Полезные знания Обзор событий по кибербезопасности

MM1234567.png


ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.
image



Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.

Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.

Уязвимость CVE-2022-24040 , связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.

"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".

Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.

"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.

На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.

Эксперты по безопасности связали атаку на Parker Hannifin с группировкой вымогателей Conti.
image


Parker Hannifin, машиностроительный гигант из списка Fortune 500, сообщила, что личные данные сотрудников и их родственников могли быть скомпрометированы после взлома сетей компании.

Взломанные системы были отключены после того, как компания 14 марта 2022 года, говорится в пресс-релизе, выпущенном 13 мая. В ходе расследования было установлено, что неизвестные получили доступ к ИТ-системам Parker Hannifin в период с 11 по 14 марта. 12 мая компания начала уведомлять потенциальных жертв утечки, среди которых нынешние и бывшие сотрудники, их родственники и члены групповых планов медицинского обслуживания Parker.

Parker Hannifin заявила, что утечка данных включает в себя имена людей в сочетании с одним или несколькими номерами социального страхования, даты рождения, домашние адреса, а также номера водительских прав, паспортов США, банковских счетов и маршрутные номера, учетные данные для входа в Интернет и идентификационные номера членов плана медицинского страхования.

"Для очень небольшого числа людей утекшие файлы также включали даты страхового покрытия и оказания услуг, имена поставщиков услуг, а также медицинскую и клиническую информацию о лечении", – говорят в Parker Hannifin. "Защита информации, хранящейся в системах компании, крайне важна для Parker, и мы продолжаем предпринимать шаги по защите своих систем и данных от быстро развивающихся угроз для информации компании. Мы сожалеем о любых неудобствах или беспокойстве, которые может вызвать этот инцидент".

Новый бэкдор Saitama был использован при атаке на государственного чиновника в министерстве иностранных дел Иордании.
image



В конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.

Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.

«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».

Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.

Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.

Состояния включают в себя:
  • Начальное состояние, в котором бэкдор принимает команду запуска;
  • "Живое" состояние, в котором бэкдор соединяется с C&C-сервером, ожидая команды;
  • Спящий режим;
  • Состояние приема, в котором бэкдор принимает команды от C&C-сервера;
  • Рабочее состояние, в котором бэкдор выполняет команды;
  • Состояние отправки, в котором результаты выполнения команд отправляются злоумышленникам.

Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.

Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.

Слабые пароли – это плохо, а кибервымогательство вышло на новый уровень.
image



В последние месяцы группировка LAPSUS$ взяла на себя ответственность за громкие атаки на ряд крупных технических компаний:
  • T-Mobile (23 апреля 2022 года);
  • Globant;
  • Okta;
  • Ubisoft;
  • Samsung;
  • Nvidia;
  • Microsoft;
  • Vodafone.
Помимо этих атак, LAPSUS$ также смогла успешно провести атаку на Министерство здравоохранения Бразилии.

Но не громкие кибератаки делают группировку необычной. LAPSUS$ уникальна из-за нескольких моментов.
  • Организатор атак и несколько других предполагаемых сообщников были подростками.
  • В отличие от более традиционных хакерских групп, занимающихся распространением программ-вымогателей, LAPSUS$ крайне активна в социальных сетях.
  • Злоумышленники очень известны из-за своего подхода к эксфильтрации данных. Группировка похищала исходный код, служебную информацию и часто сливала данные в сеть.

Взлом Nvidia – отличный пример эксфильтрации данных группировкой LAPSUS$. Хакеры получили доступ к сотням гигабайт служебных данных, включая информацию о разрабатываемых компанией чипах. Но экспертов намного больше тревожит кража учетных данных тысяч сотрудников Nvidia. Точное количество украденных учетных данных неясно, различные новостные сайты сообщают разные цифры. Однако компании Specops удалось получить около 30 000 паролей, которые были скомпрометированы в результате взлома.

Атаки LAPSUS$ позволяют сделать два важных вывода, на которые компаниям следует обратить внимание.

Первый важный вывод – банды киберпреступников больше не довольствуются обычными шифровальщиками с требованием выкупа за расшифровку данных. Вместо традиционной шифровки данных, LAPSUS$ в большей степени нацелена на кибервымогательство, получая доступ к наиболее ценной интеллектуальной собственности организации и угрожая сливом информации, если не будет выплачен выкуп. Такие атаки могут нанести технологическим компаниям непоправимый ущерб, ведь в результате утечки данных конкуренты получат доступ к исходному коду продукта или данным исследований и разработок.

Несмотря на то, что до сих пор атаки LAPSUS$ были направлены в основном на технологические компании, жертвой такой атаки может стать любая организация. Поэтому все компании должны тщательно продумать способы защиты самых конфиденциальных данных от киберпреступников.

Второй важный вывод – слабые пароли делают компании гораздо более уязвимыми для атак. Слитые учетные данные Nvidia показали, что многие сотрудники использовали очень слабые пароли. Некоторые из этих паролей представляли собой обычные слова (welcome, password, September и т.д.), которые чрезвычайно восприимчивы к атакам по словарю. Многие другие пароли включали название компании как часть пароля (nvidia3d, mynvidia3d и т.д.).Один сотрудник даже использовал в качестве пароля слово Nvidia! Хотя вполне возможно, что злоумышленники использовали первоначальный метод проникновения, но гораздо более вероятно использование хакерами слабых паролей для получения доступа к нужным данным.

Чтобы предотвратить подобную атаку, компаниям стоит начать с установления правил безопасности, требующих длинных и сложных паролей. Также отличным методом защиты является создание пользовательского словаря слов или фраз, которые запрещено использовать в качестве части пароля.

Однако, самый лучший способ предотвратить использование слабых паролей – создание правил, запрещающих пользователям использовать утекшие в интернет пароли. При утечке пароля он хэшируется, и этот хэш обычно добавляется в базу данных хэшей паролей. Если злоумышленник получает хэш пароля, он может просто сравнить его с базой данных хэшей и быстро узнать пароль, не прибегая к трудоемкому перебору или взлому по словарю.
Хотите узнать побольше о группе молодых хакеров? Прочтите наши публикации про их самые громкие атаки на техногигантов.

Группировка уже провела несколько атак после ареста участников
image


14 января 2022 года в ходе спецоперации ФСБ и МВД России по запросу властей США прошли следственные действия по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. Были установлены 14 членов группы. У хакеров изъяли 426 млн. рублей, €500 тыс., $600 тыс., 20 автомобилей премиум-класса. Однако, 3 недели назад исследователи обнаружили активность серверов и блога REvil в TOR сети.

«Потенциальное возвращение REvil совпадает с завершением обсуждения вопросов кибербезопасности между США и Россией. Возможно, российские власти прекратили расследование в отношении группы или иным образом указали членам REvil на возможность возобновить свою деятельность после ареста нескольких участников в январе 2022 года», - сказал старший аналитик Digital Shadows по разведке киберугроз Крис Морган.

«Кто именно координирует возвращение REvil, неясно. Возможно, возрождению поспособствовал один из бывших участников REvil или тот, кто имеет доступ к исходному коду и инфраструктуре группы», - добавил Морган.

С момента возвращения группировки исследователи обнаружили несколько жертв атаки программы-вымогателя REvil. По словам эксперта по кибербезопасности Аллана Лиска, новые атаки кажутся не такими умелыми, как предыдущие атаки REvil.

По предположениям эксперта, возвращение может быть связано с тем, что бывшие участники используют исходный код вредоносного ПО REvil или сами организаторы группы проводят операции после длительного перерыва в работе. Согласно заявлению аналитика угроз Emsisoft Бретта Кэллоу, несколько пострадавших организаций были удалены с сайта REvil, что означает возобновление выкупа данных некоторыми компаниями.

«Время покажет, действительно ли REvil вернулась или текущую деятельность группы выполняет самозванец, стремящийся воспользоваться репутацией команды», - сказал аналитик Крис Морган.

Команда Secureworks Counter Threat Unit в понедельник опубликовала подробный разбор новой версии ПО REvil и указала, что стоящий за возвращением группы специалист имеет доступ к исходному коду и активно разрабатывает программу-вымогатель. Новый образец ПО имеет несколько примечательных функций, включая изменения в логике дешифрования строк и встроенные учетные данные, которые связывают образец с жертвой, опубликованной на сайте утечки REvil в апреле.

«Тот, кто сейчас управляет REvil, имеет доступ к исходному коду программы-вымогателя и частям старой инфраструктуры для поддержки ПО. Возможно, некоторые или все члены группы GOLD SOUTHFIELD были освобождены российскими властями и теперь они вернулись к работе. Может быть, не все члены были арестованы и возобновили операцию сами или с новыми участниками. Возможно, доверенный филиал GOLD SOUTHFIELD взял на себя управление операцией с разрешения группы. Именно так начинала сама группа GOLD SOUTHFIELD. Операторы Gandcrab, GOLD GARDEN вышли на пенсию и продали свою деятельность аффилированной группе под названием GOLD SOUTHFIELD», - сообщили в Secureworks.

По мере анализа дополнительных образцов и сравнения модификаций эксперты могут определить разработчика ПО на основании внесенных изменений и стиля кодирования. Отделу по борьбе с угрозами Secureworks известно о шести жертвах, причем четверо были размещены на сайте утечки REvil, а две жертвы были идентифицированы с помощью образцов конфигураций.

Россия может атаковать британцев через сайты "для взрослых"
image


Россия якобы работала над вредоносной программой в течение двух десятилетий, и если вирус будет выпущен, он потенциально может нанести ущерб миллионам британских устройств. Эксперты опасаются, что атака также может иметь катастрофические последствия для британской экономики.

Утверждается , что Россия разработала и может выпустить «Ковид для компьютеров» для атаки на телефоны и ноутбуки через порносайты.

Вредоносное ПО, над которым, по утверждениям экспертов, Россия работала последние два десятилетия, может заразить миллионы британских устройств.

По словам бывшего кибершпиона, российские спецслужбы ФСБ и ГРУ готовы развернуть волну кибератак против любителей клюбнички.

По сообщениям The Mirror: «Одного клика по заманчивому видео достаточно, чтобы внедрить вредоносное ПО на ваш компьютер или мобильный телефон. «Совет для безопасного киберсекса тот же, что и для настоящего секса — используйте защиту». После новостей пользователей призывают обновить программное обеспечение безопасности на своих устройствах для защиты от разрушительных атак мифических русских хакеров.

Также эксперты рекомендуют хранить всю конфиденциальную информацию на ноутбуках, не подключенных к Интернету. Так как эксперты опасаются, что атака может иметь разрушительные последствия для британской экономики.
Вредоносная программа потенциально может привести к отключению банкоматов от сети и полному отключению компьютеров, в результате чего люди не смогут проверить банковские счета.
По мнению экспертов, также могут быть отключены водоснабжение и электросети.

«Основная цель кибератаки — вызвать максимальные разрушения, замешательство, страх и хаос», — сказал он Sunday Times.

Эксперт считает , что любые такие атаки будут нацелены на «критическую инфраструктуру», такую как энергоснабжение, электричество, газ, вода и транспорт.

«Отключение электроэнергии или, скажем, потеря доступа к важным записям в больнице, к сожалению, может серьезно повлиять на нашу жизнь», — сказал он.

Это связано с тем, что в прошлом году Национальный центр кибербезопасности зарегистрировал 777 попыток взлома критической инфраструктуры, поскольку Россия, Китай, Северная Корея и Иран якобы пытались проникнуть в 40% предприятий КИИ на территории Великобритании.

Малый бизнес и люди, не разбирающиеся в киберзащите, подвергаются наибольшему риску. Дэнни Лопес, глава отдела кибербезопасности в Glasswall, сказал, что современный взаимосвязанный цифровой мир упростил выполнение изнурительных атак.
Ранее Российские хакеры Кillnet объявили кибервойну 10 странам , в т.ч. Великобритании, после неудачной DDoS-атаки на Евровидение

Сейчас сложилась ситуация, когда «взрослые люди ушли из иностранных сетей, а дети там остались».
image



Замглавы Роскомнадзора Вадим Субботин заявил о высокой эффективности блокировок иностранных соцсетей Facebook и Instagram (экстремисты, запрещены в РФ).

«По поводу довести до конца блокировки. Смотрите, эффективность самих блокировок на сетях операторов связи с нашим оборудованием стремится к 100%», — сообщил он.

Глава комиссии по защите материнства, детства и поддержке семьи Анна Кузнецова попросила ведомство найти решение по доведению блокировок этих соцсетей «до конца». Она рассказала, что сейчас сложилась ситуация, когда «взрослые люди ушли из иностранных сетей, а дети там остались».

«Если раньше там были зарегистрированы мои дети, я видела, что они там делают — публикуют контент, я была подписана на их странички, они — на мои, мы переписывались, иногда даже по каким-то делам. А сейчас я не вижу. И также другие родители — мы ушли сознательно по понятным причинам, но наши дети там. И мы не имеем сейчас возможности смотреть за тем, что сейчас происходит», — пояснила Кузнецова.

4 мая Роскомнадзор принял решение о блокировке соцсети Facebook в качестве ответной меры на блокировку аккаунтов российских СМИ, сообщили в ведомстве. 11 марта Генпрокуратура РФ Генпрокуратура потребовала признать компанию Meta «экстремистской организацией», так как накануне Meta изменила свою политику модерации, перестав удалять в некоторых странах угрозы и призывы к насилию в отношении российских военных, высказанные в Facebook и Instagram.

Ранее SecurityLab.ru провел опрос , в котором приняло участие более 5000 пользователей. 57% пользователей принципиально перестали пользоваться заблокированными соцсетями, а четверть продолжает использовать использовать запрещенные соцсети через VPN. И только 1% перестали пользоваться из-за страха понести наказание.

Власти США предупредили компании о риске найма на работу фрилансеров из Северной Кореи.
image



Правительство США призвало компании внимательнее относиться к приему сотрудников на работу, чтобы случайно не нанять IT-сотрудников из КНДР. По их словам, недобросовестные фрилансеры пользуются возможностью работать удаленно, чтобы скрыть свою настоящую личность и зарабатывать деньги для Пхеньяна, пишет Reuters.

Как сообщается в совместном уведомлении безопасности Госдепартамента, Министерства финансов и ФБР, северокорейские айтишники нанимаются на работу в американские компании, чтобы обходить санкции, введенные США и ООН в отношении КНДР, и пополнять государственную казну для финансирования ядерной и оружейной программ. Ведомства предупредили, что компаниям, нанявшим и выплачивающим зарплату таким работникам, грозят юридические последствия за нарушение санкций.

«Тысячи IT-работников из КНДР находятся как за границей, так и в самой КНДР и получают доход, отправляемый назад северокорейскому правительству. Эти IT-работники пользуются наличием спроса на определенные навыки в сфере IT, такие как разработка ПО и мобильных приложений, для подписания фрилансерских контрактов с клиентами по всему миру, включая Северную Америку, Европу и Азию», - говорится в уведомлении.

Ведомства предупредили, что северокорейские соискатели выдают себя за граждан Южной Кореи, Японии и других азиатских стран. Поэтому работодателям следует обращать внимание на такие «красные флажки», как отказ участвовать в видеозвонках и просьба получать зарплату в виртуальной валюте.

По словам американских властей, многие северокорейцы проживают в Китае и России, некоторая их часть также находится в Африке и странах Юго-Восточной Азии. Большинство получаемых ими денег уходит правительству КНДР.

Помимо получения иностранной валюты или доступа к обменным пунктам виртуальной валюты, некоторые работники помогают Пхеньяну в поддерживаемых правительством хакерских операциях. Они могут похищать данные клиентов американских и международных банков, чтобы с их помощью подтверждать свою личность на фрилансерских платформах, в платежных системах и даже компаниях-нанимателях.

Прием на работу северокорейских сотрудников «представляет много угроз, начиная от кражи интеллектуальной собственности, данных и денежных средств и заканчивая ущербом репутации и юридическими последствиями, включая санкции США и ООН», предупредили власти США.

Кампания проводилась с помощью фишингового новостного сайта
image



Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.

Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.

Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.

content-img(16).png

Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.

content-img(17).png


Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.

content-img(18).png


В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.

content-img(19).png


В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.

PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.
content-img(20).png

Основные возможности RAT заключаются в следующем:


  • Загрузка файлов с C2 сервера (Command and Control, C&C);

  • Загрузка файлов на C2 сервер;

  • Загрузка и выполнение скрипта PowerShell;

  • Выполнение определенных команд;

Malwarebytes не приводит конкретных примеров использования RAT на практике, поэтому цели кампании остаются неизвестными.

«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - в отчете.

Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно
 
Последнее редактирование:
MM1234567.png


Уязвимость в протоколе Bluetooth LE позволяет злоумышленникам заводить двигатель и проникать в салон электрокара.
image


Султан Касим Хан, консультант по безопасности из компании NCC Group, раскрыл уязвимость, позволяющую злоумышленникам проникать в салоны автомобилей Tesla и даже заводить их двигатель. Уязвимость заключается в перенаправлении связи между смартфоном или брелоком владельца Tesla и самим автомобилем. Во время демонстрации специалист использовал два небольших ретранслятора, приобретенные за 100 долларов США в обычном интернет-магазине и ноутбук со специальным ПО.

"Злоумышленник может подойти к любому припаркованному на улице автомобилю Tesla, разместить нужное оборудование и провести атаку, если телефон или брелок хозяина машины будет дома.", – сказал Хан в интервью Bloomberg. "Как только ретранслятор будет установлен рядом с брелоком или телефоном, злоумышленник сможет посылать на них команды из любой точки мира".

Уязвимость уникальна для конкретных моделей Tesla – издание Bloomberg особо отметило Model 3 и Model Y. Пока неясно, использовалась ли уязвимость для угона электрокаров в прошлом. Хан рассказал, что сообщил Tesla о уязвимости, но представители компании в своем ответе специалисту назвали проблему не настолько существенной, чтобы вносить необходимые аппаратные изменения.

Связь между смартфоном или брелком и автомобилем устанавливается с помощью технологии Bluetooth Low Energy (BLE). По словам Хана, этот протокол в прошлом использовался хакерами для получения доступа к телефонам и ноутбукам. Уязвимость показывает, что устройства "умного дома" и даже автомобили могут быть легко использованы хакерами в своих целях.

