https://top.probiv.uno/attachments/mm1234567-png.138469/
Microsoft отключила протокол обмена файлами SMBv1 по умолчанию в системах, работающих под управлением последних сборок канала Windows 11 Home Dev, последних выпусков Windows или Windows Server, которые все еще поставлялись с включенным SMBv1.
SMBv1 больше не устанавливается в ОС Microsoft по умолчанию, начиная с Windows 10 версии 1709 и Windows Server версии 1709, а более новые версии Windows используют SMBv3.
Нововведение также будет внедрено по умолчанию в следующем основном выпуске Windows 11 после того, как участники программы предварительной оценки Windows смогут протестировать и оставить отзыв об изменении.
Как пояснил специалист Microsoft, изменение не повлияет на устройства, использующие SMBv1 после обновлений на месте, поскольку администраторам по-прежнему разрешено переустанавливать его.
Пользователи, заинтересованные в отключении SMBv1 на своих серверах, могут посетить данную страницу поддержки Microsoft для получения подробных инструкций.
Microsoft рекомендует администраторам отказаться от поддержки SMBv1 в своей сети с 2016 года, поскольку он не содержит дополнительных улучшений безопасности, добавленных в более новые версии протокола SMB. Усовершенствования включают проверки целостности перед аутентификацией для предотвращения MitM-атак, шифрование, блокировку небезопасной гостевой аутентификации, защиту от атак с понижением уровня безопасности и многое другое.
SMBv1 больше не устанавливается в ОС Microsoft по умолчанию, начиная с Windows 10 версии 1709 и Windows Server версии 1709, а более новые версии Windows используют SMBv3.
Нововведение также будет внедрено по умолчанию в следующем основном выпуске Windows 11 после того, как участники программы предварительной оценки Windows смогут протестировать и оставить отзыв об изменении.
Как пояснил специалист Microsoft, изменение не повлияет на устройства, использующие SMBv1 после обновлений на месте, поскольку администраторам по-прежнему разрешено переустанавливать его.
Пользователи, заинтересованные в отключении SMBv1 на своих серверах, могут посетить данную страницу поддержки Microsoft для получения подробных инструкций.
Microsoft рекомендует администраторам отказаться от поддержки SMBv1 в своей сети с 2016 года, поскольку он не содержит дополнительных улучшений безопасности, добавленных в более новые версии протокола SMB. Усовершенствования включают проверки целостности перед аутентификацией для предотвращения MitM-атак, шифрование, блокировку небезопасной гостевой аутентификации, защиту от атак с понижением уровня безопасности и многое другое.
Взлом систем Okta в январе нынешнего года оказался «намного менее существенным», чем считалось изначально, заявили в компании, сославшись на результаты расследования. Кибератака , в ходе которой хакеры смогли получить доступ к ноутбуку внешнего сотрудника техподдержки, продлилась всего 25 минут и затронула только двоих клиентов.
Инцидент произошел 21 января 2022 года, когда хакерская группировка Lapsus$ получила удаленный доступ к ноутбуку сотрудника техподдержки компании Sitel. Об утечке стало известно лишь 22 марта после появления соответствующего заявления Lapsus$.
Как показали окончательные результаты расследования, проведенного неназванной «ИБ-компанией с мировым именем», в течение 25 минут у хакеров был доступ к единственной рабочей станции инженера Sitel с доступом к ресурсам Okta. За это время они добрались лишь до двух активных клиентов в приложении SuperUser. Злоумышленникам также удалось просмотреть ограниченный объем дополнительной информации в приложениях Slack и Jira, которую нельзя использовать во вред клиентам, уверяет Okta.
Хакеры не смогли внести какие-либо изменения в конфигурацию, сбросить пароли, выдать себя за сотрудников Okta или авторизоваться в корпоративных учетных записях.
После публикации заявления Lapsus$ о взломе 22 марта Okta сообщила, что он затронул 366 клиентов. Сразу же возник вопрос, почему же компания не уведомила их об этом раньше? Примерно через неделю Okta пояснила, что не предупредила клиентов, поскольку «не знала масштабов проблемы в Sitel» и не подозревала о каком-либо риске для себя и своих клиентов.
Инцидент произошел 21 января 2022 года, когда хакерская группировка Lapsus$ получила удаленный доступ к ноутбуку сотрудника техподдержки компании Sitel. Об утечке стало известно лишь 22 марта после появления соответствующего заявления Lapsus$.
Как показали окончательные результаты расследования, проведенного неназванной «ИБ-компанией с мировым именем», в течение 25 минут у хакеров был доступ к единственной рабочей станции инженера Sitel с доступом к ресурсам Okta. За это время они добрались лишь до двух активных клиентов в приложении SuperUser. Злоумышленникам также удалось просмотреть ограниченный объем дополнительной информации в приложениях Slack и Jira, которую нельзя использовать во вред клиентам, уверяет Okta.
