LockBit Ransomwaren, oikeussalin tallennusohjelmiston iskemät Lontoon huumeet. Toimita haittaohjelmia: Kyberturvallisuusuutiset

LockBit Ransomware iskee Lontoon huumeisiin, kieltäytyy maksamasta 25 miljoonan dollarin kysyntää
Kanadalainen apteekkiketju London Drugs on joutunut LockBit-jengin järjestämään lunnasohjelmahyökkäykseen. Alun perin "kyberturvallisuushäiriöksi" leimattu tapaus tapahtui 28. huhtikuuta 2024 ja johti kaikkien 79 London Drugs -toimipaikan väliaikaiseen sulkemiseen Länsi-Kanadassa. Yhtiö on vahvistanut, että hyökkäys johti yritystiedostojen varkauksiin, joista osa saattaa sisältää työntekijöitä tiedot. LockBit vaatii 25 miljoonan dollarin lunnaita ja uhkaa vuotaa varastetut tiedot, jos yritys ei toimi.
Huolimatta LockBitin väitteistä, että London Drugs tarjosi alun perin 8 miljoonaa dollaria, apteekkiketju on julkisesti ilmoittanut, ettei se "halua eikä pysty" maksamaan mitään lunnaita kyberrikollisille - vaikka työntekijöiden tiedot olisivat vaarassa. Vaikka London Drugs vakuuttaa, että potilas- ja asiakastietokannat pysyvät ennallaan, yhtiö on ilmoittanut kaikille nykyisille työntekijöille heidän henkilötietojensa vaarantumisesta. Apteekkiketju tarjoaa kärsineille työntekijöille kahden vuoden ilmaisen luottovalvonnan ja identiteettivarkaussuojan, samalla kun se jatkaa vahingon laajuuden selvittämistä. tietoturvaloukkauksesta.
Tämä hyökkäys tapahtui keskellä LockBitin toiminnan laskua lainvalvontaoperaation seurauksena, joka häiritsi jengin infrastruktuuria ja paljasti sen johtoaseman. Tästä takaiskusta huolimatta ransomware-jengi kohdistuu edelleen aktiivisesti organisaatioihin, mistä on osoituksena Lontoon huumehyökkäys. Vaikka lainvalvontatoimet ovat saattaneet vaikuttaa LockBitin toimintaan, ryhmä on edelleen merkittävä uhka tietoverkkojen maisema.
pcTattletale Spyware kärsii suuresta tietoturvaloukkauksesta, joka paljastaa käyttäjätiedot ja lähdekoodin
pcTattletale-vakoiluohjelma, joka tunnetaan useiden Wyndham-hotellien varausjärjestelmistä Yhdysvalloissa ja sen historiasta arkaluontoisten tietojen vuotamisesta, on joutunut merkittävään tietoturvaloukkaukseen.
Tietoturvatutkija Eric Daigle havaitsi vakavan puutteen pcTattletalen API:ssa, mikä salli luvattoman pääsyn kuvakaappauksiin laitteista, joihin vakoiluohjelma oli asennettu. Yritykset ottaa yhteyttä kehittäjiin ongelman korjaamiseksi jätettiin huomiotta.
Lisäksi tuntematon hakkeri käytti hyväkseen erilaista haavoittuvuutta tuhotakseen pcTattletalen verkkosivuston ja vuotaneen 20 arkistoa, jotka sisälsivät vakoiluohjelman lähdekoodin ja tietokantatiedot. Hakkeri väittää käyttäneensä Python-hyödyntämistä AWS-tunnistetietojen poimimiseen vakoiluohjelman SOAP-pohjaisen API:n kautta. Ironisena käänteenä hakkeri jakoi videon, jonka väitetään otetun pcTattletalella ja jossa verkkosivuston omistaja yrittää palauttaa sivuston. Tämä viittaa siihen, että omistaja on saattanut käyttää omia vakoiluohjelmiaan omalla laitteellaan.
Tämä tapaus korostaa vakoiluohjelmiin liittyviä riskejä ja arkaluonteisten tietojen väärinkäyttöä. Käyttäjien, joille pcTattletale on kohdistettu, kuvakaappaukset, näppäinpainallukset ja muut henkilökohtaiset tiedot ovat saatettu vaarantua. Haitalliset toimijat voivat myös käyttää vuotanutta lähdekoodia kehittyneempien vakoiluohjelmien kehittämiseen tai olemassa olevien ohjelmistojen haavoittuvuuksien hyödyntämiseen.
Kriittinen virhe oikeussalin tallennusohjelmistossa, jota hyödynnettiin RustDoor-haittaohjelman toimittamiseen
Kriittinen tietoturvavirhe (CVE-2024-4978) on löydetty JAVS Viewer v8.3.7 -ohjelmiston asennusohjelmassa, jota käytetään oikeussaliprosessien ja muiden tapahtumien tallentamiseen. Tämän haavoittuvuuden ansiosta hyökkääjät pystyivät toimittamaan RustDoor-nimistä haittaohjelmia vaarantuneen asennusohjelman kautta.
Hyökkäys sisälsi laillisen asennusohjelman korvaamisen haitallisella versiolla, joka oli allekirjoitettu väärennetyllä varmenteella. Suorituksen yhteydessä haittaohjelma kommunikoi komento- ja ohjauspalvelimen kanssa, poistaa suojausominaisuudet käytöstä ja lataa lisähyötykuormia.
Tämän haittaohjelman, RustDoorin, tiedettiin aiemmin kohdistuvan macOS-laitteisiin, mutta tämä tapaus paljastaa myös Windows-version. Molemmilla versioilla on samanlaiset toiminnot, ja ne on linkitetty ransomware-as-a-service -ryhmään nimeltä ShadowSyndicate.
Hyökkäyksen havaitsi Rapid7, joka aloitti tutkimuksen löydettyään haitallisen suoritettavan tiedoston ohjelmiston asennuskansiosta. Ohjelmistokehittäjä JAVS on tunnustanut ongelman, poistanut ongelman aiheuttaneen version verkkosivustoltaan ja ryhtynyt toimiin järjestelmiensä suojaamiseksi. He väittävät, että heidän lähdekoodinsa ja muut ohjelmistojulkaisunsa säilyvät ennallaan.
Käyttäjiä kehotetaan tarkistamaan merkkejä vaarantumisesta ja, jos ne ovat saaneet tartunnan, ottamaan uudelleen kuvan, johon ne liittyvät, nollaa kirjautumistiedot ja päivittää JAVS Viewerin uusimpaan versioon. Tämä tapaus korostaa ohjelmistojen toimitusketjun hyökkäyksiin liittyviä riskejä ja ladattujen ohjelmistojen aitouden varmistamisen tärkeyttä.