К счастью, у Tesla есть "PIN to Drive" – защита замка зажигания паролем, способная защитить машину от угона злоумышленниками. Однако неизвестно, сколько владельцев электрокаров пользуются этой функцией.

Бывшая британская колония приближается к интернет-контролю в пекинском стиле.
image


Власти Гонконга обдумывают, стоит ли ограничивать публичный доступ к службе обмена сообщениями Telegram, сообщает Sing Tao Daily.

Уполномоченный по конфиденциальности персональных данных впервые рассматривает возможность применения правил для ограничения доступа к платформе из-за якобы широкого распространения в мессенджере доксинга. Газета со ссылкой на неустановленных лиц сообщила, что широко распространенный доксинг — или онлайн-разоблачение конфиденциальных и личных данных — был направлен как на правительственных чиновников, так и на граждан.

Эксперты считают, что блокировка мессенджера и аналогичные решения местных властей приведут к полному контролю государства над Интернетом, как это реализовано в Китае. В Гонконге впервые начали обсуждать ограничения доступа к глобальной сети в 2020 году, тогда район принял закон о национальной безопасности. Данное событие состоялось на фоне протестов 2019-2020 годов.
За последние годы властям Гонконга удалось подавить продемократические движения, однако они до последнего избегали ограничений Интернета. Точно неизвестно, каким образом администрация будет осуществлять блокировку сайтов и приложений, поскольку для этого властям потребуется сотрудничество с местными операторами. Вероятно, чиновники полностью ограничат доступ к Интернету или заставят удалить сервисы из магазинов. Гонконг уже принимал меры по борьбе с доксингом в 2019 году, тогда протестующие опубликовали сведения о полицейских и чиновниках. В сентябре прошлого года административный район ужесточил закон о конфиденциальности данных для предотвращения утечек. Данное событие вызвало беспокойство крупных технологических компаний.

Дроппер распространяет рекламное ПО, а также обходит систему защиты Gatekeeper.
image


Новая версия UpdateAgent была замечена в дикой природе, что говорит о попытках авторов обновить функционал вредоноса и заразить как можно больше пользователей macOS.

"Одной из наиболее заметных особенностей вредоносной программы является использование инфраструктуры AWS (Amazon Web Services) для размещения полезных нагрузок и обновления статуса заражения на сервере.", – говорится в отчете исследователей из Jamf Threat Labs.

Троян UpdateAgent, впервые обнаруженный в конце 2020 года, превратился во вредоносный дроппер, способный обходить систему защиты macOS Gatekeeper и распространять рекламное ПО. Новая версия вредоноса написана на Swift, маскируется под исполняемые файлы Mach-O с названиями " PDFCreato r" и " ActiveDirectory ", которые после запуска устанавливают соединение с удаленным сервером злоумышленников и получают bash-скрипт для выполнения.

Bash-скрипты под названиями " activedirec.sh " и " bash_qolveevgclr.sh ", включают URL, указывающий на ведра Amazon S3 для загрузки и запуска файла образа диска (DMG) на скомпрометированной хакерами конечной точке.

В заключении отчета исследователи предупредили о том, что авторы продолжают обновлять свое вредоносное ПО, пытаясь заразить им как можно больше пользователей.

Также обновление получили и актуальные модели
image


NVIDIA выпустила обновление безопасности для широкого спектра моделей видеокарт, устраняющее четыре критические уязвимости и шесть уязвимостей средней степени опасности в своих драйверах графического процессора.

Обновление устраняет проблемы безопасности в более ранних версиях драйверов, которые могут привести к «отказу в обслуживании, раскрытию информации или подделке данных».



Nvidia также выпустила обновление безопасности для графических процессоров серии Kepler, которые больше не поддерживаются производителем. Компания прекратила обслуживание большинства продуктов серии GTX 600 и GTX 700 Kepler в 2021 году. Первые видеокарты на базе Kepler были выпущены Nvidia в 2012 году. Устаревшие модели по-прежнему можно использовать, но Nvidia больше не будет выпускать драйверы Game Ready для неподдерживаемых продуктов .

В бюллетене по безопасности перечислены в общей сложности десять уязвимостей в драйверах дисплея графического процессора Nvidia. Большинство из них представляют собой уязвимости на уровне режима ядра на устройствах Windows и Linux, в то время как некоторые решают проблемы безопасности в драйвере пользовательского режима DirectX11 в Windows или уязвимости на уровне ECC.

Обновления доступны для программных продуктов Tesla, RTX/Quadro, NVS, Studio и GeForce, охватывая ветки драйверов R450, R470 и R510.
477809da7b4ee8c172d7c38033586f70.png

Исправлены CVE для каждой ветки драйвера (NVIDIA)

В этом месяце были исправлены четыре опасные уязвимости:
  • CVE-2022-28181 (оценка CVSS v3: 8,5) — запись за пределами границ на уровне режима ядра, вызванная специально созданным шейдером, отправленным по сети, что может привести к выполнению кода, отказу в обслуживании, повышению привилегий, информации. разглашение и фальсификация данных.
  • CVE-2022-28182 (оценка CVSS v3: 8,5) — ошибка в драйвере пользовательского режима DirectX11, позволяющая неавторизованному злоумышленнику отправлять специально созданный общий ресурс по сети и вызывать отказ в обслуживании, повышение привилегий, раскрытие информации и фальсификацию данных.
  • CVE-2022-28183 (оценка CVSS v3: 7,7) — уязвимость на уровне режима ядра, когда непривилегированный пользователь может вызвать чтение за пределами границ, что может привести к отказу в обслуживании и раскрытию информации.
  • CVE-2022-28184 (оценка CVSS v3: 7,1) — Уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DxgkDdiEscape, где непривилегированный пользователь может получить доступ к регистрам с привилегиями администратора, что может привести к отказу в обслуживании, раскрытию информации и фальсификации данных.
Для обнаруженных уязвимостей требуются низкие привилегии и отсутствие взаимодействия с пользователем, поэтому они могут быть встроены в вредоносное ПО, позволяя злоумышленникам выполнять команды с более высокими привилегиями.
Первые две можно использовать по сети, а остальные - с локальным доступом, что может быть использовано вредоносным ПО, заражающего систему с низкими привилегиями.
Cisco Talos, обнаружившая CVE-2022-28181 и CVE-2022-28182, также сегодня опубликовала сообщение с подробным описанием того, как они вызвали уязвимости повреждения памяти, предоставив искаженный вычислительный шейдер.
Поскольку злоумышленники могут использовать вредоносный шейдер в браузере с помощью WebAssembly и WebGL, Талос предупреждает, что злоумышленники могут удаленно эксплуатировать обнаруженную уязвимость.

Для получения более подробной информации обо всех исправлениях и каждом программном и аппаратном продукте, рассмотренном в этом месяце, ознакомьтесь с бюллетенем по безопасности NVIDIA .

Всем пользователям рекомендуется как можно скорее применить выпущенные обновления безопасности. Пользователи могут загрузить последнюю версию драйвера для своей модели графического процессора из центрального раздела загрузки NVIDIA, где они могут выбрать конкретный продукт и ОС, которые они используют.

Обновления также можно применять через пакет NVIDIA GeForce Experience.

Однако, если вам не нужно специальное программное обеспечение для сохранения игровых профилей или использования функций потоковой передачи, мы рекомендуем не использовать NVIDIA GeForce Experience, поскольку программа создает ненужные риски для безопасности и использует лишние ресурсы.

Ранее специалисты майнинговой площадки NiceHash смогли полностью взломать антимайнинговую защиту видеокарт Nvidia GeForce RTX 30 LHR.

Также напомним, что компания NVIDIA пострадала от кибератаки хакеров LAPSUS$, которые получили доступ к сотням гигабайт служебных данных, включая информацию о разрабатываемых чипах. Также группировка смогла украсть учетные данные тысяч сотрудников Nvidia.

Новая группа хакеров с вероятным азиатским происхождением, атакует российскую космическую индустрию, используя ранее неизвестное вредоносное ПО.
image


Экспертный центр безопасности Positive Technologies ( PT Expert Security Center , PT ESC) обнаружил новую киберпреступную группировку . В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на данный момент неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, — госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.
По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали в PDB 1-путях.

В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры.

По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трех различных регионах.

Особый интерес представляет инструментарий Space Pirates, который состоит из уникальных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров 2, таких как MyKLoadClient, BH_A006 и Deed RAT.

«Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, — рассказал Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. — Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере».

В арсенале Space Pirates есть и хорошо известное ВПО: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл 3 ReVBShell . Также атакующие применяют билдер 4 Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, встречаемые главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.

Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов Positive Technologies, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.

«В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам», — комментирует Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.
Ключевые связи Space Pirates c известными APT-группировками, семействами ВПО и фрагментами сетевой инфраструктуры
Экспертный центр безопасности Positive Technologies продолжает отслеживать активность Space Pirates и ее связи с другими APT-группировками.

  1. Репозиторий для хранения информации, необходимой для запуска программ в режиме отладки.
  2. Вредоносная программа, которая позволяет получить несанкционированный доступ к данным или удаленному управлению ОС.
  3. Часть кода, встроенного во вредоносную программу, который передает управление командному процессору после заражения целевой системы жертвы.
  4. Программа для создания вредоносных файлов, эксплуатирующих уязвимости и (или) запускающих вредоносное ПО.
 
Последнее редактирование:
MM1234567.png


85% специалистов осознают последствия атак критической инфраструктуры
image


Согласно отчету компании DNV, в течение двух лет на энергетические компании мира ожидаются активные кибератаки, которые вызовут значительные сбои в работе. Отчет « The Cyber Priority » содержит рекомендации по избежанию дорогостоящих последствий кибератак.
По мнению более 85% специалистов сферы энергетики, возобновляемых источников энергии и нефтегазового сектора, кибератака на отрасль может привести к остановке работы, повреждению энергетических активов и критической инфраструктуры.

По словам управляющего директора DNV по кибербезопасности Тронда Сольберга, энергетические компании занимаются кибербезопасностью уже несколько десятилетий.

«Обеспечение безопасности операционных технологий (operational technology, OT), которые включают в себя вычислительные и коммуникационные системы, управляющие, отслеживающие и контролирующие промышленные операции, является новой и актуальной задачей для сектора. Поскольку операционные технологии подключены к IT-системе, злоумышленник может получить доступ к управлению критически важной инфраструктурой - электрические сети, ветряные электростанции, трубопроводы и нефтеперерабатывающие заводы», - сказал Сольберг.

«Согласно нашему исследованию, энергетическая отрасль осознает угрозу безопасности OT, и для борьбы с ней необходимо принять надежные меры», - добавил Сольберг.

47% специалистов в области энергетики уверены в безопасности OT- и ИТ-систем. Однако, 6 из 10 респондентов из числа руководителей высшего звена в опросе DNV признают, что их организация сейчас более уязвима для атак, чем когда-либо. Кроме того, некоторые компании придерживаются подхода «подождать, посмотреть и надеяться на лучшее» для устранения угрозы.

44% респондентам высшего звена необходимо срочно улучшить киберзащиту в ближайшие несколько лет для предотвращения опасной атаки на бизнес. Более 35% специалистов в области энергетики говорят, что их компаниям придется пострадать от кибератаки, чтобы понять необходимость увеличения защиты и инвестирования в кибербезопасность.

По предположениям DNV, одним из объяснений нерешительности некоторых компаний выделить средства на кибербезопасность может быть то, что организациям удавалось избегать крупных кибератак. А по мнению 22% специалистов, их фирмы подвергались взлому за последние пять лет.

«Вызывает тревогу тот факт, что некоторые энергетические компании надеятся на лучшее с точки зрения кибербезопасности и не противодействуют возникающим угрозам», - добавил Солберг.

Компания DNV порекомендовала предприятиям и поставщикам оборудования соответствовать надежным стандартам кибербезопасности, регулярно выявлять и устранять уязвимости в системе. Также компаниям следует инвестировать в обучение персонала для лучшей защиты и отражения атак.

Последние десять лет в киберпреступном мире происходит так называемый феномен «прыжка» (leapfrogging).
image



Первые выстрелы в украинско-российском конфликте были сделаны не из огнестрельного Орудия, а при помощи компьютерной клавиатуры. В современном мире киберпространство является полноценным местом проведения боевых действий, а APT-группы ничем не отличаются от солдат.

Россия отошла от стандартных норм ведения войны в 2008 году, устроив кибератаки на сайты и интернет-инфраструктуру Грузии, как в свое время сообщало издание Small War Journal. Инцидент считается первой в истории координированной кибератакой, синхронизированной с военными действиями в реальном мире.

В современном мире директоры по информационной безопасности должны быть уверенными в том, что их организации способны отслеживать, мониторить и устранять угрозы, исходящие из множества фокальных точек. Сейчас серьезную угрозу представляют не только известные APT-группы, но и среднестатистические киберпреступники.

В последнее время все чаще встречаются заявления проукраинских киберпреступных группировок об удачных атаках на российские организации и даже российские киберпреступные группировки, атакующие западную инфраструктуру. Бегло ознакомившись с профилями и Telegram-каналами этих группировок в Twitter, легко понять, насколько структурированными они являются и как слаженно работают.

Как объяснить это массовое включение киберпреступников в кибервойну между государствами? Было бы просто сказать, что всему виной появление новых технологий. Однако дело не только в этом. Смещение фокуса киберпреступников глубоко связано с изменениями во внутренней динамике самого киберпреступного мира.

Последние десять лет в киберпреступном мире происходит так называемый феномен «прыжка» (leapfrogging), когда организация-последователь опережает («перепрыгивает») организацию-конкурента и становится лидером в отрасли. «Прыжок» предполагает обход стандартного поэтапного пути развития, когда государство, предприятие или отдельное лицо умело пользуется открывшимися возможностями и инновациями для ускорения развития и быстрого занятия лидирующей позиции.

Киберпреступное подполье предоставляет хакерам большое количество возможностей для «прыжка». В частности, новые игроки могут пользоваться инструментами и сервисами, разработанными их более опытными коллегами, и с их помощью проводить сложные кибератаки, которые ранее можно было осуществлять, только пройдя поэтапное развитие и нарастив достаточно опыта.

Спрос на подобные инструменты побуждает все больше и больше хакеров предлагать новые сервисы по разным бизнес-моделям. Одними из самых популярных сервисов в настоящее время являются брокеры начального доступа, ежедневно продающие другим киберпреступникам доступ к тысячам взломанных сетей.

Всего за $10 можно купить доступ к сетям одной организации и закрепиться в ее системах без необходимости взламывать их самостоятельно. Отдавая часть процессов на аутсорс, рядовые хакеры могут разом перепрыгнуть несколько этапов и приблизить свои атаки по уровню к атакам APT-групп.

По мере появления у обычных киберпреступников возможностей, не уступающих APT, все больше группировок оказываются всего на расстоянии одного клика от серьезных хакеров, финансируемых правительствами, и приобретают статус квази-APT.

В течение нескольких следующих месяцев Cloudflare запустит в своей глобальной сети узлы валидации Ethereum.
image



Одна из крупнейших в мире компаний в области доставки контента и защиты от DDoS-атак Cloudflare продолжает экспериментировать с Web3. На этот раз объектом для новых экспериментов была избрана сеть proof-of-stake, и начнет компания с Ethereum.

Как сообщается в блоге компании, в течение нескольких следующих месяцев Cloudflare запустит в своей глобальной сети узлы валидации Ethereum. Эти узлы будут играть роль тестовой площадки для исследований в области повышения энергетической эффективности, управления целостностью и скорости сети.

В Cloudflare считают, что технологии блокчейна войдут в историю интернета в долгосрочной перспективе и помогут сделать подобные сети децентрализованными.

«Запуск в нашей сети узлов валидации в экосистеме Ethereum позволяет нам предложить еще большую географическую децентрализацию в таких местах, как EMEA, LATAM и APJC, и в то же время добавить инфраструктурную децентрализацию в сеть», – говорится в блоге компании.

Эксперименты будут продолжаться вплоть до так называемого «слияния» (The Merge) – изменения в механизме консенсуса в сети Ethereum, которое состоится в нынешнем году.

Cloudflare полностью поддерживает концепцию сетей proof-of-stake благодаря их меньшему энергопотреблению по сравнению с сетями proof-of-work. Как заявляют в компании, «для обеспечения работы узла валидации в сети proof-of-stake требуется в разы меньше электроэнергии, чем для майнера в сети proof-of-work».

По мнению компании, сети proof-of-work наподобие Bitcoin потребляют слишком много ресурсов, поскольку для механизмов консенсуса proof-of-work требуются большие объемы электроэнергии. Сама Cloudflare никогда не запускала и не запустит в своей сети инфраструктуру proof-of-work.

Помимо экспериментов с узлами валидации Ethereum компания также упомянула еще об одном механизме консенсуса под названием proof-of-spacetime. Этот консенсус используется децентрализованной сетей хранилищ Filecoin. Не исключено, что Cloudflare намерена включить сеть в свои будущие эксперименты.

Proof-of-stake или доказательство доли владения – способ защиты в криптовалютах. Заключается в том, что вероятность формирования участником очередного блока в блокчейне пропорциональна доле, которую составляют принадлежащие ему расчетные единицы данной криптовалюты от их общего количества. Данный метод является альтернативой методу подтверждения выполнения работы (PoW), при котором вероятность создания очередного блока выше у обладателя более мощного оборудования.

Так считает вице-президент по IT Тинькофф банка Вячеслав Цыганов.
image



Кибератаки в настоящее время направлены на нарушение функционирования финансового сектора, хотя ранее они были нацелены на похищение денег. Об этом заявил вице-президент по IT "Тинькофф банка" Вячеслав Цыганов в ходе Российского интернет форума.

"Кибербезопасность - очень интересный рынок, он будет очень сильно расти. Уровень кибератак сейчас критический, по нашей статистике кибератаки выросли в 20-30 раз. Атаки стали целевыми и очень сложными, и заточены на финансовый сектор. Раньше атаки были нацелены на похищение денег, а сейчас они нацелены на нарушение трудоспособности сектора", - сказал Цыганов.

