TM_362

8 3|10|2023 #362 Το FBI προειδοποίησε τις αμερικανικές εταιρείες για μια νέα τάση διττών επιθέ- σεων ransomware, η οποία αποτυπώθη- κε για πρώτη φορά – τουλάχιστον − από τον Ιούλιο του 2023. «Κατά τη διάρκεια των επιθέσεων αυ- τών, οι φορείς απειλών στον κυβερ- νοχώρο ανέπτυξαν δύο διαφορετικές παραλλαγές ransomware εναντίον εται- ρειών - θυμάτων από τις ακόλουθες πα- ραλλαγές: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum και Royal», ανέφερε το FBI. Δεν είναι πολλά γνωστά σχετικά με την κλίμακα αυτών των επι- θέσεων, αλλά όπως φαίνεται η χρονική απόσταση μεταξύ τους κυμαίνεται από 48 ώρες έως και 10 ημέρες. Μια άλλη αξιοσημείωτη αλλαγή που παρατηρείται στις επιθέ- σεις ransomware είναι η αυξημένη χρήση προσαρμοσμένης κλοπής δεδομένων, εργαλείων wiper και κακόβουλου λογισμικού για να ασκηθεί πίεση στα θύματα να πληρώσουν. Αξίζει να σημειωθεί πως τέτοιου είδους διττές επιθέσεις ransomware δεν απο- τελούν εντελώς καινούργιο φαινόμενο, καθώς παρόμοιες περιπτώσεις έχουν εντοπιστεί ήδη από τον Μάιο του 2021. Ενδεικτικά, η Sophos είχε αποκαλύψει πως ένας μη κατονομαζόμενος προμη- θευτής αυτοκινήτων είχε πληγεί από μια τριπλή επίθεση ransomware που περιλάμβανε τα Lockbit, Hive και BlackCat σε διάστημα δύο εβδομάδων, μεταξύ Απριλίου και Μαΐου 2022. Ακόμα, η Symantec είχε – και αυτή με τη σειρά της − περιγράψει μια επίθεση ransomware 3AM με στόχο ένα ανώ- νυμο θύμα, μετά από μια ανεπιτυχή προσπάθεια παράδοσης του LockBit στο δίκτυο - στόχο. Οι σύγχρονες τάσεις του ransomware από το FBI Σε σχετικό βίντεο που κυκλοφόρησε από την εταιρεία Sonar, αποτυπώνεται πως η ευπάθεια CVE-2023-37476, υψηλού κιν- δύνου με CVSS score: 7.8, στην εφαρμο- γή OpenRefine θα μπορούσε να οδηγή- σει σε απομακρυσμένη εκτέλεση κώδικα στα επηρεαζόμενα συστήματα. Η ευπά- θεια, μορφής Zip Slip, θα μπορούσε να έχει δυσμενείς επιπτώσεις στην έκδοση 3.7.3 και τις προγενέστερες. «Παρότι το OpenRefine έχει σχεδια- στεί για να εκτελείται μόνο τοπικά στη συσκευή ενός χρήστη, ένας εισβολέας θα μπορούσε – εκμεταλλευόμενος την προαναφερθείσα ευπάθεια − να εκτελέ- σει κακόβουλο κώδικα», δήλωσε ο ερευ- νητής ασφαλείας της Sonar, κος Stefan Schiller, σε μια έκθεση που δημοσιεύθη- κε την περασμένη εβδομάδα. Οι επιθέσεις της μορφής Zip Slip δύνα- ται να πραγματοποιηθούν σε δύο μέρη: ένα κακόβουλο αρχείο και έναν κώδικα εξαγωγής που δεν εκτελεί επαρκή έλεγχο επικύρωσης, ο οποίος μπορεί να επιτρέψει την αντικατάσταση αρχείων ή την αποσυ- μπίεσή τους σε μη προβλεπόμενες τοπο- θεσίες. Τα αρχεία που εξάγονται μπορούν να κληθούν είτε εξ αποστάσεως (από τον hacker) είτε από το σύστημα του χρήστη, με αποτέλεσμα την εκτέλεση εντολών στη συσκευή. Η ευπάθεια που εντοπίστηκε στο OpenRefine κινείται σε παρόμοια κα- τεύθυνση, καθώς η μέθοδος untar για την εξαγωγή των αρχείων από το αρχείο επι- τρέπει σε έναν κακόβουλο παράγοντα να γράψει αρχεία εκτός του φακέλου προο- ρισμού, δημιουργώντας ένα αρχείο με ένα αρχείο με όνομα ../../../../../tmp/pwned . Μετά την υπεύθυνη αποκάλυψη στις 7 Ιουλίου 2023, η ευπάθεια διορθώθηκε στην έκδοση 3.7.4 που κυκλοφόρησε στις 17 Ιουλίου 2023 . Πώς οι hackers εκμεταλλεύονται ευπάθεια στο OpenRefine Του Χρίστου Κρανάκη Του Χρίστου Κρανάκη