Co syczy na naszym podwórku?

W Polsce temperatura w sieci rośnie szybciej niż ta za oknem. CERT Polska nie nadąża z publikowaniem ostrzeżeń, a motywem przewodnim jest wzmożona aktywność phishingowa i ryzyko płynące z łańcucha dostaw.

1. Polskie firmy na celowniku phishingowym

CERT Polska podnosi gotowość i publikuje kolejne alerty o kampaniach wycelowanych w lokalne instytucje. Choć nie mamy potwierdzonego ataku na polski sektor medtech (analogicznego do Strykera), ryzyko typu supply-chain jest realne. Tosia przypomina: jeśli Twój dostawca usług ma problem, Ty też go masz.

2. Audyt usług BPO i chmury

Polskie firmy korzystające z zewnętrznych centrów usług (BPO) oraz rozwiązań chmurowych powinny natychmiast zweryfikować konfiguracje dostępu. CERT Polska przypomina o konieczności audytowania uprawnień dla gości, szczególnie w systemach takich jak Salesforce. Tosia prycha: “Zaufanie jest dobre, ale regularny audyt dostawcy to podstawa bezpieczeństwa!”.

Globalne łowy

Na świecie dominuje destrukcja. Hakerzy przestają prosić o okup – teraz po prostu chcą patrzeć, jak świat (cyfrowy) płonie.

1. Destrukcja zamiast wyłudzeń: Atak na Stryker

Grupa Handala (powiązana z Iranem) przeprowadziła niszczycielski atak typu wiper na giganta medycznego Stryker. Co w tym nietypowego? Napastnicy nie użyli skomplikowanych exploitów, ale przejęli kontrolę nad narzędziami MDM/Intune, używając ich do zdalnego wymazania urządzeń na masową skalę. Efekt? Przestoje w dostawach medycznych i zagrożenie dla pacjentów. Tosia wystawia pazury – legalne narzędzie w rękach wroga to najgroźniejsza broń.

2. Salesforce Aura i „magnes” na wycieki

Telus Digital potwierdził naruszenie po kradzieży ok. 1 PB danych, a grupa ShinyHunters aktywnie eksploatuje błędy w Salesforce Aura Experience Cloud. Atak wykorzystuje specyficzne API (/s/sfsites/aura) przy błędnej konfiguracji dostępu dla gości. Narzędzia typu AuraInspector są modyfikowane przez hakerów do automatycznej eksfiltracji danych. Pamiętaj: chmura to koncentrator danych – jeden błąd dostawcy wystawia tysiące klientów.

3. „Logowanie zamiast włamania”

Najnowszy raport Cloudflare i dane z marcowego Patch Tuesday (gdzie Microsoft załatał 84 luki) wskazują na niepokojący trend. Atakujący coraz rzadziej szukają luk „zero-day”, a coraz częściej po prostu… logują się, używając skradzionych sesji i tokenów. Tosia ostrzega: bariera wejścia dla zaawansowanych ataków spadła drastycznie dzięki dostępności narzędzi klasy „nation-state”.

Cyber-Perełki i Anomalie

  • MDM jako broń: Wykorzystanie narzędzi do zarządzania urządzeniami mobilnymi do masowego factory-resetu to nowy poziom cynizmu. Legalne mechanizmy administracyjne stają się wektorem destrukcji.
  • Fala hacktywizmu: W ostatnim tygodniu odnotowano 149 dużych ataków DDoS i kampanii hacktywistycznych powiązanych z operacjami wojskowymi na świecie. Regiony zapalne eskalują konflikty do cyberprzestrzeni w mgnieniu oka.
  • Post-kwantowa przyszłość: Cloudflare sugeruje, że to ostatni moment na planowanie wdrożenia kluczy post-kwantowych w systemach długoterminowych. Tosia mruczy: “Lepiej ostrzyć pazury na przyszłość już teraz”.

Szybka Lista Kontrolna – 3 rzeczy do zrobienia TERAZ

  1. Sprawdź uprawnienia Guest w Salesforce: Zablokuj dostęp gości do endpointów Aura, jeśli nie jest to absolutnie niezbędne. Przetestuj swoje systemy pod kątem wycieków przez API /s/sfsites/aura.
  2. Weryfikuj polityki MDM/Intune: Ogranicz możliwość zdalnego wymazywania urządzeń do absolutnego minimum ról. Wprowadź separację uprawnień administracyjnych i ustaw alerty na masowe komendy niszczące.
  3. Zaaplikuj łatki Microsoft (Patch Tuesday): Natychmiast wdroż poprawki dla luk zero-day i wymuś MFA oraz rotację kluczy dla wszystkich kont serwisowych.

Tyle na dziś! Tosia właśnie poczuła zapach świeżo parzonej kawy (lub przegrzewającego się zasilacza – czas sprawdzić logi). Pamiętajcie, w dzisiejszych czasach nie wystarczy zamknąć drzwi na klucz, trzeba też pilnować, kto ma do nich dostęp przez chmurę.

Do usłyszenia w następny piątek!

Dołącz do naszej Społeczności na Discordzie!

Chcesz być na bieżąco z najnowszymi informacjami ze świata cyberbezpieczeństwa i pogadać o tym z innymi? KLIKNIJ, ABY DOŁĄCZYĆ DO DISCORDA