HeadFlash

Security

Szpitale, Tesla, Microsoft, nowe ransomware i FortiBleed – przegląd

Rumuńskie szpitale wracają do papieru, dokumenty Apple wyciekają, luka w Defenderze, nowe ransomware i masowe łamanie haseł Fortinet.

Posłuchaj

Atak ransomware na rumuńskie szpitale – powrót do papieru i długopisów

10 lutego 2024 roku ponad 100 rumuńskich szpitali padło ofiarą ataku ransomware z użyciem szczepu BackMyData, po naruszeniu bezpieczeństwa w firmie RSC, która dostarcza system Hippocrates. Atak zaszyfrował pliki i zażądał okupu w wysokości 160 000 euro w bitcoinach. Szef rumuńskiego DNSC nakazał odłączenie wszystkich dotkniętych szpitali od internetu, a personel medyczny przeszedł na papier i długopis, rejestrując pacjentów w Excelu i zamawiając wyniki badań na papierze. DNSC apelowało do pacjentów, aby unikali szpitali, jeśli to niekonieczne, i instruowało szpitale, by nie kontaktowały się z hakerami ani nie płaciły okupu. Śledczy ustalili, że 26 szpitali zostało zainfekowanych. Niezainfekowane szpitale przywrócono do działania z dodatkowymi zabezpieczeniami następnego dnia, a w ciągu pięciu dni większość szpitali działała niemal normalnie. Nie odnotowano zgonów ani poważnych szkód dla pacjentów, choć część danych przepadła bezpowrotnie, a wprowadzanie informacji zapisanych na papierze trwało tygodnie dłużej. Dan Cimpean skomentował, że atak mógł wydarzyć się wszędzie – im więcej technologii, tym większe ryzyko.

How 100 Romanian hospitals switched to pen and paper to defeat a national cyber-attack →

Dokumenty Apple i Tesli wyciekły po ataku na Tata Electronics

Międzynarodowa grupa ransomware włamała się do Tata Electronics, indyjskiej spółki zależnej Tata Group, która świadczy usługi produkcyjne i montażowe dla Apple i Tesli. W rezultacie wrażliwe dokumenty techniczne obu firm trafiły do dark webu. Incydent podkreśla rosnące ryzyko w łańcuchu dostaw – atak na dostawcę może ujawnić kluczowe dane klientów. Na razie nie podano szczegółów dotyczących skali wycieku ani tożsamości grupy ransomware.

Apple, Tesla documents exposed after hackers hit Tata: report →

Luka RoguePlanet w Microsoft Defender zagraża pełnym dostępem do systemu

Badacz bezpieczeństwa Nightmare Eclipse odkrył lukę zero-day w Microsoft Defender oznaczoną CVE-2026-50656, nazwaną RoguePlanet. To błąd warunków wyścigu (race condition) umożliwiający atakującym uzyskanie pełnego dostępu do systemu na w pełni załatanych Windows 10 i 11. Badacz opublikował dowód koncepcji w repozytorium Git i stwierdził, że exploit osiąga 100% skuteczności na niektórych maszynach. Microsoft potwierdził lukę jako problem podniesienia uprawnień w silniku ochrony przed złośliwym oprogramowaniem i pracuje nad aktualizacją. Dalsze informacje mają zostać opublikowane w CVE po udostępnieniu łatki.

Microsoft scrambles to patch a Defender security flaw called RoguePlanet →

Prinz Eugen – nowe ransomware atakuje najnowsze pliki i nie zostawia notatek z okupem

Ransomware Prinz Eugen szyfruje pliki w kolejności od najpóźniej modyfikowanych, dodając rozszerzenie .prinzeugen. Według analizy ThreatDown z 17 czerwca, próbka wykorzystuje szyfrowanie ChaCha20-Poly1305, kontrole integralności i niestandardowy nagłówek pliku. Obsługuje opcjonalną flagę —delete, która usuwa oryginalny plik dopiero po weryfikacji możliwości odszyfrowania kopii. W badanej próbce nie utworzono notatki z okupem, strony HTML ani zmiany tapety – po wykonaniu program zeruje klucze, uruchamia garbage collection i usuwa się. W środowisku badawczym atakujący użyli RemotePC do uruchomienia PowerShell stagerów. Zespoły IT powinny sprawdzić, kiedy wykonano ostatnią czystą kopię zapasową dla folderów modyfikowanych w ciągu ostatnich godzin, a także uzupełnić playbooki o sygnały behawioralne, takie jak szybkie zapisy plików czy masowe zmiany rozszerzeń.

Prinz Eugen Ransomware Hits Recent Files First and Skips Ransom Notes - TechRepublic →

FortiBleed: wynajęta moc GPU za grosze ujawniła dane 75 000 zapór Fortinet

Kampania FortiBleed ujawniła ważne poświadczenia dla blisko 75 000 zapór FortiGate w 21 632 domenach. Atakujący wynajęli zdecentralizowany klaster GPU przez Vast.ai, używając 36 GPU klasy enterprise zarządzanych przez bota Telegram – koszt wyniósł około 14,40 USD za godzinę, czyli poniżej 350 USD za cały dzień. Klaster przetwarzał dane za pomocą otwartego frameworka Hashtopolis, osiągając dla starszych hashów Fortinet do 720 miliardów hashów na sekundę. Uzyskane hasła posłużyły do lateralnego ruchu w stronę zewnętrznych dostawców, tworząc kaskadowy kryzys w łańcuchu dostaw. Kevin Beaumont skomentował, że szaleństwo GenAI obniżyło poprzeczkę – każdy może wynająć moc obliczeniową na godzinę. Organizacje powinny pilnie wdrożyć MFA i wymusić rotację haseł administratorów firewalli, a także przeprowadzić audyt pod kątem wycieków z infostealerów.

Supercomputing on a Credit Card From The AI Rush Enabled The Massive FortiBleed Campaign | InfoStealers →