В марте Дмитрий Медведев заявил, что количество атак на РФ в интернет возросло тысячекратно после начала "спецоперации". По его словам, особого внимания требует нейтрализация попыток различного рода радикальных сил использовать интернет, в том числе для разжигания межнациональной и социальной вражды.

Дмитрий Песков заявил по поводу кибератак, что «Российская Федерация, в отличии от многих западных стран, в том числе и США, бандитизмом на государственном уровне не занимается».

В марте глава "Ростелекома" Михаил Осеевский в ходе расширенного заседания комитета Госдумы по информационной политике, информационным технологиям и связи отметил, что кибератаки на российские информационные ресурсы становятся все более разнообразными, и добавил, что ситуация сложная, но управляемая.

Большая часть уязвимых серверов находится в США, остальные – в Западной Европе, Юго-Восточной Азии и Австралии.
image



После очередного ежедневного сканирования пространства IPv4 по портам 443 и 6443 в поисках IP-адресов, которые отвечают статусом HTTP 200 OK, ShadowServer обнаружил 381 645 экземпляров API Kubernetes, ответивших "200 OK", что говорит об успешном выполнении запроса. Это не говорит о полном отсутствии защиты у серверов, но организация считает, что они представляют собой неоправданно открытую поверхность для атак злоумышленников.

По данным ShadowServer, более половины уязвимых экземпляров находятся в США, многие из них также были обнаружены в Западной Европе, Юго-Восточной Азии и Австралии. Проведенное организацией сканирование также показывало версию Kubernetes (наиболее популярными оказались версии с 1.17 по 1.22) и платформу (на Linux/amd64 пришлось подавляющее большинство открытых экземпляров).

Пользователи, подписанные на рассылку ShadowServer, получат данные об открытых экземплярах Kubernetes в их сети абсолютно бесплатно. Подписчикам, получившим уведомления об открытых экземплярах API, специалисты рекомендуют ознакомиться с официальным руководством по обеспечению безопасности доступа к API Kubernetes.

Для компрометации серверов используется утилита sqlps.exe
image



Во вторник компания Microsoft сообщила о обнаружении активной хакерской кампании, использующей исполняемый файл PowerShell целевых SQL-серверов для закрепления во взломанных системах. Новые атаки с методом полного перебора отличаются от старых использованием утилиты sqlps.exe , как сообщила компания в официальном Twitter-аккаунте. Цели и организаторы вредоносной кампании неизвестны. Microsoft отслеживает вредоносное ПО под названием SuspSQLUsage .

Утилита sqlps.exe по умолчанию поставляется со всеми версиями SQL Servers и позволяет SQL Agent (службе для выполнения запланированных задач) запускать задания с помощью подсистемы PowerShell.

"Злоумышленники пытаются закрепиться в системе без сторонних файлов, вызывая утилиту sqlps.exe – оболочку PowerShell для запуска встроенных в SQL команд. После этого хакеры выполняют разведку и изменяют режим запуска службы SQL на LocalSystem.", – отметили в Microsoft.

Кроме того, злоумышленники были замечены в использовании sqlps.exe для создания новой учетной записи с правами системного администратора . что позволяет получить полный контроль над SQL-сервером.

Это уже не первый случай, когда злоумышленники пользуются LotL-атакой для достижения своих гнусных целей.

Атака Living of the Land (LotL) – это атака с использованием легитимных файлов, процессов и функций целевой системы. Ее преимуществом является отсутствие каких-либо сторонних файлов, ведь злоумышленники просто сливаются с обычной сетевой активностью и административными задачами, получая возможность скрываться в системе на протяжении очень долгого времени..

"Использование столь необычного исполняемого файла в LotL-атаке подчеркивает важность получения полной информации о поведении скриптов во время их выполнения.", – подвела итоги Microsoft.

Cryware – новый удобный термин или ненужный жаргон?
image



Microsoft ввела новый термин во вторник, рассказывая о вредоносном ПО для кражи криптовалют. "Cryware – это инфостилеры, которые собирают и извлекают данные из горячих криптокошельков", – написала компания в своем блоге. "Горячие кошельки могут постоянно оставаться в сети и контролируются непосредственно пользователем, а не третьей стороной, например, криптовалютной биржей".

Цель у Microsoft благородная – при помощи нового термина предупредить обычных пользователей о вредоносных программах, способных красть данные их криптокошельков. Однако некоторые представители сообщества кибербезопасности приняли "cryware" в штыки.

"Отделы маркетинга вышли из-под контроля", – написала в Twitter журналистка Ким Зеттер.

Другие специалисты отмечают, что в заявлении Microsoft нет ничего нового: вредоносные программы, способные похищать информацию о криптокошельках с пользовательских устройств, существуют уже много лет.

"Пожалуйста, прекратите придумывать новые классификации вредоносных программ. Многие и так запутались.", – написал Лоуренс Абрамс, главный редактор BleepingComputer. А исследователь безопасности Avast Мартин Хрон добавил : "Это пример бесцельного выжимания последней капли из темы. Нам нечего опубликовать на этой неделе? Давайте придумаем какой-нибудь новый термин".

Это не первый случай, когда сообщество специалистов по кибербезопасности придумывает новый термин для описания угроз, связанных с криптовалютами. Например, в 2017 году появился термин криптоджекинг. Он используется для описания сервисов или вредоносных программ, способных незаметно добывать криптовалюту на устройстве жертвы.
Но несмотря на колкие заявления некоторых экспертов, в содержится много полезной информации о вредоносном ПО в сфере криптовалют. Специалисты компании уделили особенно много внимания атаке с использованием функции буфера обмена, используемой для подмены адреса криптокошелька жертвы на адрес криптокошелька злоумышленника.

После кибератаки на онлайн-компании США ФБР выпустило рекомендации по защите платежных систем магазинов
image


Онлайн-компании США подверглись кибератаке, которая внедрила вредоносный PHP-код на страницу оформления заказа и совершила эксфильтрацию данных на сервер управления и контроля (Command and Control, C2), подделанный под сервис обработки платежа.

О кибератаке сообщила ФБР в опубликованном уведомлении , в котором подробно описывается атака, начавшаяся в сентябре 2020 года. Помимо сбора данных кредитных карт, киберпреступник модифицировал код страницы оформления заказа для доступа к системе компании. ФБР указало признаки компрометации и предоставило меры по смягчению угрозы, включая регулярное обновление ПО, внедрение многофакторной аутентификации и сегментацию сети.

«Постоянная проверка и мониторинг кибербезопасности является обязательным в наши дни. Если основы безопасности ненадежны, то любая дополнительная защита бесполезна», - сказал Директор по информационным технологиям Cyvatar Дэйв Кандифф.

«Учитывая риск атаки на цепочку поставок, предприятиям важно не ограничиваться инструментами безопасности сервера, например, статическим анализом кода, внешними сканерами и ограничениями CSP», - заявил старший директор по управлению продуктами в PerimeterX Кунала Модасия.

Вице-президент Shared Assessments Рон Брэдли назвал организации, работающие с данными кредитных карт, «одной из жемчужин короны мошенников» и порекомендовал компаниям внедрить на свой сайт мониторинг целостности файлов (File Integrity Monitoring, FIM) для защиты платежных данных.

Недавно ФБР совместно с агентствами кибербезопасности нескольких стран опубликовало рекомендации по усилению кибербезопасности пользователей и указала частые ошибки киберзащиты, которые могут позволить злоумышленнику провести атаку и украсть личные данные.

Также ФБР предупредило организации США о большом риске при приеме на работу сотрудников из КНДР .

По словам компании, никакого другого ущерба, помимо остановки online-сервисов, зафиксировано не было.
image



Бразильский конгломерат электронной коммерции Americanas.com сообщил о многомиллионном ущербе, причиненном кибератаками ранее в нынешнем году.

Компания потеряла 923 млн бразильских долларов ($183 млн) в продажах в результате двух кибератак, имевших место 19-20 февраля и «заморозивших» ее коммерческие операции. Физические магазины продолжали работать, а логистическое подразделение доставляло заказы, сделанные после инцидентов.

Операции начали постепенно возобновляться с 23 февраля, а уже 24 восстановились полностью. По словам компании, никакого другого ущерба, помимо остановки online-сервисов, зафиксировано не было, пишет ZDNet.

Ответственность за кибератаки на Americanas лежит на нашумевшей киберпреступной группировке Lapsus$, которая также атаковала Министерство здравоохранения Бразилии в декабре 2021 года, в результате чего стали недоступны данные о дате прохождения вакцинации против COVID-19 миллионами бразильцев.

По прогнозам аналитической компании IDC, в нынешнем году расходы на IT в Бразилии составят порядка $1 млрд, что на 10% больше по сравнению с 2020 годом.

Несколько стран написали рекомендации по усилению кибербезопасности пользователей
image


Агентства кибербезопасности США, Канады, Новой Зеландии, Нидерландов и Великобритании, а также АНБ и ФБР опубликовали рекомендацию по кибербезопасности , чтобы привлечь внимание пользователей к плохой защите, слабому контролю и другим ошибкам кибергигиены, используемые злоумышленниками для получения доступа к системе жертвы. Рекомендация также включает методы укрепления защиты организаций.

«Пока существуют дыры в безопасности, злоумышленники будут продолжать их использовать. Мы призываем устранить эти недостатки, внедрив рекомендуемые надежные методы защиты», - сказал директор АНБ по кибербезопасности Роб Джойс.

Рекомендация содержит 10 основных ошибок безопасности, которые могут быть использованы для кибератаки:
  • Не применяется многофакторная аутентификация. Многофакторная аутентификация , особенно для удаленного доступа к рабочему столу, может помочь предотвратить захват учетной записи.
  • Неправильные настроенные пользовательские права. Неправильные конфигурации привилегий могут позволить неавторизованным пользователям или системным процессам получить доступ к объектам.
  • Не обновляется программное обеспечение. Программное обеспечение с уязвимостями может позволить злоумышленнику использовать недостатки и получить доступ к конфиденциальной информации, запустить DoS атаку или получить контроль над системой.
  • Использование конфигураций по умолчанию. Многие продукты поставляются «из коробки» с настройками по умолчанию, чтобы сделать программу удобной для пользователя и сократить время устранения неполадок. Пользователю необходимо уменьшить конфигурации и разрешения нового продукта.
  • Отсутствуют средства защиты удаленных служб. В последние годы были замечены атаки удаленных служб и VPN сервисов .
  • Использование ненадежных паролей. Злоумышленник может использовать множество методов для подбора слабых или скомпрометированных паролей и получения несанкционированного доступа к системе жертвы.
  • Отсутствие защиты облачных сервисов. Неправильно настроенный облачный сервис является распространенной целью для киберпреступника. Плохая конфигурация может привести к краже конфиденциальных данных и криптоджекингу .
  • Открытые порты и неправильно настроенные службы становятся доступными для Интернета и позволяют киберпреступнику использовать инструменты обнаружения открытых портов для дальнейшей атаки.
  • Неспособность обнаружить или заблокировать попытки фишинга. Злоумышленник может отправить электронное письмо с вредоносным макросом в виде документа Microsoft Word или Excel файла для заражения устройства жертвы.
  • Отсутствие обнаружения конечной точки. Субъект угрозы может использовать вредоносный сценарий и PowerShell атаку, чтобы обойти защиту и запустить атаку на целевое устройство.
Отчет также содержит краткий список надежных методов защиты, включая:
  • Использование контроля доступа;
  • Применение многофакторной аутентификации;
  • Изменение паролей;
  • Централизованное управление журналами безопасности;
  • Использование антивирусных программ;
  • Внедрение систем обнаружения и предотвращения вторжений.
Организациям также рекомендуется регулярно обновлять ПО и следить за тем, чтобы общедоступные службы использовали безопасные конфигурации.

Ранее агентства кибербезопасности США, Великобритании, Австралии и Канады выпустили второе предупреждение об увеличении числа кибератак на сервисные компании (Managed Service Providers, MSP).

Хакеры проводят миллионы атак, используя уязвимость WordPress-плагина Tatsu Builder.
image



Злоумышленники массово используют уязвимость удаленного выполнения кода в WordPress-плагине Tatsu Builder, который установлен примерно на 100 000 сайтов. Tatsu Builder – это популярный плагин, который предлагает мощные инструменты редактирования шаблонов, интегрированные прямо в веб-браузер. По оценкам специалистов, до 50 000 сайтов все еще используют уязвимую версию плагина, хотя патч с исправлением был доступен с начала апреля. Первые массированные атаки начались 10 мая 2022 года и достигли своего пика через четыре дня.

Уязвимость CVE-2021-25094 позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (устаревшими считаются все сборки до 3.3.12). Уязвимость была обнаружена независимым исследователем Мишелем Винсентом, который публично заявил о ней 28 марта 2022 года и проверки концепции эксплоита. Разработчик плагина исправил уязвимость в версии 3.3.13 и 7 апреля 2022 года призвал пользователей как можно скорее применить исправление безопасности.

Компания Wordfence предлагает решения для обеспечения безопасности плагинов WordPress и отслеживает текущие атаки. По оценкам исследователей, от 20 000 до 50 000 сайтов используют уязвимую версию Tatsu Builder. Wordfence сообщает, что 14 мая 2022 года остановила 5,9 миллионов атак на своих клиентов. Спустя пару дней количество атак снизилось, но хакеры даже сейчас продолжают использовать уязвимость.

Атака проходит так: злоумышленники пытаются внедрить вредоносный дроппер под именем .sp3ctra_XO.php и MD5-хэшем 3708363c5b7bf582f8477b1c82c8cbf8 в подпапку каталога "wp-content/uploads/typehub/custom/" и сделать его скрытым файлом.

Wordfence сообщает , что более миллиона атак проводилось с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. Специалисты рекомендуют пользователям плагина эти IP-адреса в черный список и обновить Tatsu Builder до версии 3.3.13, чтобы избежать риска атаки.

Ранее мы писали про уязвимость в другом WordPress-плагине Elementor. Она появилась в версии плагина 3.6.0 и затронула около 500 тысяч сайтов.
 
Последнее редактирование:
MM1234567.png


Об этом заявил секретарь Совета безопасности (СБ) РФ Николай Патрушев по итогам заседания Совбеза с президентом России Владимиром Путиным.
image



Об этом в пятницу, 20 мая, заявил секретарь Совета безопасности (СБ) РФ Николая Патрушева по итогам заседания Совбеза с президентом России Владимиром Путиным. На совете одобрили проект основ госполитики по защите критической информационной инфраструктуры страны.

«Анонимность глобального информационного пространства, всячески поддерживаемая Вашингтоном, способствует неконтролируемому распространению вредоносного программного обеспечения и преступной деятельности международных кибергруппировок», – отметил он.

По его словам, к проведению кибератак с целью нанесения ущерба России часто привлекаются «финансово мотивированные странами Запада хакеры».
Сегодня также стало известно, что Президент России Владимир Путин поручил разработать госсистему по защите информации . Соответствующие указания он дал участникам заседания Совета безопасности РФ. Глава государства заявил, что ожидает конкретных шагов и предложений о том, "какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления".

Исследователи Microsoft заметили всплеск активности XorDDos за последние шесть месяцев.
image



XORDDoS был впервые замечен в 2014 году. Это Linux-вредонос, который образовывал ботнет для массированных DDoS-атак на игровые и образовательные сайты. XorDDos умеет обфусцировать свои активности, что помогает обойти механизмы обнаружения на основе правил и поиск вредоносных файлов по хэшу. Также вредонос использует методы эффективной защиты, что позволяет уходить от форензики.

За последние шесть месяцев эксперты Microsoft отметили 254%-ный рост активности, связанной с XorDDos.

pjiZl62R_LkLAx_xCBtNcy-dhNT-IBgH1IThFw-jj-7ZMfSZkSThS031Do-RK946jW-wPZAWhO1ePAlAtQRTAHZtLBfSnfDRa1RV7gXVYxClYuqpea54LuHfMWA7uDAw7y-UXoefsQtDpJfRkA
]

График роста активности, связанной с XorDDos.


В основном XorDDos распространяется с помощью перебора SSH. Он использует shell-скрипт для перебора комбинаций учетных данных на тысячах серверов.

Эксперты Microsoft определили два метода первоначального доступа XorDDos к системам жертв:
  • Первый метод – копирование вредоносного ELF-файла во временное файловое хранилище /dev/shm с его последующим выполнением.
  • Второй метод – выполнение bash-скрипта, выполняющего последовательность действий через командную строку.

XorDDos использует различные механизмы для закрепления в системах жертв, включая скрипты init и cron, установку уровня запуска системы по умолчанию и использование симлинков, указывающих на скрипты, которые должны выполняться на нужном уровне запуска системы.

В заключении отчета говорится, что XorDDos – универсальный троян, способный заражать различные архитектуры Linux-систем. Его SSH-брутфорс является относительно простой, но эффективной атакой для получения root-доступа в системе жертвы. Помимо всего этого, вредонос способен устанавливать руткиты и встраивать другие вредоносные пейлоады в атакованную систему.

APT атаки оказались не такими сложными, как думают многие пользователи
image

В недавнем отчете исследователи безопасности из Университета University of Trento в Италии провели оценку защиты организаций от (Advanced Persistent Threat, APT). Команда составила информацию о 86 APT атаках и 350 кампаниях в период с 2008 по 2020 год. Исследователи изучили векторы атак, эксплуатируемые уязвимости и затронутое программное обеспечение.
«Вопреки распространенному мнению, в большинстве APT кампаний использовались общеизвестные уязвимости», - сказано в отчете.

По словам исследователей, из 86 APT атак, только 8 (Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus и Rancor) использовали уязвимости, которые не эксплуатировали другие кампании.

«Тем не менее, не все APT сложны, поскольку часто используют одинаковые инструменты, вредоносное ПО и уязвимости», - отметили исследователи.

Более быстрое обновление ПО также снизит вероятность взлома. Компании следует обновляться сразу после выпуска обновления. Однако, быстрое исправление уязвимости не гарантирует полную безопасность. Предприятие, применившее своевременное исправление, «может быть скомпрометировано в 14–33% случаев».