Хакеры не смогли внести какие-либо изменения в конфигурацию, сбросить пароли, выдать себя за сотрудников Okta или авторизоваться в корпоративных учетных записях.
После публикации заявления Lapsus$ о взломе 22 марта Okta сообщила, что он затронул 366 клиентов. Сразу же возник вопрос, почему же компания не уведомила их об этом раньше? Примерно через неделю Okta пояснила, что не предупредила клиентов, поскольку «не знала масштабов проблемы в Sitel» и не подозревала о каком-либо риске для себя и своих клиентов.
CISA потребовало от агентств Федеральной гражданской исполнительной власти исправить проблему до 10 мая 2022 года.
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предупредило, что уязвимость в компоненте службе печати Windows Print Spooler, исправленная Microsoft в феврале нынешнего года, активно эксплуатируется хакерами в реальных атаках.
Проблема (CVE-2022-22718) получила оценку в 7,8 балла по шкале CVSS и является одной из четырех уязвимостей повышения привилегий в службе печати, которые Microsoft устранила 8 февраля 2022 года.
CISA также добавило CVE-2022-22718 в свой список известных эксплуатируемых уязвимостей, требуя от агентств Федеральной гражданской исполнительной власти (FCB исправить проблемы до 10 мая 2022 года.
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предупредило, что уязвимость в компоненте службе печати Windows Print Spooler, исправленная Microsoft в феврале нынешнего года, активно эксплуатируется хакерами в реальных атаках.
Проблема (CVE-2022-22718) получила оценку в 7,8 балла по шкале CVSS и является одной из четырех уязвимостей повышения привилегий в службе печати, которые Microsoft устранила 8 февраля 2022 года.
CISA также добавило CVE-2022-22718 в свой список известных эксплуатируемых уязвимостей, требуя от агентств Федеральной гражданской исполнительной власти (FCB исправить проблемы до 10 мая 2022 года.
Самым популярным средством атаки киберпреступников остается бэкдор Beacon.
Продолжительность времени, в течение которого злоумышленники остаются незамеченными в сети жертвы, сокращается четвертый год подряд — до 21 дня в 2021 году по сравнению с 24 днями в 2020 году. Программы-вымогатели обнаруживались в среднем в течение пяти дней, тогда как прочие атаки оставались незамеченными в течение 36 дней в 2021 году по сравнению с 45 днями в 2020 году.
Однако в целом ситуация становится лучше, поскольку все больше компаний сотрудничают со сторонними фирмами, занимающимися кибербезопасностью, а государственные учреждения и ИБ-компании часто уведомляют жертв об атаках, что приводит к более быстрому обнаружению.
Согласно Mandiant M-Trends 2022, компании значительно улучшили время обнаружения киберугроз за последнее десятилетие, сократив его почти в 20 раз (с 418 дней в 2011 году до 21 дня в 2021 году). Улучшение возможностей компаний по обнаружению киберугроз значительно различалось в зависимости от региона — компании в Азиатско-Тихоокеанском регионе столкнулись с резким сокращением так называемого «времени ожидания» до 21 дня в 2021 году по сравнению с 76 днями в 2020 году. В европейских компаниях также наблюдалось значительное снижение до 48 дней с 66 дней в 2020 году, в то время как обнаружение киберугроз североамериканскими компаниями не изменилось и осталось на уровне 17 дней.
Самым популярным средством атаки киберпреступников остается бэкдор Beacon, на долю которого пришлось 28% всех выявленных видов вредоносных программ. Beacon является компонентом инструмента Cobalt Strike, который также популярен среди злоумышленников.
По словам экспертов, на использование уязвимостей и атаки через цепочку поставок приходится 54% всех атак с выявленным первоначальным вектором заражения в 2021 году, по сравнению с менее чем 30% атак в 2020 году.
Другая тенденция заключается в том, что злоумышленники все чаще нацеливаются на гибридные установки Active Directory (AD), поскольку неправильные настройки в гибридной модели идентификации, когда учетные данные и ключи синхронизируются между локальными службами AD и Azure Active Directory в облаке, приводят к повышенному риску компрометации.
Продолжительность времени, в течение которого злоумышленники остаются незамеченными в сети жертвы, сокращается четвертый год подряд — до 21 дня в 2021 году по сравнению с 24 днями в 2020 году. Программы-вымогатели обнаруживались в среднем в течение пяти дней, тогда как прочие атаки оставались незамеченными в течение 36 дней в 2021 году по сравнению с 45 днями в 2020 году.
