Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

Aktualności

Analiza Sophos: Co wiemy o Log4Shell?

Security Log4ShellPróby wykorzystania luki Log4Shell najczęściej pochodziły z Rosji, USA, Chin i Europy Zachodniej - wynika z analizy przeprowadzonej przez ekspertów Sophos. Liczba udanych ataków, w ramach których skorzystano z tej podatności, była dotąd niższa niż się spodziewano, a bezpośrednie zagrożenie masowymi incydentami minęło. Jednak luka pozostanie celem cyberprzestępców przez wiele kolejnych lat. Kto może stać za atakami i jak zmienia się ich natężenie?

Najwięcej ataków przed świętami
W ciągu tygodnia od ujawnienia luki Log4Shell liczba prób jej wykorzystania zaczęła szybko rosnąć - najwięcej odnotowano między 20 a 23 grudnia. W styczniu prób ataku było znacznie mniej. Nie oznacza to jednak, że zmalał poziom zagrożenia. Początkowo próby obejmowały zarówno cyberataki z wykorzystaniem koparek kryptowalut czy ransomware, jak i działania specjalistów ds. bezpieczeństwa, którzy chcieli ocenić jak bardzo ich systemy są podatne na zagrożenia. Teraz coraz większy odsetek incydentów to prawdziwe ataki, które nadal stanowią poważne ryzyko dla firmowych systemów.

Próby głównie z USA, Rosji i Chin
Od ujawnienia luki 9 grudnia do końca 2021 roku próby wykorzystania podatności były podejmowane przede wszystkim z adresów IP pochodzących z USA, Rosji oraz Chin. Znaczny udział miały też kraje Europy Zachodniej, jak Francja i Niemcy, oraz Ameryki Łacińskiej. Na początku 2022 roku dominacja adresów IP z Rosji i Chin zaczęła się zmniejszać. Według analityków Sophos miało to związek ze spadkiem liczby ataków wykorzystujących złośliwe koparki kryptowalut, których dokonywało kilka grup z tych regionów.

"Warto zaznaczyć, że kraje, których adresy IP dominowały na początku, mają dużą liczbę mieszkańców i wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Znaczący udział Stanów Zjednoczonych czy Niemiec prawdopodobnie odzwierciedla rozwiniętą infrastrukturę centrów danych Amazon, Microsoft czy Google, które się tam znajdują. Trzeba też pamiętać, że niekoniecznie musi istnieć związek między adresami IP, z których skanowano sieć w poszukiwaniu luki, a rzeczywistą lokalizacją osób podejmujących takie działania" - wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Analiza Sophos Log4Shell Źródło ataków 12 2021

Analiza Sophos Log4Shell Źródła ataków 01-2022

Mechanizm typowego ataku wygląda tak, że zaatakowane urządzenia łączą się z serwerami przestępców, aby pobrać złośliwe oprogramowanie lub przesłać skradzione dane. W przypadku luki Log4Shell mapa takich połączeń znacząco różni się od mapy adresów IP. Najwięcej notowano ich w Indiach oraz Stanach Zjednoczonych, wysokie miejsce zajęła też Wielka Brytania, RPA czy Australia. Nie jest jasne, dlaczego akurat te kraje dominują wśród miejsc docelowych ruchu związanego z luką Log4Shell. Możliwe, że jest tam dużo grup tropiących podatności, które liczą na nagrodę za szybkie wyłapanie zagrożenia i ostrzeżenie firm.

Sophos Log4Shell Ruch Mapa

Przestępcy czekają na dobry moment
Według analityków Sophos bezpośrednie zagrożenie masowym wykorzystaniem luki Log4Shell zostało zażegnane. Powaga sytuacji zmobilizowała świat IT i skłoniła do współpracy specjalistów ds. cyberbezpieczeństwa oraz firmy oferujące usługi w chmurze czy pakiety oprogramowania. Jednak podatność może pozostawać niewykryta wewnątrz niektórych aplikacji i systemów. Prawdopodobnie pozostanie więc powszechnym celem cyberataków w kolejnych latach.

"Przestępcy mogli zabezpieczyć sobie dostęp do sieci z wykorzystaniem tej luki, ale jeszcze nie przeszli do aktywnej fazy ataku i zainstalowania złośliwego oprogramowania, więc naruszenie nadal pozostaje niewykryte. Podobne działania obserwowaliśmy ze strony grup powiązanych z Iranem czy Koreą Północną, które włamywały się do sieci przez luki w zabezpieczeniach VPN i czekały nawet kilka miesięcy zanim użyły zdobytej „furtki” do cyberataku. Jak najszybsze określenie, w których aplikacjach używana jest biblioteka zawierająca lukę i zaktualizowanie tego oprogramowania pozostaje więc kluczowe dla ochrony firm i użytkowników" - podkreśla Grzegorz Nocoń.

Źródło: Sophos

Logowanie i rejestracja