«К сожалению, компания не может заранее знать, какую конфигурацию использует злоумышленник, поскольку это зависит от выбора киберпреступника», - написали исследователи.
Исследователи порекомендовали организациям исправить существующие недостатки в системе для снижения риска компрометации. Большинство APT угроз используют известные уязвимости в своих атаках, поэтому для эффективной защиты эксперты посоветовали быстро исправлять актуальные ошибки в ПО.

Компания активно работала над исправлениями с 12 мая.
image



Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая. Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года. Сбои авторизации на стороне сервера или клиента наблюдались у служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). Проблема была связана с тем, как сопоставление сертификатов с учетными данными устройств обрабатывалось контроллером домена.

Выпущенные сегодня обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.

Компания выпустила следующие накопительные пакеты обновлений для установки на контроллеры домена:

  • Windows Server 2022: KB5015013
  • Windows Server, версия 20H2: KB5015020
  • Windows Server 2019: KB5015018
  • Windows Server 2016: KB5015019

Также были выпущены обновления, никак не связанные с проблемой:

  • Windows Server 2012 R2: KB5014986
  • Windows Server 2012: KB5014991
  • Windows Server 2008 R2 SP1: KB5014987
  • Windows Server 2008 SP2: KB5014990
Все обновления из списка можно вручную импортировать в службы обновления Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Инструкции по WSUS можно найти на странице WSUS , а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog.

Наиболее опасными уязвимостями являются недостатки механизмов авторизации и аутентификации пользователей.
image


Эксперты Positive Technologies проанализировали уязвимости и угрозы веб-приложений 1 и выяснили, что в абсолютном большинстве приложений были возможны атаки на пользователей, а несанкционированный доступ и утечки важных данных были выявлены в 84% и 91% приложений. Наиболее опасными уязвимостями специалисты назвали недостатки механизмов авторизации и аутентификации пользователей. Исследование было представлено 19 мая 2022 года в рамках ежегодного форума по практической кибербезопасности Positive Hack Days.

По данным Positive Technologies, в 98% исследованных веб-приложений злоумышленники имели возможность проводить атаки на пользователей. Подобные атаки могут привести к распространению вредоносного ПО, перенаправлению на ресурсы злоумышленников или краже данных с использованием методов социальной инженерии.

В 84% исследованных приложений были выявлены угрозы несанкционированного доступа к личным кабинетам пользователей, в том числе администраторов. В 72% веб-приложений злоумышленник может получить доступ к функциональности или контенту, которые не должны быть для него доступны, например, просмотр личных кабинетов других пользователей или возможность изменять срок пробного периода подписки.

«Утечки важных данных являются второй по актуальности угрозой безопасности исследованных веб-приложений, — отмечает аналитик исследовательской группы Positive Technologies Федор Чунижеков. — Ей оказались подвержены 91% исследованных приложений. Результаты анализа защищенности показали, что в 60% приложений могут быть раскрыты персональные данные, а в 47% — учетные данные пользователей, что на 13 и 16 п.п. больше, чем в 2019 году. Персональные и учетные данные являются желанными целями злоумышленников, что подтверждают данные итоговой аналитики актуальных киберугроз 2021 года ».

В исследование вошли десятки приложений промышленных и финансовых организаций, госучреждений, IT-компаний, сайтов онлайн-торговли. Во всех тестовых приложениях промышленного сектора были выявлены уязвимости высокого уровня риска. Среди продуктивных приложений 46% обладали низким или крайне низким уровнем защищенности. В целом эксперты отмечают положительную динамику состояния защищенности веб-приложений промышленных компаний — доля приложений, имеющих крайне низкий уровень защищенности, сократилась более чем в три раза, по сравнению с 2019 годом. Состояние защищенности веб-приложений IT-отрасли показало отрицательную динамику по сравнению с 2019 годом: около половины исследованных продуктивных приложений имели низкий или крайне низкий уровень защищенности.

В исследовании отмечается повышение уровня защищенности сайтов онлайн-торговли, среди которых не было ни одного приложения с низким уровнем защищенности. По мнению экспертов Positive Technologies, это является результатом более ответственного отношения к защите своих веб-приложений со стороны разработчиков и роста популярности торговли в интернете. Наиболее характерными угрозами онлайн-приложений стали атаки на клиентов, обусловленные ошибками в настройках и некорректной реализацией протокола OAuth, и утечки конфиденциальных данных. В каждом приложении удалось получить доступ к идентификаторам пользователей, а в 44% приложений — к персональным данным.

По результатам исследования 67% продуктивных приложений госучреждений получили от специалистов низкую оценку уровня защищенности, что почти не отличается от показателей предыдущих лет. Наиболее часто встречающимися уязвимостями здесь стали уязвимости, связанные с недостатками контроля доступа, — они были выявлены во всех приложениях госучреждений. В 70% приложений подобные уязвимости могли привести к несанкционированному доступу к приложению, а также утечкам важной информации, причем чаще всего выявлялась возможность утечки персональных данных.

Доля веб-приложений, содержащих уязвимости высокой степени риска, составила 66% в 2020 году, а в 2021 году — 62%, что значительно больше показателя 2019 года. Среди уязвимостей высокого уровня риска первое и второе места занимают некорректная авторизация пользователей и обход авторизации с использованием ключа пользователя. Некорректная аутентификация замыкает тройку наиболее часто встречающихся уязвимостей высокой степени риска.

Экспертиза показала, что многие уязвимости сайтов связаны с ошибками в их коде: за прошедшие два года 72% обнаруженных уязвимостей были связаны с уязвимым кодом веб-приложений, например, внедрение SQL-команд, XSS, некорректные проверки условий и исключений. Оставшаяся часть уязвимостей была связана с неправильным администрированием — они могут быть исправлены настройками приложения. Для того чтобы не допускать уязвимостей, связанных с кодом, эксперты рекомендуют организациям внедрять процесс безопасной разработки в жизненный цикл веб-приложений, а при решении задач по построению эффективной защиты веб-приложений придерживаться комплексного подхода.

«По всем законам классической кибербезопасности защиту от взлома поможет обеспечить установка специализированных средств, которые будут блокировать попытки эксплуатации уязвимостей со стороны злоумышленника, и у нас, как у вендора, в продуктовом портфеле есть решения, которые позволяют справиться с такой задачей, — говорит Алексей Жуков, руководитель направления по развитию продуктов для DevSecOps Positive Technologies. — PT Application Firewall блокирует попытки взлома со стороны атакующего, не мешая взаимодействовать с приложением легитимному пользователю. Но на этом нельзя останавливаться. Рассуждая в парадигме реальной кибербезопасности, недостаточно просто заблокировать попытку взлома — необходимо найти и устранить саму уязвимость в коде приложения. И делать это нужно на этапе разработки. Здесь на помощь приходит PT Application Inspector , который предназначен для того, чтобы анализировать код в автоматическом режиме и находить уязвимости, подсветить разработчикам и специалистам по ИБ недостатки в коде, дать подсказку, где и какую брешь нужно залатать, чтобы навсегда закрыть злоумышленнику путь в систему».

С полной версией исследования можно ознакомиться на сайте Positive Technologies .

1 В выборку вошли результаты проводимого в 2020–2021 гг. анализа защищенности веб-приложений, владельцы которых дали свое согласие на использование данных в исследовательских целях.

А также самая крупная сумма требуемого выкупа
image


Внешние сервисы удаленного доступа по-прежнему являются основным вектором для групп вымогателей, взламывающих корпоративные сети. Более того, наблюдается заметный всплеск использования фишинга и уязвимостей в общедоступном приложении для кражи данных и вымогательства.




По данным компании Group-IB, злоумышленники нацелены на серверы удаленных рабочих столов (Remote Desktop Protocol, RDP) для первоначального доступа в сеть. Также злоумышленники часто используют скомпрометированные учетные данные для атаки на инфраструктуру изнутри.

Согласно , в прошлом году банды вымогателей разработали эксплойты для недавно обнаруженных проблем безопасности в общедоступных приложениях. Среди наиболее являются:


Согласно недавнему Cyber Security Works, Securin, Cyware и Ivanti, количество уязвимостей, связанных с атаками программ-вымогателей, выросло до 310 в первом квартале 2022 года. Однако, не все ошибки являются новыми. Половина уязвимостей были обнаружены ещё в 2019 году. Для многих из них существуют общедоступные эксплойты, которые значительно облегчают работу злоумышленников.



По сообщениям Group-IB группировки опубликовали информацию 3500 жертв, 1655 жертв оказались из США. Самыми агрессивными кампаниями в 2021 году были LockBit (670 жертв), Conti (640 жертв) и Pysa (186 жертв).



Согласно исследованию компании по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response, DFIR) из 700 кибератак в прошлом году в 63% случаев произошла утечка данных. В прошлом году средняя сумма выкупа составила $247 тыс. Эксфильтрация данных остается мощной тактикой хакеров, некоторые группировки даже создали собственные инструменты для продажи своим партнерам.

Среди методов злоумышленников находится использование интерпретаторов команд и сценариев, а также удаленных служб, которые являются частью всех атак. Кроме того, киберпреступники также использовали различные методы для обнаружения удаленных систем, кражи учетных данных и отключения средств безопасности.



Из самых используемых инструментов самым популярным является SoftPerfect Network Scanner. На втором месте распространенный инструмент для этапов пост-эксплуатации Cobalt Strike Beacon с широким спектром действий (выполнение скрипта, кейлоггинг, загрузка файлов).


По словам главы группы DFIR Олега Скулкина, слияние тактик, методов и процедур (Tactics, Techniques, and Procedures, TTP) из-за перехода аффилированных лиц от одной операции к другой затрудняет специалистам по безопасности отслеживать методы злоумышленника. Однако, определение основных тенденций с помощью матрицы MITRE ATT@CK должно упростить подготовку к инцидентам с программами-вымогателями.

Великобритания может законно запускать кибератаки против враждебных государств.
image


Генеральный прокурор Великобритании Сюэлла Брейвман в своем выступлении заявила о применимости международного права не только в реальном мире, но и в киберпространстве. По ее мнению, принцип невмешательства в дела другой страны должен позволять государствам принимать оборонительные киберконтрмеры.

Это заявление появилось на фоне кибервойн во время спецоперации в Украине. По словам генерального прокурора, Великобритания может законно вводить санкции, а также киберконтрмеры при условии, что они пропорциональны атаке враждебного государства.

"Международное право имеет значение в киберпространстве. Если мы не установим там правила, если у нас не будет четких рамок для противодействия враждебным действиям в киберпространстве, и если мы не обеспечим кибербезопасность должным образом, то последствия от кибератак станут намного более опасными для обычных пользователей.", – сказала Сюэлла Брейвман.

IT-система больниц острова сильно пострадала от кибератаки
image


Правительственные чиновники не прокомментировали, была ли это атака программы-вымогателя, но заявили о сбое в IT-системе здравоохранения из-за киберинцидента. Власть была вынуждена перезагрузить все IT-системы и серверы. Из-за перезапуска сети работники больниц не могут получить доступ к медицинским картам пациентов.

«Деятельность службы здравоохранения сильно ограничена, и время ожидания будет только увеличиваться. Экстренные запросы будут по-прежнему приниматься, и вы можете связаться со службой здравоохранения по телефону. Технический анализ показал, что данные граждан не были повреждены и не украдены, но расследование масштабов кибератаки все еще продолжается. Служба здравоохранения сообщит, когда ситуация нормализуется», - заявило правительство.

По словам властей, атака началась 9 мая и может быть связана с предыдущей атакой в апреле на основании следов кибератаки в сети. В марте произошла еще одна кибератака, которая вынудила парламент Гренландии отменить все свои заседания. Цифровые системы были повреждены, и правительство изо всех сил пыталось распредилять социальные выплаты гражданам. Также в декабре правительство подверглось еще одной кибератаке.

В последние годы организации здравоохранения были основной целью киберпреступников. Нападениям подверглись сотни больниц по всему миру, некоторые инциденты затронули систему здравоохранения Ирландии. В мае 2021 года группа Conti атаковала руководство службы здравоохранения Ирландии и вызвала сбои в работе больниц страны. Стоимость восстановления системы после атаки составила около €100 млн . Государственный министр Ирландии Оссиан Смит заявил, что это «возможно, самая крупная кибератака на ирландское государство».

Ранее сообщалось, что в прошлом году кибератака приостановила работу крупнейшего в Новой Зеландии банка ANZ и ряда других финансовых организаций, а также национальной почтовой службы страны.

Злоумышленники атакуют в основном устройства серий TS-x51 и TS-x53 под управлением QTS 4.3.6 и QTS 4.4.1.
image



Тайваньский производитель сетевых накопителей (NAS) QNAP предупредил своих пользователей о необходимости обезопасить их устройства от новых атак вымогательского ПО DeadBolt. Компания рекомендовала обновить NAS до последней версии ПО и отключить удаленный доступ к ним через интернет.

Злоумышленники атакуют в основном устройства серий TS-x51 и TS-x53 под управлением QTS 4.3.6 и QTS 4.4.1.

QNAP рекомендует пользователям, чьи сетевые накопители доступны через интернет, отключить на маршрутизаторах функцию перенаправления портов и отключить функцию UPnP в QNAP NAS.

Пользователям, которым нужен доступ к NAS без непосредственного доступа к интернету, рекомендуется включить функцию VPN на маршрутизаторах (где это возможно), а также использовать сервис myQNAPcloud Link и VPN-сервер на устройствах QNAP, предоставляемый приложением QVPN Service, или решение QuWAN SD-WAN.

Атаки вымогательского ПО DeadBolt на QNAP NAS были впервые зафиксированы в конце января 2022 года. Вредонос взламывал страницу авторизации устройства и выводил на нее сообщение о том, что файлы были заблокированы DeadBolt.

После развертывания на устройстве вымогатель шифрует файлы с помощью алгоритма AES128 и добавляет к их именам расширение .deadbolt. DeadBolt также заменяет файл /home/httpd/index.html, поэтому во время доступа к скомпрометированному устройству пользователю отображается сообщение о зашифрованных файлах.

Когда жертва платит выкуп, хакеры создают биткойн-транзакцию на тот же биткойн-адрес, содержащую ключ для восстановления файлов.

ИБ-эксперт Майкл Гиллеспи (Michael Gillespie) создал бесплатный инструмент для восстановления зашифрованных файлов на Windows-компьютерах, но он не работает на устройствах QNAP.
 
Последнее редактирование:
MM1234567.png


Атаки были обнаружены и нейтрализованы государственными экспертами с помощью компаний ESET и Microsoft.
image



Эксперты по безопасности из ESET сообщили, что Sandworm продолжает проводить кибератаки против организаций в Украине.

Sandworm (она же — Telebots, Voodoo Bear, Iron Viking и BlackEnergy) - также известная как подразделение 74455, предположительно является российским кибервоенным подразделением ГРУ , организации, отвечающей за российскую военную разведку .

Считается, что группа стоит за кибератакой на энергосистему Украины в декабре 2015 года, кибератаками на Украину в 2017 году с использованием вредоносной программы NotPetya, различными попытками вмешательства в президентские выборы во Франции в 2017 году, и кибератаки на компьютерную сеть Зимних Олимпийских игр в Пхенчхане в 2018 году.

В апреле Sandworm атаковал энергетические объекты Украины с помощью нового штамма вредоносного ПО Industroyer ICS (INDUSTROYER2) и новой версии вайпера CaddyWiper .

По данным CERT-UA, субъекты национального государства нацелились на высоковольтные электрические подстанции с помощью INDUSTROYER2, вариант, проанализированный исследователями, был адаптирован для целевых подстанций.

f2708d38bda2b68d0ddc0b42fd85930e.png



Злоумышленники также использовали вайпер CADDYWIPER для атак на системы на базе Windows, а серверное оборудование, работающее под управлением операционных систем Linux, поражало деструктивными сценариями ORCSHRED, SOLOSHRED, AWFULSHRED.

«Централизованное распространение и запуск CADDYWIPER осуществляется через механизм групповой политики (GPO). Сценарий POWERGAP PowerShell использовался для добавления групповой политики, которая загружает компоненты деструктора файлов с контроллера домена и создает запланированную задачу на компьютере». говорится в , опубликованном украинским CERT. «Возможность горизонтального перемещения между сегментами локальной сети обеспечивается за счет создания цепочек SSH-туннелей. IMPACKET используется для удаленного выполнения команд».

CERT-UA утверждает, что APT-группировки предприняли как минимум две волны атак на объекты энергетики. Первоначальный взлом произошел не позднее февраля 2022 года. Интересно, что отключение электрических подстанций и вывод из эксплуатации инфраструктуры компании было запланировано на вечер пятницы, 8 апреля 2022 года.

Однако атаки были обнаружены и нейтрализованы государственными экспертами с помощью компаний по кибербезопасности ESET и Microsoft.

CERT-UA собрал индикаторы компрометации для этих атак и поделился ими, наряду с правилами Yara, с ограниченным числом международных партнеров и украинских энергетических компаний.

ESET, которая помогала украинскому правительству, опубликовала подробный отчет о вайпере Industroyer2, который был использован для нападения на украинскую энергетическую компанию.

Теперь специалисты ESET объявили об обнаружении нового варианта вредоносного загрузчика, используемого злоумышленниками в рамках атак Industroyer2 , CERT-UA отследил вредоносный код как ArguePatch.

По словам исследователей, в атаках на Industroyer2 использовалась исправленная версия удаленного отладочного сервера HexRaysSA IDA Pro (win32_remote.exe), в которую был включен код для расшифровки и запуска CaddyWiper из внешнего файла.

Группа APT скрыла ArguePatch в исполняемом файле ESET (eset_ssl_filtered_cert_importer.exe), вредоносный код был перезаписан в функции, вызываемой во время инициализации среды выполнения MSVC.

Анализ внедренного кода показал, что он в определенное время действует как загрузчик вредоносного ПО следующей стадии.

«Такой подход заменяет необходимость настройки запланированной задачи Windows для будущего взлома. Возможно, это способ избежать обнаружения с помощью известных TTP». пояснил ESET в серии твитов

Название пакета напоминает PyKafka – популярный клиент Apache Kafka.
image



В PyPI обнаружен очередной вредоносный пакет, использующийся в атаках на цепочку поставок с конечной целью установить маячок Cobalt Strike или бэкдор на системы под управлением Windows, Linux и Darwin.

