Hlavní obsah
Internet a technologie

MGM kasina kompletně ochromil ransomware útok | Security Sunday - Week 37

Foto: Midjurney AI

Vítejte u Security Sunday - Week 37, našeho týdenního shrnutí IT bezpečnosti (11. 9. - 17. 9. 2023).

Článek

MGM kasina kompletně ochromil ransomware útok.

Známý ransomware gang ALPHV (alias BlackCat) se přihlásil k vysoce destruktivnímu kybernetickému útoku na společnost MGM Resorts. Pohostinský a zábavní gigant dosud neobnovil většinu zasažených systémů.

Incident ovlivnil webové stránky MGM, kasina a systémy používané pro elektronickou poštu, rezervace v restauracích, rezervace hotelů a dokonce i digitální klíče od hotelových pokojů.

Počáteční přístup do systémů MGM Resorts získali hackeři pomocí sociálního inženýrství.

V loňském roce došlo k narušení bezpečnosti společnosti BetMGM, která je vlastněna společností MGM Resorts, a hackeři údajně ukradli informace o 1,5 milionu zákazníků.

Zdá se, že společnost MGM nebyla jediným řetězcem kasin, který byl nedávno zasažen kybernetickým útokem. Caesars Entertainment zaplatila miliony dolarů hackerům, kteří prolomili její systémy ve stejnou dobu jako MGM, a byla schopna pokračovat v normálním provozu. Společnost Caesars se k narušení přiznala ve čtvrteční zprávě pro Komisi pro cenné papíry, kde uvedla, že „externí dodavatel IT podpory“ se stal obětí „útoku sociálního inženýrství“, jehož výsledkem byla krádež citlivých údajů o členech jejího věrnostního programu.

Kritická zranitelnost GitHubu vystavuje více než 4 000 repozitářů útoku typu Repojacking

Podle nových zjištění mohla zranitelnost v systému GitHub vystavit tisíce repozitářů repojacking útoků.

„Repojacking je technika, při níž útočník převezme kontrolu nad úložištěm GitHub zneužitím logické chyby, která činí přejmenované uživatele zranitelnými,“

Namespace na GitHubu se stávají zranitelnými vůči repojackingu, když je původní uživatelské jméno změněno pomocí funkce „user rename“. Když se uživatel GitHub přejmenuje, GitHub nenastaví přesměrování pro jeho starou profilovou stránku nebo stránky Pages, ale vytvoří přesměrování pro jeho repozitáře. Bohužel se tím staré uživatelské jméno stává dostupným i pro kohokoli jiného, takže jakmile je uživatel úspěšně přejmenován, může si útočník  přivlastnit jeho staré uživatelské jméno, otevřít repozitář pod odpovídajícím názvem a zmocnit se namespace.

Chybu objevili výzkumníci ze společnosti Checkmarx a pokud by byla zneužita, mohla by být použita k převzetí kontroly nad repozitáři a k distribuci škodlivého kódu.

Chyba byla Microsoftu, jakožto správci platformy Github, nahlášena 1. března 2023 a opravena 1. září 2023.

Společnost Retool viní z narušení bezpečnosti cloudovou synchronizaci aplikace MFA Google Authenticator

Softwarová společnost Retool tvrdí, že účty 27 zákazníků cloudových služeb byly ohroženy v důsledku cíleného a vícestupňového útoku sociálního inženýrství. Vývojovou platformu společnosti Retool používají k vytváření podnikového softwaru společnosti od startupů až po podniky z žebříčku Fortune 500, včetně společností Amazon, Mercedes-Benz, DoorDash, NBC, Stripe a Lyft.

K narušení došlo 27. srpna poté, co útočníci obešli několik bezpečnostních kontrol pomocí SMS phishingu a sociálního inženýrství a kompromitovali účet zaměstnance IT. Útok použil adresu URL vydávající se za interní portál identit společnosti Retool a byl zahájen během dříve oznámené migrace přihlašovacích údajů do služby Okta.

Zatímco většina zaměstnanců ignorovala phishingovou textovou zprávu, jeden z nich kliknul na vložený phishingový odkaz, který jej přesměroval na falešný přihlašovací portál s formulářem pro vícefaktorovou autentizaci (MFA).

Společnost Retool viní z úspěchu hackerského útoku novou funkci v nástroji Google Authenticator, která uživatelům umožňuje synchronizovat kódy 2FA s jejich účtem Google. Tato funkce byla dlouho žádaná, protože nyní můžete kódy 2FA služby Google Authenticator používat na více zařízeních, pokud jsou všechna přihlášena ke stejnému účtu.

Podle společnosti Retool však tato funkce může i za závažnost srpnového narušení, protože umožnila hackerovi, který úspěšně vylákal účet Google jednoho ze zaměstnanců, získat přístup ke všem kódům 2FA používaným pro interní služby. „Díky těmto kódům získal útočník přístup k naší VPN, a co je rozhodující, k našim interním administrátorským systémům,“ uvedl Retool.

Varianta botnetu Mirai ‚Pandora‘ útočí na televizory se systémem Android TV

Byla identifikována varianta botnetu Mirai Pandora, která se zaměřuje na cenově dostupné televizory a TV boxy se systémem Android. Tato zařízení využívá jako součást botnetu k provádění útoků typu DDoS. Mirai je typ škodlivého softwaru, který jde po každodenních zařízeních, jako jsou chytré kamery a domácí routery. Převezme nad nimi kontrolu a učiní je součástí skupiny botů, které lze ovládat na dálku.

Mirai se liší tím, že napadá hlavně připojená chytrá domácí zařízení, jako jsou routery, termostaty, dětské chůvičky, a dokonce i ledničky. Dělá to tak, že se zaměřuje na jednoduchý operační systém Linux, na kterém běží mnoho těchto IoT zařízení. Mirai využívá slabin těchto chytrých zařízení a propojuje je do botnetu.

Po napadení zařízení se na pozadí spustí služba s názvem „GoMediaService“. Tato služba je následně využívána k nasazení Pandory.

Ústředním cílem této kampaně jsou cenově dostupné televizní boxy se systémem Android, například Tanix TX6 TV Box, MX10 Pro 6K a H96 MAX X3. Tato zařízení jsou vybavena čtyřjádrovými procesory od společností Allwinner a Amlogic, což je činí vhodnými pro provádění útoků DDoS.

Foto: midjourney AI

ÚNIK DAT

Foto: midjourney AI

ZRANITELNOSTI

Foto: midjourney AI

KYBERNETICKÝ ÚTOK

Máte na tohle téma jiný názor? Napište o něm vlastní článek.

Texty jsou tvořeny uživateli a nepodléhají procesu korektury. Pokud najdete chybu nebo nepřesnost, prosíme, pošlete nám ji na medium.chyby@firma.seznam.cz.

Související témata:
Ransomware

Sdílejte s lidmi své příběhy

Stačí mít účet na Seznamu a můžete začít psát. Ty nejlepší články se mohou zobrazit i na hlavní stránce Seznam.cz