jak informuje NCA, to lider LockBit, czyli niegdyś najgroźniejszej grupy operującej z Rosji, która oferowała platformę RaaS (ransomware-as-a-service) od 2019 r.
Szacuje się, że LockBit na początku 2023 był odpowiedzialny za 44% incydentów związanych z Ransomware globalnie i wymusili okupy w łącznej wysokości 91 milionów dolarów.
Ulubionym celem grupy były szpitale i firmy z branży medycznej. Przynajmniej 2110 ofiar zostało zmuszonych w jakimś stopniu do negocjacji z cyber kryminalistami.
źr. nationalcrimeagency.gov.uk
Do $10 mln nagrody za informacje
Rząd USA oferuje do $10 mln za informacje o Dimitrim, które pomogły by go złapać i aresztować.
Współpraca pomiędzy służbami a producentami może być zagrożona ze względu na szyfrowanie end-to-end (E2EE) – zaznaczają szefowie Europolu i NCA
Podczas niedawnego spotkania w Londynie, 32 szefów policji wyraziło swoje zaniepokojenie sposobem wdrażania rozwiązań do szyfrowania end-to-end, które to utrudnia prowadzenia śledztw i ochrony sfery publicznej.
Rozwiązania te zmniejszą widoczność firm na nadużycia mające miejsce na ich platformach. Brak widoczności spowoduje również trudniejszy dostęp do tych danych dla służb i ochrony, a w tym ścigania przestępców, przeciwdziałania dziecięcej pornografii, sprzedaży narkotyków, handlu ludźmi, itp.
Dyrektor Generalny NCA, Graeme Biggar mówi:
Szyfrowanie może być bardzo przydatne do ochrony obywateli przed różnymi przestępstwami. Jednak szybka adopcja szyfrowania end-to-end przez wiodące firmy technologiczne bez przemyślenia jak wpłynie to na bezpieczeństwo publiczne, zagraża obywatelom.
Nie mogą [firmy technologiczne] chronić swoich klientów, jeżeli nie widzą nielegalnych zachowań we własnych systemach. Nadużycia w stosunku do dzieci nie przestaną istnieć, tylko dlatego, że firmy przestaną patrzeć.
Pamiętajmy również o tym, że Meta już w tym momencie wykorzystuje AI i uczenie maszynowe do analizy wiadomości i czy zawierają one materiały zawierające nagość przesyłane w wiadomościach prywatnych na Instagram.
Na pozór bezpieczna funkcjonalność popularnych systemów Git CDN może służyć to ukrywania malware’u w popularnych projektach, bez alarmowania właścicieli
Hakerzy używają nieopublikowane komentarze na GitHub i GitLab do generowania linków z phishingiem, które wyglądają jakby zostały wysłane oficjalnie przez różne projekty open source.
Metoda ta została opisana przez Sergei Frankoff. Pozwala na podszycie się pod jakiekolwiek repozytorium, a właściciel repozytorium, nawet jak zauważy problem, to nie jest w stanie nic z tym zrobić.
Jak przebiega atak?
Deweloperzy często zostawiają komentarze i zgłoszenia bugów na stronach projektów Open Source (OSS). Do komentarzy można dołączyć pliki, dokumenty, zrzuty ekranu, itp.
W momencie dodania jakiegokolwiek pliku, serwisy nadają im dedykowany adres URL w poniższym formacie:
Widzicie już w czym jest problem? Podczas dodawania pliku w jakimkolwiek repozytorium, weźmy przykładowo popularny projekt QEMU, link będzie zaczynał się od https://gitlab.com/qemu-project/qemu/…/{malware}. Jeżeli wyślemy taki link do ofiary, jest znacznie większa szansa, że zostanie on otworzony, ponieważ sam adres należy do oficjalnej strony i projektu. Jeżeli projekt należy do większych firm, np. Microsoft, to systemy skanujące jedynie linki też mogą zostać oszukane.
Nie można usunąć takiego komentarza?
Można. Problem jednak polega również na tym, że nawet po usunięciu komentarza, link do pliku nadal będzie działał. Jest też możliwe w ogóle nie publikowanie komentarza, ponieważ już podczas jego pisania, plik który zostanie dodany jest od razu przesyłany do CDN-a.
LabHost to platforma phishingowa określana jako jedna z największych na świecie. Oferowała możliwość tworzenia stron podszywających się pod banki, duże organizacje i dostawców usług przede wszystkim z Kanady, USA i Wielkiej Brytanii.