PyPI представляет собой репозиторий пакетов с открытым исходным кодом, который разработчики могут использовать для загрузки собственных библиотек или скачивания чужих для дальнейшего использования в своих проектах.

17 мая 2022 злоумышленники загрузили в PyPI вредоносный пакет pymafka. Название пакета напоминает PyKafka – популярный клиент Apache Kafka, насчитывающий более четырех миллионов загрузок из PyPI.

К счастью, вредоносный «клон» был скачан всего 325 раз, после чего был удален. Тем не менее, скачавшие его разработчики находятся под угрозой, поскольку вредонос предоставляет злоумышленникам первоначальный доступ к их внутренним сетям.

Вредоносный пакет был обнаружен специалистами ИБ-компании Sonatype, которые сообщили о нем PyPI. 20 мая pymafka был удален.

По словам исследователя безопасности Акса Шармы (Ax Sharma) из BleepingComputer, заражение начинается с выполнения содержащегося в пакете скрипта setup.py. Скрипт определяет операционную систему хоста и в зависимости от ее типа (Windows, Linux или Darwin) извлекает совместимую полезную нагрузку, которая затем выполняется на системе.

На системах под управлением Linux Python-скрипт подключается к удаленному URL-адресу (39.107.154.72) и передает выходные данные оболочке bash. В настоящее время этот хост отключен, поэтому неизвестно, какие команды выполнялись. Скорее всего, это были команды для открытия обратной оболочки.

Для Windows и Darwin полезная нагрузка представляла собой маячок Cobalt Strike, обеспечивавший удаленный доступ к зараженному устройству.

Cobalt Strike представляет собой набор инструментов для тестирования систем на проникновение, позволяющий выполнять команды, записывать нажатия клавиш на клавиатуре, манипулировать файлами, использовать прокси через SOCKS, повышать привилегии, похищать учетные данные, сканировать порты и пр.

Маячки Cobalt Strike – это бесфайловые shellcode-агенты, которые трудно детектировать. Они предоставляют удаленный и стабильный доступ к скомпрометированным системам для шпионажа, бокового перемещения или развертывания полезной нагрузки второго этапа (например, вымогательского ПО).

Хакеров мало интересует финансовая выгода, а главной целью является восстановление социальной справедливости.
image


В среде кибервымогателей, похоже, появился свой «Робин Гуд». Как сообщают специалисты компании CloudSEK, новое вымогательское ПО атакует жертв и вместо выкупа требует сделать пожертвование на благотворительность.
Да, все верно. Вымогательская программа Goodwill Ransomware требует у своих жертв перевести деньги организациям, которые помогают неимущим. В настоящее время Goodwill Ransomware атакует жертв только в Индии, Пакистане и некоторых регионах Африки.

Исследователи CloudSEK обнаружили новую кибервымогательскую группировку в марте 2022 года. Похоже, ее мало интересует финансовая выгода, а главной целью является восстановление социальной справедливости.

Для того чтобы получить ключ для восстановления зашифрованных файлов, жертва должна выполнить три задания. Первое задание – перевести деньги нуждающимся в больницах, кому требуется срочное лечение. Жертва должна перевести средства, зафиксировать весь процесс передачи денег и дальнейшее лечение больного и переслать эти видео- и аудиофайлы вымогателям.

Второе задание – передать бедным новую одежду. Как и в первом случае, факт передачи должен быть зафиксирован, а материалы отправлены хакерам по электронной почте.

Третье задание самое интересное. Жертва должна сводить голодных детей в пиццерию Dominos Pizza Hut или KFC и оплатить их заказ. Все должно быть зафиксировано и отправлено хакерам.

Кроме того, жертва должна сделать публикацию в соцсети (Facebook или Instagram) о том, как «став жертвой вымогательского ПО Goodwill, она стала добрым человеком».

Проверив публикации и присланные жертвой доказательства выполнения всех трех заданий, вымогатели отправляют ей ключ для восстановления файлов, пароль и видеоинструкцию по расшифровке.

С апреля 2022 года новой группировкой интересуются правоохранительные органы Индии. Согласно их версии, Goodwill – незначительная группа хакеров из КНДР.

Жертвами атак стали лидер оппозиции и журналист из Египта
image


По данным Google, в течение 2021 года одна шпионская кампания использовала как минимум 5 уязвимостей нулевого дня — 4 в браузере Chrome и 1 в ОС Android.

Команда ИБ-специалистов Threat Analysis Group (TAG) сообщила, что разработчиком шпионского ПО является группировка из Северной Македонии Cytrox. О Cytrox известно только то, что в июне 2021 года своей вредоносной программой Predator группа атаковала египетского политика Аймана Нура и журналиста, пожелавшего остаться анонимным.

По словам TAG, Cytrox использовала 4 уязвимости нулевого дня Chrome ( , , и ) и 1 ошибку нулевого дня Android ( ) по крайней мере в трех кампаниях, которые предположительно проводились от имени различных правительств. Также Cytrox воспользовалась несколькими известными n-day уязвимостями, для которых уже были доступны исправления.

Видимо, группировка Cytrox не собирается останавливаться и продолжит атаки. Это плохая новость для компаний Google, Apple и Microsoft, которым необходимо защищать продукты, используемые сотнями миллионов людей. Эксперты TAG обеспокоены невероятным прогрессом частных компаний, достигших уровня правительственных организаций в области разработки систем для наблюдения и шпионского ПО.

«Семь из девяти 0-day уязвимостей в 2021 году были обнаружены частными компаниями, после чего информация о них продавалась напрямую государственным структурам. TAG активно отслеживает более 30 частных компаний, продающих эксплоиты и шпионское ПО правительственным организациям», - написано в сообщении Google.

Команда Fail0verflow выявила уязвимости в PSVR и через них обошла безопасную загрузку и извлекла все ключи.
image


Хакерской команде Fail0verflow удалось обнаружить уязвимости в гарнитуре PlayStation VR. В частности, исследователи смогли обойти безопасную загрузку и извлечь все ключевые материалы.

PlayStation VR (PSVR) представляет собой шлем виртуальной реальности от компании Sony Interactive Entertainment для игровой приставки PlayStation 4. По словам Fail0verflow, они взялись за взлом гарнитуры после обещания Sony, что она будет совместима и с новой консолью PlayStation 5. Хакеры понадеялись, что через PSVR им в итоге удастся взломать и саму приставку. Хотя им это так и не удалось, работать с гарнитурой «было довольно весело».

«Кто знает, может, поверхность атаки окажется каким-то образом полезной», - заявили хакеры.

Стоит отметить, что ранее команда Fail0verflow уже смогла успешно PS5, но другим способом.

С полным техническим описанием взлома PSVR можно ознакомиться в блоге Fail0verflow. Однако наиболее примечательным открытием хакеров стало то, что некоторые функции, доступ к которым можно получить через интерфейс PCIe, позволили им расшифровать и скопировать образ прошивки в доступную для чтения память. Благодаря этому команде удалось получить доступ ко всем ключам PSVR, хранящимся в загруженных доверенных приложениях.

Более того, исследователи смогли обойти механизм аутентификации через уязвимости в FIGO (сопроцессоре в чипсете Marvell 88DE3214) и использовать в качестве гарнитуры PSVR любое программируемое устройство.

Бэкдор в School Management Pro обеспечивает злоумышленникам полный контроль над затронутыми сайтами.
image



Множество версий WordPress-плагина School Management Pro имеют встроенный бэкдор, потенциально обеспечивающий злоумышленникам полный контроль над затронутыми сайтами.

Проблема затрагивает премиум-версии плагина c 8.9 до 9.9.7. Уязвимость получила идентификатор CVE-2022-1609 и 10 баллов из 10 по шкале оценивания опасности.

Как пояснил специалист Jetpack Гаральд Эйлертсен (Harald Eilertsen), «неавторизованный злоумышленник может выполнить произвольный PHP-код на сайте с установленным плагином».

Разработанный индийской компанией Weblizar плагин School Management позиционируется как аддон для WordPress, предназначенный для «управления всей работой школы». Число пользователей бесплатных и премиум-плагинов Weblizar составляет порядка 340 тыс.

Специалисты Jetpack обнаружили имплант 4 мая 2022 года после того, как им стало известно о наличии сильно обфусцированного кода в коде плагина, проверяющем лицензию. Бесплатная версия School Management не является уязвимой, поскольку в ней нет кода для проверки лицензии.

Каким образом бэкдор был внедрен в плагин, непонятно, однако в настоящее время он уже удален. По словам вендора, ему неизвестно, когда и как код попал в их продукт.

Для того чтобы уберечь себя от возможных кибератак через встроенный бэкдор, пользователям School Management рекомендуется обновить свои плагины до версии 9.9.7.

Совет директоров компании ожидает, что результаты торгов за год до марта 2022 года будут ниже ожиданий.
image


Акции Ince Group PLC (AIM:INCE) упали на 15% до 20 пенсов после того, как компания опубликовала предупреждение о прибыли и сообщила о кибератаке на свои системы. Группа стала жертвой кибератаки 13 марта 2022 года, из-за чего бизнесу пришлось за короткое время адаптироваться к сложным условиям работы.

После атаки были запущены процедуры аварийного восстановления, а пораженные системы отключены. Компания сразу же назначила группу специалистов для работы над восстановлением систем и консультирования по управлению ситуацией. По словам экспертов, злоумышленники не смогли получить доступ к данным пользователей, а атакованные системы были быстро восстановлены.

Помимо всего, Ince Group сообщила акционерам еще одну неутешительную новость – результаты торгов за полный год скорее всего не будут опубликованы до конца сентября.
 
Последнее редактирование:
MM1234567.png


Уязвимость обманом заставляет пользователей завершать транзакции, контролируемые злоумышленниками.
image



Издание TheHackerNews сообщило, что исследователь под ником h4x0r_dz обнаружил неисправленную уязвимость в PayPal, которая обманом заставляет пользователей завершать транзакции злоумышленников одним кликом. Этот вид атаки называется кликджекинг и использует невидимую оверлейную страницу или HTML-элемент, отображаемый поверх видимой страницы. Кликнув на легитимную страницу, пользователи на самом деле нажимали на контролируемый злоумышленниками невидимый элемент.

Эксперт сообщил об ошибке в рамках программы вознаграждения за обнаружение багов в PayPal семь месяцев назад, продемонстрировав как злоумышленник может использовать кликджекинг для кражи денег жертвы.

Исследователь обнаружил уязвимость в конечной точке " http://www.paypal[.]com/agreements/approve&quot ;, которая предназначена для соглашений о списании средств без распоряжения владельца. Конечная точка должна принимать только billingAgreementToken, но эксперт доказал обратное.

"Я обнаружил, что можно передавать токены другого типа и с помощью этого красть деньги со PayPal-счета жертвы", – говорит в своем сообщении h4x0r_dz. "Злоумышленник может загрузить чувствительную к атаке конечную точку paypal.com в Iframe, и когда жертва кликнет на любое место на странице, ее деньги будут отправлены на счет злоумышленника".

Уязвимость также может быть использована для пополнения баланса или оплаты подписки на сервисы, принимающие платежи PayPal.

"Есть множество онлайн-сервисов, которые позволяют пополнить баланс с помощью PayPal. Steam или Netflix, например! Я могу использовать эксплоит и заставить жертву пополнить мой баланс Steam или оплатить подписку на Netflix!" – добавил в своем сообщении исследователь.

И хотя эксперт опубликовал эксплоит проверки концепции уязвимости, PayPal до сих пор ее не исправила.

хакеры ищут альтернативные каналы организации DDoS-атак
image



Хакеры начали искать способы обхода фильтрации трафика для совершения DDoS-атак на Россию. Для этого они все чаще используют VPN, прокси-сервисы и пользовательские устройства с российскими IP-адресами.

Киберпреступники ищут новые векторы атак на росссийские информресурсы. В условиях, когда основные каналы оказались заблокированы (зарубежный трафик отсекается оборудованием операторов на границе страны), хакеры начали использовать российские IP-адреса.

С 24 февраля, с момента начала спецоперации на Украине, российские информационные ресурсы и правительственные сайты столкнулись с ростом DDoS атак. В Минцифры РФ указывали, что вредоносные запросы поступали из-за рубежа — в основном с IP-адресов, зарегистрированных в США, Германии и на Украине. Чтобы противодействовать угрозе, в конце марта Минцифры и Роскомнадзор начали использовать оборудование на сетях связи для фильтрации трафика по географическому признаку на границах России.

По данным издания «Коммерсантъ», чтобы обойти фильтрацию трафика для совершения DDoS-атак на Россию, хакеры стали использовать VPN и Proxy-сервисы, а также пользовательские устройства.

«Коммерсантъ» пишет, что уже с марта Минцифры совместно с Роскомнадзором начали использовать это оборудование для фильтрации трафика по географическому признаку на границах России. С 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. По данным «Лаборатории Касперского», компания в конце февраля отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года.

Очень быстрым и действенным при борьбе с DDoS-атаками оказался механизм блокировки по географическому обращению. Метод оказался действенным, однако теперь хакеры начали использовать в своих атаках российские IP-адреса, что делает фильтрацию трафика по геолокации неэффективной, рассказали опрошенные "Коммерсантом" эксперты в области кибербезопасности.

Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие зараженные устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных зараженных умных устройств или просто персональных компьютеров.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.
Основатель Qrator Labs Александр Лямин добавляет: «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна».

В последнее время злоумышленники все чаще прибегают к VPN- и прокси-сервисам, а также задействуют пользовательские устройства (такие как роутеры, "умные" камеры, видеоняни), находящиеся на территории РФ. Эти приборы объединяются в ботнеты ("зомби"-сети, состоящие из зараженных устройств), которые впоследствии используются для организации кибератак.

В апреле стало известно, что Роскомнадзор планирует модернизировать оборудование , используемое для исполнения закона об изоляции Рунета, и создать на его основе федеральную систему защиты от DDoS-атак из-за рубежа. Система защиты от DDoS-атак может появиться осенью 2022 года.
Напомним, что ранее Компания A10 Networks за 2 полугодия 2021 года отследила более 15,4 миллиона распределенных атак типа "отказ в обслуживании" (DDoS).

Хакеры похитили информацию о некоторых клиентах и обменяли их бонусные баллы на подарочные сертификаты.
image



Американский автопроизводитель General Motors сообщил, что в прошлом месяце стал жертвой атаки с подстановкой учетных данных, в результате которой злоумышленники похитили информацию о некоторых клиентах и обменяли их бонусные баллы на подарочные сертификаты.

У General Motors есть online-платформа, на которой владельцы автомобилей Chevrolet, Buick, GMC и Cadillac могут управлять своими счетами и сервисами и обменивать бонусные баллы на автомобили GM, обслуживание в автосервисах, аксессуары и оплату сервисного плана OnStar.

Как сообщили в компании, GM обнаружила вредоносную активность 11-29 апреля 2022 года и выяснила, что хакеры обменяли бонусы некоторых клиентов на подарочные сертификаты. Автопроизводитель уведомил всех пострадавших клиентов и пообещал восстановить их бонусные баллы.

Инцидент стал результатом не взлома General Motors, а атаки с подстановкой учетных данных, также известной как credential stuffing. Другими словами, злоумышленники воспользовались утекшими ранее логинами и паролями с других сайтов и с их помощью попытались авторизоваться на online-платформе GM. В ряде случаев учетные данные подошли, и хакеры смогли получить доступ к этим учетным записям.

«Мы полагаем, что неавторизованные злоумышленники получили доступ к учетным данным пользователей, которые были скомпрометированы раньше на других сайтах, не имеющих отношения к GM, а затем воспользовались ими для доступа к учетным записям клиентов GM», - сообщили в компании.

Взломав учетные записи, хакеры могли получить доступ к такой хранящейся на сайте пользовательской информации, как имена и фамилии, электронные адреса и адреса проживания, имена пользователя и телефонные номера зарегистрированных членов семьи, привязанных к учетной записи, данные о последнем местоположении и часто посещаемых местах, текущий тариф OnStar, фотографии членов семьи, фотографии профиля и информация о поиске места назначения. Кроме того, злоумышленники могли видеть данные о пробеге автомобиля, историю обслуживания в автосервисах, контакты на случай экстренных ситуаций, настройки точки доступа Wi-Fi (в том числе пароли) и пр.

В учетных записях клиентов GM не хранятся даты рождения, номера соцстрахования, номера водительских прав, данные кредитных карт и банковская информация.

К несчастью для клиентов GM, online-платформа компании не поддерживает двухфакторную аутентификацию, которая предотвратила бы атаки с подстановкой учетных данных.

Киберпреступник использовал поддельный PoC для запуска Cobalt-Strike Beacon
image



Исследователи из компании Cyble обнаружили вредоносную кампанию на ИБ-сообщество. В своем сообщении специалист поделился поддельным кодом Proof of Concept (PoC) для уязвимости удаленного выполнения кода RPC Runtime Library Remote Code Execution CVE-2022-26809 с оценкой CVSS 9.8. Вредонос, замаскированный под поддельный PoC-код, был доступен на GitHub.



«В ходе дальнейшего расследования мы обнаружили, что это вредоносное ПО, замаскированное под эксплойт. Также мы обнаружили вредонос, который является поддельной PoC CVE-2022-24500 . Оба вредоносных образца были доступны на GitHub. Интересно, что оба репозитория принадлежат одному и тому же профилю, что указывает на возможность злоумышленника проводить кибератаку на ИБ-сообщество», - сообщила Cyble.

Согласно анализу вредоносного ПО, эксплойт представляет из себя двоичный файл .Net, упакованный бесплатным open-source средством защиты для .NET-приложений ConfuserEX . Вредоносный код не включает в себя эксплойты для уязвимостей в фейковом PoC, а только выводит поддельное сообщение о попытке использовать уязвимости и запускает шелл-код. Вредоносная программа выполняет команду PowerShell с помощью cmd.exe для доставки фактической полезной нагрузки Cobalt-Strike Beacon. Затем злоумышленник может использовать Cobalt-Strike Beacon для дополнительных полезных нагрузок и выполнения боковых перемещений.
«Обычно ИБ-специалисты используют эксплойты для проверки уязвимостей. Следовательно, данное вредоносное ПО нацелено только на людей из ИБ-сообщества. Поэтому для членов сообщества кибербезопасности следует проверять достоверность источников перед загрузкой PoC» - заключила Cyble.