Однако в целом ситуация становится лучше, поскольку все больше компаний сотрудничают со сторонними фирмами, занимающимися кибербезопасностью, а государственные учреждения и ИБ-компании часто уведомляют жертв об атаках, что приводит к более быстрому обнаружению.
Согласно Mandiant M-Trends 2022, компании значительно улучшили время обнаружения киберугроз за последнее десятилетие, сократив его почти в 20 раз (с 418 дней в 2011 году до 21 дня в 2021 году). Улучшение возможностей компаний по обнаружению киберугроз значительно различалось в зависимости от региона — компании в Азиатско-Тихоокеанском регионе столкнулись с резким сокращением так называемого «времени ожидания» до 21 дня в 2021 году по сравнению с 76 днями в 2020 году. В европейских компаниях также наблюдалось значительное снижение до 48 дней с 66 дней в 2020 году, в то время как обнаружение киберугроз североамериканскими компаниями не изменилось и осталось на уровне 17 дней.
Самым популярным средством атаки киберпреступников остается бэкдор Beacon, на долю которого пришлось 28% всех выявленных видов вредоносных программ. Beacon является компонентом инструмента Cobalt Strike, который также популярен среди злоумышленников.
По словам экспертов, на использование уязвимостей и атаки через цепочку поставок приходится 54% всех атак с выявленным первоначальным вектором заражения в 2021 году, по сравнению с менее чем 30% атак в 2020 году.
Другая тенденция заключается в том, что злоумышленники все чаще нацеливаются на гибридные установки Active Directory (AD), поскольку неправильные настройки в гибридной модели идентификации, когда учетные данные и ключи синхронизируются между локальными службами AD и Azure Active Directory в облаке, приводят к повышенному риску компрометации.
В результате кибератаки временно недоступными стали три крупнейших сайта – Israel TV Channel 9, Channel 11 и Channel 3.
В ночь на среду, 20 апреля, иракские хакеры атаковали целый ряд израильских СМИ, в том числе официальную телевизионную сеть. В результате кибератаки временно недоступными стали три крупнейших сайта – Israel TV Channel 9, Channel 11 и Channel 3.
«Этой ночью шиитские хакеры из Ирака устроили атаку на ряд израильских сайтов, включая 9tv.co.il. Атака заключалась в "бомбардировке запросами", которая создает критическую нагрузку на сервер и приводит к его отключению (так называемый DDoS)», – сообщается на сайте Israel TV Channel 9.
Кибератака была приурочена ко «времени гибели Касема Сулеймани», то есть к часу ночи и стала ответом на ликвидацию американцами иракского командующего подразделением «Кудс». Ответственность за атаки взяла на себя киберпреступная группировка Fariq al-Tahereh. В настоящее время атакованные сайты работают в обычном режиме.
В ночь на среду, 20 апреля, иракские хакеры атаковали целый ряд израильских СМИ, в том числе официальную телевизионную сеть. В результате кибератаки временно недоступными стали три крупнейших сайта – Israel TV Channel 9, Channel 11 и Channel 3.
«Этой ночью шиитские хакеры из Ирака устроили атаку на ряд израильских сайтов, включая 9tv.co.il. Атака заключалась в "бомбардировке запросами", которая создает критическую нагрузку на сервер и приводит к его отключению (так называемый DDoS)», – сообщается на сайте Israel TV Channel 9.
Кибератака была приурочена ко «времени гибели Касема Сулеймани», то есть к часу ночи и стала ответом на ликвидацию американцами иракского командующего подразделением «Кудс». Ответственность за атаки взяла на себя киберпреступная группировка Fariq al-Tahereh. В настоящее время атакованные сайты работают в обычном режиме.
Группировка проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года.
Специалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием нового варианта кастомного бэкдора Pteredo (Pteranodon).
Группировка, связываемая специалистами с Россией, проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года. По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.
Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.
Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.
Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).
Хотя Shuckworm является высокопрофессиональной группировкой, ее инструментарий и тактики заражения не усовершенствовались за последние несколько месяцев, что облегчило ее обнаружение и упростило методы защиты.
В настоящее время Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки.
Специалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием нового варианта кастомного бэкдора Pteredo (Pteranodon).
Группировка, связываемая специалистами с Россией, проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года. По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.
Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.
Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.
Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).
Хотя Shuckworm является высокопрофессиональной группировкой, ее инструментарий и тактики заражения не усовершенствовались за последние несколько месяцев, что облегчило ее обнаружение и упростило методы защиты.
В настоящее время Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки.
Последнее редактирование:
. Компания назвала свои пластины Kenzan Diamond.
