Technika przejęcia systemu z wykorzystaniem podatnych sterowników dostarczonych przez atakującego nie jest nowa (patrz np. akcję opisywaną przez nas tutaj), ale wg badaczy z Sophosa, jest wykorzystywana coraz chętniej. O co chodzi atakującym w całym tym zamieszaniu? Ano o to, aby skutecznie wyłączyć systemy antywirusowe / EDR czy inne „przeszkadzajki”…
Czytaj dalej »
Jak czytamy na stronach grupy, przychody grupy jeszcze w 2018 roku wynosiły 1,67mld złotych, więc organizacja do małych zdecydowanie nie należy. Tymczasem na stronach wybranych firm wchodzących w grupy czytamy np.: Działając na podstawie art. 34 RODO informujemy o naruszeniu ochrony danych osobowych w spółkach zintegrowanych w GK SPECJAŁ. Na…
Czytaj dalej »
Od jednego z czytelników otrzymaliśmy dość lakoniczną informację o „ogólnej awarii całego systemu” w Centralnym Szpitalu Klinicznym w Łodzi. Niedługo później Rynek Zdrowia potwierdził informację o cyberataku na szpital: w dniu 6 lutego 2023 r. około godziny 5 rano doszło do cyberataku na system informatyczny placówki. Natychmiast udało się zlokalizować…
Czytaj dalej »
Całość to pokłosie wspólnej operacji Europolu oraz FBI. Grupa Hive działała w dość standardowym modelu: ekipa atakująca / wymuszająca okup (inkasowała ona 80% okupu) oraz deweloperzy głównego „produktu” (20%). Historycznie, czasem udawało się odszyfrować pliki zainfekowane Hive (patrz: Przyspieszony kurs łamania kryptografii Hive ransomware ;-)), ale teraz nie ma to…
Czytaj dalej »
Stosowny komunikat dostępny jest w tym miejscu (jak widać strona informacyjna tej placówki medycznej nie posiada nawet HTTPS): (…) w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp…
Czytaj dalej »
Warty odnotowania przypadek w kontekście przekonania: nie no, mam infrastrukturę IT w cloudzie – ransomware nic mi nie zrobi. Rackspace to korporacja o ~3 miliardach USD rocznego przychodu, która w dość transparentny sposób raportuje tutaj: As an update on the ransomware attack itself, CrowdStrike has confirmed that they have obtained…
Czytaj dalej »
Słodko-gorzki news na porządek 2023r.: Jak widzicie w oświadczeniu powyżej, grupa LockBit oświadcza, że ich partner (który dokonał ataku na SickKids) został zablokowany i wyrzucony z programu za złamanie zasad, a sam szpital otrzymał bezpłatnie dekryptor. Pamiętajmy jednak, że sama rozległa infekcja ransomware to gigantyczny problem dla działania całej infrastruktury…
Czytaj dalej »
Zaczynając od końca – jeśli chodzi o ransomware w Urzędzie Marszałkowskim Województwa Mazowieckiego, to kilku czytelników raportowało nam rozszerzenia .play widoczne na systemach po cyberataku. Tymczasem grupa ransomware PLAY ogłosiła włam do infrastruktury Antwerpii. Jak widać grożą wyciekiem ~557GB danych: Samo miasto rzeczywiście informuje o „cyber ataku„. Więcej informacji o…
Czytaj dalej »
Keralty – międzynarodowa organizacja opieki zdrowotnej – padła w zeszłą niedzielę ofiarą ataku grupy RansomHouse. Atak ransomware zakłócił działanie operacyjne firmy oraz stron internetowych. Oberwało się także spółkom zależnym (Colsanitas i EPS Sanitas). Keralty świadczy usługi medyczne obsługując międzynarodową sieć 12 szpitali oraz ponad 370 centrów medycznych w Ameryce Łacińskiej,…
Czytaj dalej »
Jak informuje The Washington Post, hakerzy mający powiązania z irańskimi służbami włamali się do sieci agencji rządowej USA na początku 2022 r. wykorzystując znaną lukę w bibliotece oprogramowania open source Log4j w celu instalacji narzędzi do kopania kryptowalut, a także kradzieży danych uwierzytelniających. Wykorzystując lukę w zabezpieczeniach zwaną Log4Shell, wspierani…
Czytaj dalej »
Wszystko zaczęło się w maju 2020 roku, gdy Piotr (dane zanonimizowane), IT manager w firmie technologicznej, musiał zmierzyć się z infekcją ransomware Zeppelin. Niestety jego poprzednik zostawił sieć w takim stanie zabezpieczeń, że kopie bezpieczeństwa także zostały zaszyfrowane. Po dwóch tygodniach zwodzenia go przez cyberzbójów, prezes był gotów skapitulować i…
Czytaj dalej »
DSB, największy operator kolejowy w Danii, w ostatni weekend musiał zatrzymać wszystkie pociągi ze względu na atak na zewnętrznego dostawcę usług IT dla kolei – firmę Supeo. Kilkugodzinny paraliż od rana w sobotę był spowodowany atakiem na platformę Digital Backpack 2, która pozwala maszynistom uzyskiwać kluczowe informacje operacyjne dotyczące zajętości…
Czytaj dalej »
Zespół MSTIC z Microsoftu zidentyfikował nową kampanię ransomware uderzającą w przedsiębiorstwa i organizacje zajmujące się transportem oraz logistyką w Polsce i na Ukrainie. Nowa rodzina ransomware przedstawia się samodzielnie jako “Prestige ranusomeware” (specjalnie z literówką) i została uruchomiona w formie kampanii od 11 października atakując w/w. firmy z przerwami na…
Czytaj dalej »
W związku z atakiem na Ukrainę o którym pisaliśmy w lutym, malware będący w posiadaniu grupy BlackCat/ALPHV ponownie narzuca kierunek rozwoju infekcji ransomware poprzez usuwanie i niszczenie plików oraz struktury organizacji zamiast jej szyfrowania. Niestety ten kierunek może szybko stać się głównym czynnikiem ataków motywowanych finansowo. Badacze z Cyderes oraz…
Czytaj dalej »
Serwery baz danych Microsoft SQL, które od początku nie mają łatwo z bezpieczeństwem, po raz kolejny stały się głównym celem nowej fali ataków ransomware. Badacze z centrum ASEC (AhnLab Security Emergency Response Center) opisali nowe zagrożenie pod nazwą FARGO (znowu badacze z Avast jednocześnie nazwali infekcję TargetCompany), które należy do…
Czytaj dalej »