Эксперты обнаружили уязвимости на сайтах Instagram, LinkedIn, Zoom, WordPress и Dropbox.
image



Как выяснили исследователи безопасности, хакеры могут взломать учетную запись еще до того, как пользователь ее зарегистрирует. Для этого достаточно лишь проэксплуатировать уязвимости на таких популярных сайтах, как Instagram, LinkedIn, Zoom, WordPress и Dropbox.

Специалист Microsoft Security Response Center Эндрю Паверд (Andrew Paverd) и независимый исследователь безопасности Авинаш Судходанан (Avinash Sudhodanan) изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.

«Последствия предварительного взлома учетной записи такие же, как и последствия самого взлома. В зависимости от атакуемого устройства успешно проведенная атака может позволить злоумышленнику читать/модифицировать чувствительную информацию, связанную с учетной записью (сообщения, выписки по счетам, историю использования и пр.) и выполнять действия от лица пользователя (рассылать сообщения, делать покупки с помощью сохраненных способов оплаты и пр.)», - сообщил Судходанан.

Для предварительного взлома атакующий должен знать электронный адрес жертвы, достать который в наше время довольно просто. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.

Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).

В случае с CFM, когда жертва создает учетную запись с уже зарегистрированным адресом электронной почты, уязвимый сайт просто объединяет эти два аккаунта и в некоторых случаях даже не сообщает об этом. Атака базируется на предоставлении жертве возможности авторизации через single-sign-on (SSO), чтобы она не меняла пароль, установленный хакером.

В случае с неистекшим сеансом после создания учетной записи злоумышленник сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва регистрирует учетную запись и сбрасывает пароль, активный сеанс не сбрасывается, и хакер сохраняет себе доступ к аккаунту.

Метод с использованием троянского идентификатора представляет собой комбинацию из первого и второго способа.

«Атакующий регистрирует учетную запись на электронную почту жертвы, но затем связывает ее со своим аккаунтом IdP для федеративной аутентификации. Когда жертва сбрасывает пароль (как в случае с неистекшим сеансом), у атакующего по-прежнему сохраняется доступ к аккаунту через федеративную аутентификацию», - пояснили исследователи.

Атака UEC предполагает регистрацию учетной записи на электронный адрес жертвы, после чего злоумышленник отправляет запрос на смену электронной адреса, но не подтверждает его. После того, как жертва сбросит пароль, атакующий подтверждает изменение и получает доступ к учетной записи.

В атаке NV злоумышленник пользуется отсутствием в процессе регистрации аккаунта проверки владельца IdP. Благодаря этому он может воспользоваться облачными сервисами авторизации наподобие Okta или Onelogin.

По данным Интерпола, количество зарегистрированных кибератак за последний год выросло на 125%
image



По заявлению генерального секретаря Интерпола Юргена Стока на Всемирном Экономическом Форуме в Давосе , на сегодняшний день киберугроза возрастает, потому что преступные группы действуют более изощренно. Более того, сейчас киберпреступников можно нанять для быстрой разовой атаки.

Юрген Сток отметил, что киберпреступность является глобальной проблемой, и из-за действий правоохранительных органов на национальном уровне поимка мошенников усложняется. Кроме того, не кибербезопасность, а именно человеческая ошибка открывает двери для злоумышленников.

«Поскольку мир становится все более взаимосвязанным, проблема заключается в том, как нам взаимодействовать для обмена информацией в режиме реального времени, чтобы мы могли быть готовы к следующей кибератаке. Это только вопрос времени», - сказал Сток.

Многие компании до сих пор не уделяют должного внимания кибербезопасности и признают ее важность только тогда, когда уже слишком поздно и украденные данные уже нельзя вернуть. По утверждению министра связи и информации Сингапура Жозефины Тео, киберпреступность представляет собой растущую угрозу для организаций по всему миру. Из-за спецоперации России на Украине и дальнейших последствий многие компании и учреждения во всем мире подвержены риску.

«Киберпреступники с точки зрения их уровня подготовки догоняют государственных кибершпионов. Это стало вопросом национальной безопасности, поскольку критически важная инфраструктура может оказаться под угрозой. Киберпреступный мир прибыльный и самофинансируемый, поэтому он будет процветать. Кибербезопасность требует неотложного внимания и большого международного сотрудничества», - добавила Тео.

По словам Тео, использование уязвимостей цепочки поставок и ПО является ещё одним риском, на который нужно обратить внимание. Из-за возросшей угрозы доверительные отношения между клиентами и MSP-поставщиками сейчас находятся под вопросом.

Группировка предположительно состоит из тестировщиков безопасности, недовольных низкими выплатами bug bounty.
image



На кибервымогательской арене появился новый игрок – группировка RansomHouse. Примечательно, что она не использует никаких программ-вымогателей, а взламывает сети организаций через известные уязвимости и крадет данные.

Сама группировка не берет на себя никакой ответственности за свои действия и обвиняет пострадавшие организации в том, что они не обеспечили должную защиту своим сетям и предлагают «до смешного маленькое» вознаграждение в рамках программ bug bounty.

«Мы считаем, что виноваты не те, кто обнаружил уязвимость и осуществил взлом, а те, кто не позаботился о безопасности. Виноваты те, кто не повесил на дверь замок, а оставил ее широко распахнутой, приглашающей всех желающих», – сообщается на сайте RansomHouse в разделе «О нас».

Группировка RansomHouse предположительно начала свою деятельность в декабре 2021 года с атаки на Управление по спиртным напиткам и азартным играм Саскачевана (Saskatchewan Liquor and Gaming Authority, SLGA), которое теперь присутствует в списке жертв на сайте группировки.

Сам сайт был запущен в этом месяце, и помимо SLGA в списке жертв значатся еще три организации. Последним был добавлен подрядчик немецких авиалиний, предположительно атакованный на прошлой неделе.

Примечательно, что RansomHouse также публикует на сайте ссылки на посты в соцсетях для жертв, с которыми еще ведутся переговоры об уплате выкупа. Очевидно, таким образом вымогатели подчеркивают публичность своих атак и надеются, что это сделает жертв более сговорчивыми.

Если жертва отказывается платить выкуп, ее данные продаются другим киберпреступникам. В случае отсутствия заинтересованных покупателей группировка публикует похищенную информацию на своем сайте.

Откуда взялась RansomHouse, неизвестно. Однако, как сообщают специалисты ИБ-компании Cyberint, группировка очень вежливо общается с другими представителями киберпреступного сообщества и не влезает в споры. Кроме того, она заявила, что придерживается либеральных взглядов и не будет сотрудничать с радикальными хактивистами или шпионскими группами. В связи с этим специалисты заключили, что за проектом RansomHouse стоят разочарованные тестировщики на проникновение, недовольные слишком низким вознаграждением bug bounty и плохими практиками кибербезопасности.
 
Последнее редактирование:
MM1234567.png


Ботнет создан для распространения дезинформации и пропаганды в соцсетях
image


В четверг компания Nisos опубликовала новое исследование с описанием внутренней работы необычного ботнета.

Фронтон впервые стал известен в 2020 году, когда группа хактивистов Digital Revolution взломала подрядчика ФСБ и опубликовала технические документы, демонстрирующие создание ботнета от имени ФСБ. До недавних пор считалось, что ботнет предназначен для выполнения широкомасштабных DDoS-атак. Согласно анализу дополнительных документов Фронтон, DDoS-атаки являются лишь частью возможностей ботнета.

По заявлению Nisos, Фронтон является «системой для скоординированного неаутентичного поведения», а специальное ПО SANA показывает, что истинной целью ботнета может быть быстрое и автоматическое распространение дезинформации и пропаганды.
SANA состоит из множества функций, в том числе:
  • Новости: отслеживает сообщения, тенденции и ответы на них;
  • Группы: управляет ботами;
  • Модели поведения: создает ботов, которые выдают себя за пользователей соцсетей;
  • Модели реагирования: реагирует на сообщения и контент;
  • Словари: хранит фразы, слова, цитаты, реакции и комментарии для использования в соцсетях;
  • Альбомы: хранит наборы изображений для учетных записей ботов платформы.
SANA также позволяет пользователю создавать учетные записи в соцсетях со сгенерированными адресами электронной почты и телефонными номерами, а также распространять контент в Интернете. Кроме того, пользователь может установить расписание для публикаций и настроить количество лайков, комментариев и реакций, которые должен создать бот. Оператор ботнета также может указать, сколько «друзей» должен иметь аккаунт бота. «Конфигуратор также позволяет оператору указать минимальную частоту действий и интервал между ними. Видимо, задействована система машинного обучения, которую можно включать или выключать в зависимости от поведения бота в соцсети», - сказали исследователи.

Хотя уязвимость была исправлена еще 15 февраля 2022 года, расширение Screencastify все еще представляет угрозу.
image



Популярное расширение Screencastify для Chrome, предназначенное для захвата и обмена видео с сайтов, содержит уязвимость межсайтового скриптинга (XSS), позволяющую произвольным сайтам заставлять пользователей непреднамеренно включать свои камеры. С помощью данной уязвимости злоумышленники могут скачивать полученные видео с Google Диска жертв.

Проблема была обнаружена разработчиком Владимиром Палантом, который сообщил о своей находке производителю в феврале 2022 года. Хотя уязвимость была исправлена на следующий же день, по словам Паланта, расширение все еще представляет угрозу, поскольку код доверяет множеству партнерских поддоменов, и XSS-уязвимость на любом из них может потенциально использоваться для атак на пользователей Screencastify.

«Расширение предоставляет screencastify.com достаточно привилегий для записи видео через web-камеру пользователя и получения результата. Никакого взаимодействия с пользователем не требуется, а видимые индикаторы происходящего практически отсутствуют. Можно даже скрыть свои следы – достаточно лишь удалить видео с Google Диска и использовать другое сообщение для закрытия вкладки с расширением после завершения записи», – пояснил Палант.

Примечательно, что расширение предоставляет эти привилегии не только Screencastify через app.screencastify.com, но также ряду других доменов, в том числе Webflow, Teachable, Atlassian, Netlify, Marketo, ZenDesk и Pendo через поддомены Screencastify.

По словам Паланта, ни домены, ни поддомены Screencastify, делегированные партнерам, не имеют адекватной политики безопасности контента.

Разработчик обнаружил проблему 14 февраля 2022 года, а уже 15 она была исправлена. Согласно полученному им сообщению от производителя, должен был также быть реализован долгосрочный план по внедрению политик безопасности контента, но по состоянию на 23 мая политики так и не были реализованы ни для app.screencastify.com, ни для , за исключением добавления framing protection.

Изученный Палантом API не был ограничен и по-прежнему издает токены Google OAuth, с помощью которых можно получать доступ к Google Диску жертв.

От вишинговых атак страдают тысячи жертв по всему миру.
image



Согласно последнему ежеквартальному отчету о тенденциях и аналитике угроз от Agari и PhishLabs, за последние двенадцать месяцев (с 1 квартала 2022 года по 1 квартал 2021 года) злоумышленники начали использовать вишинг в 5.5 раз чаще.

В 1 квартале 2022 года Agari и PhishLabs обнаружили и устранили сотни тысяч фишинговых атак, проводившихся из социальных сетей, электронной почты и дарквеба, направленных на широкий круг предприятий и брендов. В отчете представлен анализ последних данных и основных тенденций, формирующих ландшафт угроз.

Согласно полученным данным, вишинг с 3 квартала 2021 года обогнал компрометацию деловой электронной почты по количеству зафиксированных атак, связанных с электронной почтой. К концу года каждая четвертая зафиксированная атака была вишинговой и эта тенденция сохранялась до 1 квартала 2022 года.

plC-9u3GSkFde9gDxwlO59SZNI7WNwz8-h7tybVtwyGhfUYWHSnWV3AEBszjy5PYooQj-aUQNHVOOGWX1w5DxbR40blhkLutjMvefiiWvp2HHqqfHN2AbF54WJGlJ9AoDwthNncHZ9tjCcBcbA


Список отраслей, наиболее подверженных фишинговым атакам.

"Гибридные вишинговые кампании продолжают показывать невероятные цифры, составляя 26,1% от общего объема атак в 2022 году", – сказал Джон ЛаКур, главный стратег HelpSystems. "Мы наблюдаем рост числа злоумышленников, которые отходят от стандартных вишинговых схем и начинают организовывать многоступенчатые атаки по электронной почте. Выдавая себя за представителей нужной организации, мошенники используют методы социальной инженерии и с помощью номера для обратной связи в письме заставляют жертву позвонить себе".

Злоумышленник рассылал сообщения пользователям от лица создателя игры Axie Infinity
image



Злоумышленник взломал популярного Discord бота Mee6 и отправлял мошеннические сообщения в Discord от лица одного из создателей NFT-игры Axie Infinity.

Спам-сообщения отправлялись в нескольких NFT-проектах:
  • Axie Infinity от студии Sky Mavis;
  • Memeland, поддерживаемый 9GAG;
  • RTFKT, принадлежащий Nike;
  • CLONEX от Phantom Network (PXN);
  • Moonbirds платформы Proof.
Инфраструктура Web3 CyberConnect также была скомпрометирована с помощью бота Mee6, который отправлял пользователям ссылки на вредоносное ПО.

Киберпреступник рассылал мошеннические сообщения от лица одного из соучредителей игры Axie Infinity о возможности заминтить (зачеканить) NFT. Разработчики уже удалили поддельные сообщения и скомпрометированного бота, а также порекомендовали пользователям перезапустить бота, чтобы избежать дальнейших вредоносных сообщений.

Инженеры Mee6 провели внутреннее расследование и не обнаружили признаков взлома. По словам специалистов, взломщик скомпрометировал учетную запись сотрудника. Сейчас проблема решена, и угроза отсутствует.

Mee6 - очень популярный бот, который используют около 16 млн. серверов Discord по всему миру. Mee6 автоматизирует широкий спектр функций, включая
  • базовую модерацию;
  • отправку сообщений администратора;
  • воспроизведение музыки.
Боты в Discord представляют собой угрозу безопасности из-за повышенного доверия пользователей к ботам, так как участники канала предполагают, что сообщения отправляются от администраторов. Если киберпреступник взломает бота и правдиво составит мошенническое сообщение, то пользователи поверят мошеннику и станут жертвами фишинга или вредоносного ПО.

Поддельные ссылки были размещены во взломанном Twitter-аккаунте популярного NFT-художника.
image



Злоумышленники завладели Twitter-аккаунтом известного американского художника Майка Винкельмана, известного под псевдонимом Beeple. Хакеры разместили в аккаунте художника две фишинговые ссылки, которые были активны около пяти часов и принесли злоумышленникам более 430 000 долларов, прежде чем Майк сумел восстановить доступ к своему аккаунту. Доверчивых пользователей не остановили даже предупреждения инфлюенсеров и NFT исследователей.

Эксперты считают, что хакеры воспользовались недавней коллаборацией Louis Vuitton и Beeple, ведь фейковый твит от имени художника звучал так: "Мы с LV долго работали над этим за кулисами. 1000 уникальных экземпляров... Официальный розыгрыш ниже".

Вернув доступ к аккаунту, Beeple сообщил что все под контролем и поблагодарил команду Гари Вайнерчука за быструю помощь с возникшей проблемой. Также художник добавил, что он никогда не размещал и не будет размещать объявления о неожиданной раздаче NFT ранним воскресным утром.

Исследователи Microsoft бьют тревогу.
image



По данным специалистов из Microsoft, злоумышленники замаскировали скимминговый скрипт, закодировав его в PHP-скрипт, внедренный в файл изображения. С помощью этого трюка вредоносный код выполняется при загрузке индексной страницы сайта. Некоторые скимминговые скрипты также включали механизмы защиты от отладки.

Веб-скимминг – преступный метод сбора платежной информации посетителей веб-сайтов во время оформления заказа. Мошенники используют уязвимости в платформах электронной коммерции и CMS для внедрения скиммингового скрипта на страницу электронного магазина. В некоторых случаях злоумышленники могут использовать уязвимости в установленных сторонних плагинах и темах для внедрения вредоносных скриптов.

"Во время исследования мы столкнулись с двумя случаями загрузки вредоносных изображений на сервер, размещенный на Magento. Оба изображения имели одинаковый JavaScript-код, но немного отличались в реализации PHP-скрипта", – говорится в отчете , опубликованном Microsoft. "Первое изображение было замаскировано под favicon и доступно на VirusTotal, а второе являлось обычным WebP-файлом, обнаруженным нашей командой".

Microsoft также заметила злоумышленников, использующих вредоносный JavaScript-код в формате Base64 для подмены скриптов Google Analytics и Meta Pixel, чтобы избежать обнаружения. Эксперты отметили, что хакеры, стоящие за подменой Meta Pixel, использовали недавно зарегистрированные домены с HTTPS.

В заключении отчета специалисты из Microsoft рекомендуют организациям обновить CMS и установленные плагины до последних версий и убедиться что все сторонние плагины и службы загружены только из надежных источников.
 
