, které se nacházejí v adresáři ~/.config/gcloud a obsahují autentizační údaje služby Google Cloud.

Červencové aktualizace Windows Server narušují připojení ke vzdálené ploše

Společnost Microsoft potvrdila, že červencové bezpečnostní aktualizace narušují připojení ke vzdálené ploše v organizacích, kde jsou servery Windows nakonfigurovány tak, aby používaly starší protokol RPC přes HTTP v RDB gateway.

„Servery Windows mohou ovlivnit připojení ke vzdálené ploše v organizaci, pokud je v bráně vzdálené plochy používán starší protokol (Remote Procedure Call over HTTP). V důsledku toho může dojít k přerušení připojení ke vzdálené ploše. K tomuto problému může docházet přerušovaně, například se může opakovat každých 30 minut. V tomto intervalu dojde ke ztrátě relací přihlášení a uživatelé se budou muset k serveru připojit znovu.“ vysvětluje společnost Microsoft.

Toto potvrzení přichází po mnoha hlášeních od správců systému Windows, podle kterých služba Brána RD po instalaci aktualizací z tohoto měsíce každých 30 minut padala.

„Obsluhujeme aplikace pro hodně přes 500 uživatelů a dnes jsme ztratili obrovské množství času a peněz. Dávejte si na tuto aktualizaci pozor. Odstranění aktualizace naše pády zcela vyřešilo,“ uvedl jeden z administrátorů.

Správci mohou tento problém sledovat jako problém s ukončením služby TSGateway, který při ztrátě odezvy vyvolá kód výjimky 0xc0000005, který se do systémového protokolu událostí zaznamená jako událost 1000.

Švýcarsko bude mít veškerý vládní software open source

Švýcarsko učinilo významný krok vpřed díky svému „Federálnímu zákonu o používání elektronických prostředků pro plnění vládních úkolů“ (EMBAG). Tato průlomová legislativa nařizuje používání softwaru s otevřeným zdrojovým kódem (OSS) ve veřejném sektoru.

Tento nový zákon vyžaduje, aby všechny veřejné orgány zveřejňovaly zdrojový kód softwaru, který pro ně nebo jimi byl vyvinut, pokud tomu nebrání práva třetích stran nebo obavy o bezpečnost. Cílem tohoto přístupu „veřejné peníze, veřejný kód“ je zvýšit transparentnost, bezpečnost a efektivitu vládních operací.

Boj za tento zákon vedl profesor Dr. Matthias Stürmer, vedoucí Institutu pro transformaci veřejného sektoru na Univerzitě aplikovaných věd v Bernu. Přivítal jej jako „velkou příležitost pro vládu, IT průmysl a společnost“. Stürmer věří, že z tohoto nařízení budou mít prospěch všichni, protože snižuje vendor lock-in pro veřejný sektor, umožňuje společnostem rozšířit jejich digitální podniková řešení a potenciálně vede ke snížení nákladů na IT a zlepšení služeb pro daňové poplatníky.

Nová verze ransomwaru Play Linux se zaměřuje na VMware ESXi

Ransomware Play je nejnovějším ransomwarem, který začal nasazovat speciální linuxovou variantu pro šifrování virtuálních počítačů v VMware ESXi.

Nové varianty si všimli odbornící ze spolčnosti Trend Micro. Ransomware je navržen tak, aby před spuštěním nejprve zkontroloval, zda běží v prostředí ESXi, a že se dokáže vyhnout detekci.

„Je to poprvé, co jsme zaznamenali ransomware Play zaměřený na prostředí ESXi. Tento vývoj naznačuje, že skupina může rozšiřovat své útoky na platformu Linux, což povede k rozšíření okruhu obětí.“ uvedla společnost Trend Micro

Vyřazení virtuálních počítačů v VMware ESXi povede k zásadnímu narušení a výpadkům podnikových sítí.