Последнее редактирование:
MM1234567.png


Клиенты «Ростелеком-Солар» смогут автоматизировать процесс реагирования на киберинциденты с помощью решения компании Security Vision. Услуга на базе Security Vision Incident Response Platform (IRP/SOAR) уже доступна всем заказчикам центра противодействия кибератакам Solar JSOC. За счет гибкого интерфейса платформы сервис можно настроить под любую инфраструктуру и сформировать сценарии реагирования, которые полностью соответствуют процессам у заказчика. Это поможет более оперативно и эффективно локализовывать инциденты информационной безопасности и ликвидировать их последствия. Опыт «Ростелеком-Солар» показывает, что абсолютное большинство компаний (почти 90%) предпочитает получать от SOC (Security Operations Center) услуги мониторинга и консалтинга, а техническое противодействие компьютерным атакам осуществлять силами собственных ИБ- и ИТ-служб. Но последним необходимо действовать максимально слаженно и быстро, ведь с каждым годом хакеры используют более сложные техники и тактики, увеличивая скорость развития атаки внутри сети. Сервис IRP от Solar JSOC помогает специалистам заказчика видеть в реальном времени все необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов. А благодаря максимально подробным и гибким механизмам реализации плейбуков процесс можно адаптировать для любого заказчика. Сценарии реагирования, которыми наполнена система, разработаны экспертами Solar JSOC на основе 10-летнего опыта противодействия кибератакам в совершенно разных отраслях. В результате в распоряжении клиента оказывается обширная база регулярно обновляемых плейбуков под каждый тип выявляемого инцидента. «С февраля спрос на системы типа IRP значительно возрос, так как компании столкнулись с ростом киберинцидентов, недостатком специалистов по информационной безопасности и новыми сложными компьютерными атаками. В таких условиях скорость реакции на каждый инцидент имеет ключевое значение и позволяет значительно сократить негативные последствия от действий хакеров. Также важно, чтобы плейбуки, которые заложены в IRP, соответствовали технологическим и структурным особенностям заказчика, а рабочее пространство было комфортным для его специалистов. Адаптивный интерфейс Security Vision IRP позволил нам сделать такой сервис, который будет удобен и полезен для каждого из наших клиентов», – отметил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Алексей Павлов. Для реализации сервиса внутренние процессы Solar JSOC были доработаны. В частности, появилась новые роли (аналитик IRP, инженер IRP), расширился функционал сервис-менеджеров и архитекторов, осуществляющих поддержку и контроль работоспособности компонентов SOC. Для заказчика решение может быть предоставлено в двух вариантах: гибридном, когда IRP размещена у заказчика, а ее настройкой и обслуживанием занимается сервис-провайдер, или полностью облачном (когда IRP расположена на платформе провайдера, а его специалисты реализуют полную поддержку сервиса). «Для нас как вендора развитие сервисов для операторов SOC является стратегическим направлением, поскольку наша платформа и программа лицензирования как нельзя лучше подходят коллегам. В них отсутствуют искусственные ограничения в части лицензирования, и функционал настолько модульный и гибкий, что позволяет воплотить любую потребность заказчика в области реагирования и автоматизации ИБ. История началась с одного общего кейса интеграции с Solar JSOC и сейчас развивается в комплексное плодотворное сотрудничество, расширяющее инструментарий и портфель Solar JSOC и, конечно, долю рынка обоих компаний в области автоматизации ИБ», – сказала коммерческий директор Security Vision Екатерина Черун.

Microsoft подтвердила, что в июне 2022 года разработчики устранили уязвимость ShadowCoerce, позволяющую злоумышленникам провести атаку на NTLM-ретранслятор Windows и получить контроль над доменом. С помощью бреши условный атакующий мог заставить уязвимый сервер аутентифицироваться с другим сервером, находящимся под контролем злоумышленника. Представитель Microsoft объяснил изданию BleepingComputer, что, несмотря на отсутствие публичного освещения проблемы, разработчики устранили уязвимость ShadowCoerce вместе с CVE-2022-30154, которая застраивает тот же компонент. Интересно, что техногигант пока отмалчивается: патч выпустили, однако нет никаких технических деталей и даже идентификатора CVE. Именно поэтому на просторах Сети появились просьбы (1, 2, 3, 4) к Microsoft — действовать более прозрачно. Напомним, что о ShadowCoerce в конце 2021 года рассказал исследователь Лайонел Гиллес. К счастью, для успешной эксплуатации по протоколу MS-FSRVP требуется, чтобы в системах была запущена служба File Server VSS Agent. Согласно демонстрации Гиллеса, MS-FSRVP также уязвим перед атаками на NTLM-ретранслятор, что позволяло киберпреступникам принудительно аутентифицировать контроллер домена с вредоносным ретранслятором. В июне мы писали про новую форму атаки — DFSCoerce, в которой используется распределённая файловая система MS-DFSNM для получения контроля над Windows-доменом.

Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Цель злоумышленников — корпоративные сети. На атаки указали исследователи из команды MalwareHunterTeam. В своём Twitter-аккаунте эксперты опубликовали несколько скриншотов сайта киберпреступников, на котором размещается информация об украденных данных. Вредоносная программа, используемая в этой кампании, получила имя RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию "N13V", согласно вытащенной из Linux-версии шифратора информации. Эта версия криптора предназначена для атак на серверы VMware ESXi. Благодаря возможности взаимодействия с командной строкой злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. Список команд выглядит следующим образом: -w Run command for stop all running VM`s -p Path to encrypt (by default encrypt only files in directory, not include subdirectories) -f File for encrypt -r Recursive. used only with -p ( search and encryption will include subdirectories ) -t Check encryption time(only encryption, without key-gen, memory allocates ...) -n Search without file encryption.(show ffiles and folders with some info) -x Asymmetric cryptography performance tests. DEBUG TESTS -h Show this message При запуске вредоноса с параметром "-w" шифратор завершает работу всех виртуальных машин VMware ESXi с помощью следующей команды: esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}' В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Кроме того, интерес вызывает функция RedAlert / N13V, которую вызывает параметр "-x": зловред выполняет тестирование производительности асимметричной криптографии, используя разные наборы параметров NTRUEncrypt. В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память: .log .vmdk .vmem .vswp .vmsn К зашифрованным файлам добавляется расширение .crypt658, RedAlert также оставляет в каждой директории записку с именем HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять.

Кампания, нацеленная на цепочку поставок NPM, использовала десятки вредоносных модулей, в которых содержался обфусцированный JavaScript, для компрометации веб-сайтов и десктопных приложений. Об атаках, стартовавших аж в декабре 2021 года, рассказали исследователи из ReversingLabs. Организаторами этой кампании стали участники киберпреступной группировки IconBurst. Злоумышленники использовали тайпсквоттинг для заражения разработчиков, которые искали популярные NPM-пакеты вроде umbrellajs и ionic.io. Если девелопер «клевал» на похожее имя, ему доставались вредоносные пакеты, предназначенные для кражи данных из встроенных форм — например, тех, что используются для входа в учётную запись. Один из таких злонамеренных пакетов — icon-package, который скачали 17 тыс. раз, был специально разработан для извлечения вводимых данных и отправки их на несколько доменов, находящихся под контролем киберпреступников. «IconBurst полагается на технику, известную как тайпсквоттинг: через публичные репозитории злоумышленники предлагают пакеты, чьи имена практически идентичны легитимным (за исключением небольших опечаток)», — пишут специалисты ReversingLabs. «Более того, общие черты фигурирующих в кампании доменов, на которые отправляются скомпрометированные данные, подтверждают, что все фейковые модули находятся под контролем одних и тех же киберпреступников». ReversingLabs сообщила о своих находках команде безопасности NPM 1 июля 2022 года. Тем не менее некоторые из пакетов IconBurst до сих пор доступны для скачивания.

Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила первый пакет экспертизы для выявления атак на АСУ на базе ПЛК Siemens Simatic S7. В пакет, доступный клиентам Positive Technologies в рамках лицензии для защиты индустриального сегмента, также включены правила, позволяющие обнаружить вредоносные программы, заточенные под АСУ ТП, — в том числе неизвестные. В I квартале промышленные предприятия, по данным ИБ-компании, заняли третье место среди наиболее атакуемых российских учреждений, обогнав СМИ, сферу услуг, ИТ, науку и образование. Тенденция сохраняется уже несколько лет; в связи с этим остро встал вопрос об обеспечении комплексной защиты инфраструктуры промышленных компаний. Таким решением является платформа PT ICS, объединяющая ключевые продукты Positive Technologies. Инструменты, хорошо известные корпоративным клиентам компании, дополнены возможностями по выявлению угроз, специфичных для АСУ ТП. Представленный пакет экспертизы PT ICS содержит 24 правила корреляции для MaxPatrol SIEM, которые позволяют обнаружить атаки на АСУ, полагающиеся на ПЛК Siemens семейства Simatic S7. В частности, они помогают выявить действия злоумышленников в среде разработки Totally Integrated Automation Portal (TIA Portal), Simatic Step 7 и SCADA-системах Simatic WinCC. В итоге MaxPatrol SIEM в составе PT ICS обрел возможность отслеживать события, грозящие нарушением технологического процесса — например, такие: изменение параметров сети в ПЛК, изменения в системном каталоге TIA Portal, удаленное управление рабочей или инженерной станцией (сервером). Новую экспертизу получил и PT Sandbox: он теперь умеет динамически выявлять использование инструментов Energetic Bear, Industroyer, Industroyer2, Triton и других вредоносных программ, взаимодействующих с контроллерами. Продукт также проводит поведенческий анализ образцов, обнаруженных в файлах и ссылках из почты, трафика, общих сетевых папок и конечных узлов АСУ ТП, и по специфической активности определяет зловредов, нацеленных на компоненты SCADA. Кроме того, новые правила детектирования PT Sandbox помогают статически выявлять попытки сканирования портов, используемых промышленными ПЛК более 50 зарубежных и отечественных вендоров, в том чсиле CIP, ELCOM, IOSYS, Modbus и PhoenixHW. Подобная активность может свидетельствовать о поиске ПЛК и SCADA-систем, пригодных для атаки. «Расширив существующие лицензии для поддержки промышленного сегмента, специалисты по ИБ продолжат работать со знакомыми и понятными инструментами, дополненными технологической экспертизой, — комментирует Роман Краснов, руководитель направления кибербезопасности промышленных предприятий в Positive Technologies. — Это позволит компаниям снизить затраты на внедрение новых систем кибербезопасности и интеграцию сторонних решений, а также повысить эффективность работы служб ИБ». По словам эксперта, функциональность PT ICS будет и впредь совершенствоваться за счет новых возможностей и агентов. Таким образом, индустриальные компании смогут на одной платформе и в едином продуктовом портфеле построить SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой. Согласно пресс-релизу, следующие пакеты экспертизы PT ICS будут сформированы для таких компонентов, как MaxPatrol VM, MaxPatrol SIEM, PT ISIM и PT XDR.

Группировка, стоящая за атаками шифровальщика AstraLocker, объявила о прекращении вымогательской деятельности. Теперь киберпреступники хотят переключиться на криптоджекинг. Более того, операторы AstraLocker даже загрузили на VirusTotal ZIP-архив с дешифраторами, которые помогут вернуть пострадавшие файлы в прежнее состояние. Специалисты BleepingComputer проанализировали архив и подтвердили подлинность инструментов для расшифровки. «Это было весело, но всё веселье когда-нибудь подходит к концу. Я сворачиваю операцию, дешифраторы в архиве, чистые. Я ещё вернусь», — объясняет своё решение один из авторов AstraLocker. Причину прекращения атак злоумышленник не раскрыл, однако есть мнение, что кампании AstraLocker могли привлечь внимание правоохранительных органов. Такое уже встречалось раньше, стоит вспомнить пример того же BlackMatter, операторы которого вышли из игры благодаря давлению правоохранителей. Над универсальным дешифратором в настоящее время работают специалисты Emsisoft, в скором времени он будет доступен всем пострадавшим от программы-вымогателя. Атаки AstraLocker, к слову, примечательны необычным методом шифрования устройств жертв. Как отметили исследователи из ReversingLabs, вместо компрометации девайсов злоумышленники разворачивали пейлоад непосредственно из вложений в письмах, используя вредоносные документы Microsoft Word. Перед шифрованием вредонос всегда проверял, запущен ли он в виртуальной машине, а также завершал процессы антивирусов и препятствовал созданию резервных копий.
 
Последнее редактирование:
MM1234567.png


Компания предупреждает пользователей о новом вымогательском ПО Checkmate, нацеленном на NAS-устройства.
image


QNAP утверждает, что атаки Checkmate направлены на устройства QNAP с выходом в Интернет и включенной службой SMB, а также на учетные записи со слабыми паролями, которые легко взламываются брутфорсом.

Checkmate – свежая программа-вымогатель, впервые обнаруженная в мае 2022 года. Вредонос добавляет расширение .checkmate к зашифрованным файлам и оставляет записку о выкупе под названием !CHECKMATE_DECRYPTION_README.
D8wR3WRp76KdspeeqyAD5lwK6X9oyUXkaoZpj0fnWNDlD6aDuIQ7-98-PVMwpCOCS95O2Nv_je20QcQElxQltNfTGZ8BxJfb3p_UfZdSoXV5QSq2WVzClEvMnwJe_hVioPAGYU30l5QG1l8MqA


Скриншот записки о выкупе от Checkmate. [/center]

Хотя на официальных форумах QNAP или в социальных сетях нет никаких сообщений об атаках с использованием Checkmate, в специальной ветке форума BleepingComputer появились файлы, которые были зашифрованы с помощью этого вредоноса. По данным QNAP, стоящие за этой кампанией злоумышленники удаленно входят в NAS-устройство с помощью скомпрометированных учетных записей. Получив доступ, хакеры начинают шифровать файлы в общих папках (но если верить сообщениям жертв, Checkmate шифрует все данные).

Чтобы получить дешифратор и ключ для расшифровки, злоумышленники требуют жертв заплатить 15 000 долларов в биткоинах.

QNAP предупредила клиентов о том, что не следует открывать NAS-устройствам доступ в Интернет, попросила использовать VPN и блокировать попытки хакеров войти в систему с помощью скомпрометированных учетных записей. Компания также призвала пользователей немедленно проверить свои учетные записи и убедиться, что они используют надежные компании и делают резервные копии файлов.

Специалисты подозревают в содеянном подгруппу вымогателей Conti.
image


Professional Finance Company Inc. (PFC), компания полного цикла по управлению дебиторской задолженностью, сообщает, что атака с использованием вымогательского ПО в конце февраля привела к утечке данных, затронувшей более 600 медицинских организаций.

Основанная в 1904 году, PFC помогает тысячам медицинских, государственных и коммунальных организаций по всей территории США обеспечить своевременную оплату счетов клиентами.

5 мая компания начала рассылать пациентам пострадавших медицинских учреждений уведомления, в которых сообщалось, что злоумышленники получили доступ к файлам с их личной информацией, а затем зашифровали некоторые системы PFC. В руках хакеров оказались:
  • Имена и фамилии пациентов;
  • Адреса;
  • Информация об остатке дебиторской задолженности;
  • Информация о платежах по счетам.

В некоторых случаях файлы также содержали даты рождения, номера социального страхования, информацию о медицинском страховании и лечении.

Хотя PFC не сообщила точное число пострадавших медицинских учреждений, она дала ссылку на PDF-файл со списком всех пострадавших организаций, содержащий названия 657 медицинских учреждений.

"Сегодня PFC рассылает письма потенциальным жертвам с подробной информацией об инциденте и предоставляет ресурсы, которые они могут использовать для защиты своей информации", – заявила компания. "PFC также предлагает пострадавшим доступ к бесплатным услугам кредитного мониторинга и защиты личных данных от Cyberscout".

Генеральный директор AdvIntel заявил, что за атакой стоят злоумышленники, связанные с подгруппой вымогателей , которая использует Cobalt Strike для проникновения в системы жертв и крадет данные с помощью инструментов командной строки.

OrBit позволяет злоумышленникам похищать учетные данные жертв и регистрировать tty-команды.
image



ИБ-специалисты из компании Intezer подробно описали новый вредонос, получивший название Orbit. Вредоносная программа предоставляет хакерам удаленный доступ к Linux-системам по SSH, позволяет красть учетные данные пользователей и регистрировать tty-команды.

Кроме того, OrBit заражает запущенные устройстве процессы, благодаря чему хакеры получают контроль над системой, необходимый для слежки за жертвой, кражи ее информации и сохранения бэкдора.

После развертки вредонос устанавливает удаленное соединение с устройством и подключает функции модуля Pluggable Authentication Module. Таким образом, OrBit может красть информацию из SSH-соединений, предоставляя удаленный доступ злоумышленникам и одновременно скрывая сетевую активность жертвы.

OrBit также способен прочно закрепляться в системе, так как использует инструкции, запускающие вредоноса перед любыми другими процессами. К тому же, OrBit отлично уклоняется от обнаружения, манипулируя выходными данными и просто не позволяя обнаружить информацию, которая может раскрыть его существование.

"В отличие от других похожих вредоносных программ, OrBit крадет информацию из различных команд и утилит, после чего сохраняет ее во временных файлах на устройстве", – говорит Николь Фишбейн, исследователь безопасности из компании Intezer .

"Вредоносное ПО, нацеленное на Linux, продолжает развиваться, успешно оставаясь вне поля зрения систем безопасности. OrBit стал еще одним примером того, насколько скрытными и устойчивыми могут быть новые вредоносы", – добавила она.

Пoльзoвaтeль, oбнapуживший пpoблeму, будeт вoзнaгpaждeн пpeмиeй зa нaxoждeниe ошибки.
image


В четверг компания Decentral Bank сообщила об исправлении ошибки в смарт-контракте, которая на короткое время привела к майнингу около 10 триллионов токенов USN. Команда сожгла токены и планирует вознаградить пoльзoвaтeля зa нaxoждeниe бага.

Decentral Bank — это децентрализованная автономная организация (DAO), которая занимается разработкой cтeйблкoинa USN нa блoкчeйнe Near.

Ошибка была обнаружена, когда пользователь под ником "pavladiv.near" попытался обменять 5 USN ($5) на 5 USD Tether (USDT) в 01:35 6 июля (по восточному времени).

Однако возникла проблема, из-за которой своп не работал, если на кошельке не было USDT (несмотря на то, что они не требовались для свопа). В результате этой ошибки обмен не состоялся.

Пользователь попробовал выполнить процесс дважды, и в обоих случаях он завершился неудачей. Поскольку транзакция не прошла, смарт-контракт USN попытался вернуть деньги. Именно здесь и произошла настоящая оплошность.

Баг вызвал неправильное размещение десятичных знаков при возврате USN pavladiv.near. Вместо того чтобы вернуть 4,9995 USN (около 5 долларов), ошибка в смарт-контракте оба раза привела к выпуску 4,9995 триллиона USN, создав таким образом почти 10 триллионов долларов из воздуха.

Decentral Bank, заметив баг в майнинге, приостановил действие контракта и внедрил исправление, чтобы предотвратить неправильное размещение десятичных знаков при возврате средств за неудачный своп. Команда также сожгла излишки токенов USN, выпущенных в результате ошибки, восстановив оборотное предложение USN до корректного состояния.

Если бы ошибка осталась незамеченной, ее можно было бы использовать для создания бесконечного количества USN. В результате это могло привести к полному опустошению пула ликвидности USDT на Ref Finance. Ref Finance является протоколом DeFi в сети Near, а также одним из спонсоров и основных участников Decentral Bank.

Paзpaбoтчики USN cooбщили o тecтиpoвaнии cooтвeтcтвующeгo иcпpaвлeния для пoльзoвaтeлeй c кoшeлькaми бeз USDT. Decentral Bank рекомендует пользователям держать нeбoльшую чacть USDT пpи выпoлнeнии пoдoбныx cвoпoв дo выпуcкa пaтчa.

Пoльзoвaтeль, oбнapуживший пpoблeму, будeт вoзнaгpaждeн пpeмиeй зa нaxoждeниe бaгa.

Криптохакеру удалось получить в качестве вознаграждения $1,76 млн.
image


Crema Finance, первый специализированный протокол ликвидности на блокчейне Solana, недавно столкнулся с крупной атакой, которая привела к потере криптовалюты на сумму 9 млн долларов. Однако Crema Finance удалось вернуть свое состояние.

После того, как хакеру удалось украсть $9M через флэш-кредиты Solend, украденные Ethereum (ETH) и Solana (SOL) были успешно отслежены. Чуть позже был установлен адрес, предположительно принадлежащий хакеру. Crema Finance воздержалась от обращения к властям и немедленно связалась с мошенником. После долгих и трудных переговоров между хакером и компанией было достигнуто соглашение. Представители компании назвали хакера «белой шляпой».

Криптохакеру удалось получить в качестве вознаграждения 45 455 соланов (SOL), что составляет $1,76 млн. Остальные $7,3 млн в украденных ETH и SOL были возвращены.

«После длительных переговоров хакер согласился оставить 45 455 SOL в качестве вознаграждения за «белую шляпу». Мы подтверждаем получение 6 064 ETH и 23 967,9 SOL в четырех транзакциях», - сказали в Crema Finance.

Изначально хакеру предлагали награду в $800 тыс., однако злоумышленник не согласился, и сумма была увеличена вдвое.

Исследователь использовал «коридор для мочи»
image


ИБ-специалисту Эндрю Тирни удалось получить несанкционированный доступ к ЦОД через «коридор для мочи». Тирни, который работает консультантом в службе ИБ-безопасности Pen Test Partners , рассказал, что можно получить физический доступ к предположительно безопасной зоне ЦОД через его туалеты.

Тирни показал, что в неназванном объекте есть отдельная ванная комната для общего офисного помещения и безопасная зона, где размещена IT-инфраструктура. Однако, 2 туалета были смежными и образовывали общее пространство для обслуживания туалетов за кабинками, которое он назвал «коридором для мочи».



«Одной из моих любимых способов физического доступа к ЦОД были туалеты. Мне нужно было перейти с менее защищенной стороны подвального этажа к более защищенной стороне», - написал Тирни в Twitter .

В это помещение можно попасть через потайную дверь в туалете для инвалидов. Тирни вошел в туалеты со стороны общего офисного помещения и получил доступ к «коридору для мочи» через большую кабинку для инвалидов. Тирни не уточнил, пришлось ли взламывать замки на скрытых дверях, чтобы войти.

Исследователю удалось обойти систему безопасности ЦОД, при которой персонал должен «сдать все цифровые устройства» при входе. Кроме того, схема туалета показана на плане этажа. Это значит, что любой мог понять, как обойти систему безопасности.

Тюрьма Порт-Филлип была вынуждена приостановить посещение заключенных после кибератаки.
image


Анонимные хакеры взяли под контроль интернет-сеть тюрьмы Порт-Филлип, из-за чего руководство было вынуждено усилить меры безопасности. Пока полиция расследует кибератаку, посещать заключенных запрещено. Запрещены как личные встречи, так и звонки по видеосвязи. Доступ к телефонам имеют только социальные работники и адвокаты.

Полиция и правительственная группа по реагированию на киберинциденты штата Виктория были уведомлены о хакерской атаке.

Представитель компании G4S, оператора Порт-Филип, подтвердил кибератаку на системы тюрьмы. Департамент исправительных учреждений и тюрем штата Виктория сообщил, что Порт-Филлип испытывает "сетевые проблемы", из-за чего связь с заключенными ограничена.

"Исправительные учреждения Виктории в настоящее время работают с компанией G4S над тем, чтобы эти проблемы были решены как можно быстрее", – сказала пресс-секретарь департамента. "Безопасности сотрудников и персонала ничего не угрожает".

Специалисты показали сценарий, который может привести к распространению вредоносного ПО и краже данных
image


Исследователи безопасности предупреждают, что хакеры могут использовать онлайн-платформы обучения программированию для удаленного запуска кибератак, кражи данных и сканирования уязвимых устройств, просто используя веб-браузер.

Обучающая платформа DataCamp позволяет злоумышленнику компилировать вредоносные инструменты, размещать или распространять зловредное ПО и подключаться к внешним службам.

DataCamp предоставляет интегрированные среды разработки (integrated development environments, IDE) для выполнения пользовательского кода, загрузки файлов и подключения к базам данных. Аудитория сервиса насчитывает около 10 млн. пользователей, которые изучают Data Science с использованием различных языков программирования и технологий (R, Python, Shell, Excel, Git, SQL).

Исследователи из компании Profero решили изучить сценарий атаки . Расширенная онлайн-среда Python IDE от DataCamp предлагает пользователю возможность устанавливать сторонние модули, которые позволяют подключаться к корзине хранилища Amazon S3. Специалисты смогли получить доступ к корзине S3 и эксфильтровать все файлы в рабочую среду на веб-сайте платформы.

Атака, скорее всего, пройдет незамеченной, и «даже те, кто будет дополнительно проверять соединение, зайдут в тупик, потому что нет известного окончательного источника, в котором указан диапазон IP-адресов Datacamp».

Также DataCamp позволил скомпилировать инструмент картирования сети Nmap, который используется в кибератаках. Эксперты смогли загрузить EICAR, файл для тестирования работы антивирусного ПО, и получить ссылку для его распространения. Ссылка для загрузки может использоваться для загрузки дополнительных вредоносных программ в зараженную систему с помощью простого веб-запроса.



Кроме того, ссылка для скачивания может позволить разместить вредоносное ПО для фишинговой атаки или дополнительной полезной нагрузки.

«Существует неотъемлемый риск того, что некоторые люди могут попытаться злоупотребить нашими системами, поскольку платформа обеспечивает живую вычислительную среду», — заявил представитель DataCamp.

DataCamp заявила, что они «приняли разумные меры», чтобы предотвратить вредоносные атаки на других пользователей платформы. «Кроме того, мы внедрили политику ответственного раскрытия информации и постоянно отслеживаем наши системы для снижения рисков», — сказали в DataCamp.

Компания вернула запуск макросов по умолчанию, не предупредив об этом пользователей
image


Microsoft планирует отменить введённый запрет на автоматический запуск макросов документа Office, загруженного из Интернета. В феврале 2022 года компания объяснила , насколько опасными являются макросы, написанные с помощью Visual Basic for Applications. Макросы позволяют злоумышленнику размещать вредоносные полезные нагрузки на устройстве.

В феврале этого года Microsoft решила заблокировать макросы по умолчанию в Access, Excel, PowerPoint, Visio и Word, объяснив это тем, что это изменение сделало Office «более безопасным и, как ожидается, обеспечит безопасность большего числа обычных пользователей и организаций». Но недавно компания отменила это решение.

Пользователь под ником vincehardwick заметил , что блокировка макросов по умолчанию, вероятно, была удалена в Current Channel for Office.

«На основании полученных отзывов начался откат (Rollback). В настоящее время ведется обновление информации об откате. Я приношу извинения за любые неудобства, связанные с тем, что откат начался без уведомления», — заявила сотрудник Microsoft Анджела Робертсон.

«Тайный откат недавно реализованного изменения — это очень плохое управление продуктом», — добавил пользователь vincehardwick.
 
Последнее редактирование:
MM1234567.png


Специалисты компании Zimperium обнаружили 350 вариаций вредоносного расширения, маскирующегося под полезные аддоны для Google Chrome, Opera и Mozilla Firefox и атакующего пользователей из России. Zimperium назвала это семейство адваре "ABCsoup". По словам исследователей, нежелательный софт устанавливается на компьютеры жертв с помощью исполняемого файла для Windows. При этом авторам вредоноса удаётся обходить большинство защитных программ, а также проверки в официальных магазинах расширений. Интересно, что идентификатор адваре совпадает с идентификатором официального расширения Google Translate — aapbdbdomjkkjkaonfhkkikfgjllcleb, что позволяет убедить пользователя в легитимности аддона. Если же у пользователя уже установлен Google Translate, вредоносный аддон просто подменяет его. «Кроме того, когда злонамеренное расширение установлено, Chrome Web Store считает, что это безобидный аддон, поскольку магазин проверяет только ID», — пишут исследователи из Zimperium. Все варианты адваре показывают всплывающие рекламные окна, собирают персональные данные и внедряют вредоносный JavaScript-код, который действует как шпионский софт: записывает нажатия клавиш и мониторит веб-активность. ABCsoup также проверяет у жертвы наличие российских соцсетей «ВКонтакте» и «Одноклассники», собирая данные этих аккаунтов.

Компания Emsisoft выложила в общий доступ утилиты для восстановления файлов, зашифрованных AstraLocker и Yashma. Инструменты предоставляются в пользование на безвозмездной основе. Декриптор для AstraLocker или Yashma можно скачать с сайта Emsisoft; там же приведена ссылка на руководство по использованию (в PDF). Эксперты предупреждают, что до запуска утилиты резидентного зловреда нужно поместить в карантин, иначе он вновь активируется и сведет на нет все усилия по возврату данных. В Твиттере Emsisoft уточнила, что бесплатный инструмент для жертв AstraLocker поможет вернуть содержимое файлов с дополнительным расширением .Astra или .babyk. В случае Yashma инструмент успешно восстанавливает данные, если шифровальщик использует .AstraLocker либо расширение с произвольным набором символов (a-z0-9{4}). Жертвам зловредов, внедренных в систему через взлом службы удаленных столов Windows, рекомендуется сменить пароли ко всем пользовательским аккаунтам с разрешением на дистанционный вход. Нелишне также поискать локальные учетные записи, которые могли создать операторы шифровальщика. Вредонос AstraLocker создан на основе Babuk, исходники которого были в прошлом году опубликованы на хакерском форуме. Вымогатель Yashma — это новейшая версия Chaos, который любит присваивать имена конкурентов; операторы Yashma иногда выдают его за AstraLocker версии 2.0. Недавно кибергруппа, стоящая за AstraLocker, объявила, что сворачивает операции и переключается на криптоджекинг. На VirusTotal был выложен архивный файл с ключами, которые, видимо, послужили основой при создании декриптора в Emsisoft. Подобный жест доброй воли нечасто, но все же случается в мире вымогателей — когда они закрывают лавочку или прекращают разработку, решив развивать новую, более удачную ветку. Примером тому — слив дешифраторов Ragnarok, Avaddon, SynAck, Ziggy, Shade и AES-NI.

Компания QNAP предупредила пользователей NAS-устройств о появлении нового шифровальщика — Checkmate. Злоумышленники внедряют его, используя интернет-доступ к службе SMB и слабые пароли к аккаунтам, которые они пытаются угадать перебором по словарю. Первые атаки Checkmate ИБ-эксперты зафиксировали в конце мая. Вредонос использует алгоритмы AES и RSA (в последнем случае для защиты AES-ключа) и шифрует содержимое файлов не полностью — только первые 8192 байта. После преобразования к имени файла добавляется расширение .checkmate, а в папке создается блокнотная запись !CHECKMATE_DECRYPTION_README. За ключ дешифровки вымогатели взимают $15 тыс. в биткоинах, но итоговый размер выкупа, по их словам, зависит от количества зашифрованных файлов. Для связи (пробной расшифровки) жертве предоставляют ссылку на специально созданный Telegram-канал. Об успехе новой ransomware-кампании можно судить по жалобам на форуме BleepingComputer. Одному из участников удалось расшифровать jpg-файлы, которые заблокировал Checkmate; к сожалению, этот способ работает далеко не во всех случаях. В бюллетене QNAP приведены рекомендации по снижению рисков, связанных с новой угрозой: не выводить SMB-сервис в интернет; организовать доступ к NAS через VPN; отключить SMBv1; обновить QTS/QuTS до последней версии; усилить пароли ко всем NAS-аккаунтам; создать бэкап и регулярно выполнять резервное копирование. С середины июня пользователям QNAP NAS досаждает также вернувшийся eCh0raix. Его собрат DeadBolt тоже засветился в вымогательских атаках, которые тайваньский производитель обещал разобрать и опубликовать результаты.

Специалисты компании «Ростелеком-Солар» провели исследование, в ходе которого пытались оценить защищённость российских компаний. Вывод неутешительный: в системах и приложениях внешнего периметра около 80% организаций используются ненадёжные пароли. По словам исследователей из «Ростелеком-Солар», анализ проводился с начала 2021 года по май 2022-го и затронул организации финансовой и энергетической сфер, а также ИТ, телеком ретейл и другие отрасли. В основном проблема слабых паролей касается приложений и сервисов, например для удалённого доступа — VPN, RDP и т. п. Эксперты выяснили, что веб-приложения являются наиболее вероятной точкой проникновения киберпреступников в корпоративную сеть. Всего два года назад слабые пароли были больше присущи софту во внутреннем периметре, тем не менее за это время выросло число приложений и сервисов, которые компании вывели на внешний периметр. Само собой, это связано с гибридным форматом работы, который навязала нам пандемия COVID-19. Работодатели заинтересованы в том, чтобы предоставить сотрудникам доступ к корпоративным ресурсам из дома. В «Ростелеком-Солар» выяснили, что большая часть векторов проникновения в сеть связана с эксплуатацией уязвимостей в веб-приложениях: личный кабинет на сайте, ресурс для сотрудников, электронная почта и т. п. Низкий уровень защищённости исследователи отметили в 53% изученных веб-приложений. Распространёнными проблемами стали загрузка исполняемых файлов, внедрение команд на уровне операционной системы, доступ к админ-ресурсам, некорректная настройка прав доступа. Во внутренних сетях специалисты выявили не только слабые пароли, что и небезопасное хранение данных. Конфиденциальная информация нашлась в 42% проектов. Интересно, что повторные исследования показали, что 63% ранее выявленных проблем были устранены, то есть компании стремятся стать более защищёнными.

Злоумышленники атакуют владельцев веб-сайтов банковским трояном IcedID. Кампания примечательна прикрытием в виде фейковых жалоб на нарушение авторских прав и использованием сервиса «Яндекс Формы». Судя по всему, за атаками стоит киберпреступная группировка TA578. Выбрав в качестве цели администраторов веб-ресурсов, хакеры используют страницу с контактами для отправки юридически оформленных претензий. Задача — заставить жертву скачать отчёт о материалах, нарушающих авторские права. Одну из таких «жалоб» получило издание BleepingComputer: уведомление о нарушении авторских прав якобы пришло от компании Zoho. В письме злоумышленники указывали следующее: «Добрый день! Ваш сайт или сайт, который обслуживает ваша организация, нарушает авторские права — размещены медиаматериалы (изображения), принадлежащие нашей компании (zoho Inc.). Ознакомьтесь с отчётом, в котором содержатся ссылки на нарушающие права материалы, размещённые на . Загрузите документ по адресу https://forms[.]yandex[.]com/u/62c3f14d59f1f7ef4295d2c1/success/?0=74299.... Полагаю. что вы умышленно нарушили наши права и должны нести ответственность в установленном законом порядке. Это официальное уведомление, поэтому жду, что вы удалите все проблемные материалы с вашего сайта». Интересно, что в этой кампании киберпреступники переключились на использование сервиса «Яндекс Формы», позволяющего не только создавать настраиваемые поля, но и фишинговые страницы. Если жертва перейдёт по указанной ссылке, сервис выдаст сообщение «файл "Stolen Images Evidence" готов к загрузке». Далее скачивается файл в формате ISO — "Stolen_ImagesEvidence.iso", который монтирует диск. При открытии пользователь видит директорию "documents" и DLL-файл. Папка является ярлыком, который запускает вредоносную библиотеку с помощью rundll32.exe. Сама DLL как раз и представляет собой банковский троян IcedID, основная цель которого — украсть ваши данные.
 
Последнее редактирование:
MM1234567.png

А для жертв исход один – потеря своей криптовалюты.
image



Пока одни злоумышленники создавали криптовалютные скам-сайты, другие учились их взламывать. Примером этого стала группировка Water Labbu – хакеры взламывают сайты мошенников и внедряют в их HTML свой вредоносный JS-код.

content-img(546).png


Скам-сайт, взломанный Water Labbu. [/center]

Группировка не вступает в контакт с жертвами и оставляют всю социальную инженерию на мошенников. По данным аналитиков, Water Labbu взломала по меньшей мере 45 мошеннических веб-сайтов и заработала около 316 тысяч долларов.

Проанализировав один из взломанных сайтов, специалисты обнаружили, что группировка внедрила тег IMG для загрузки вредоносного JS-кода в кодировке Base64 с помощью события "onerror", тем самым обходя XSS (Cross Site Scripting, межсайтовый скриптинг) – один из типов уязвимостей компьютерной системы, используя которую хакер может внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код. Специфика хакерских атак, с использованием XSS, заключается в том, что вместо атаки, нацеленной на сервер, мошенники используют сервер в качестве средства атаки на клиента.

Обычно XSS-атаки направлены на хищение личных данных, таких как cookies, паролей и пр. Такая атака также может внедрять код скриптов и ссылок на web-страницы.

Ранее программисты не уделяли должного внимания XSS-атакам, так они считались неопасными. Однако на web-странице или в HTTP-Cookie могут содержаться потенциально важные данные (к примеру, идентификатор сессии администратора). На популярный сайт при помощи XSS уязвимости можно осуществить DDoS-атаку.
" data-html="true" data-original-title="XSS">XSS-фильтры.

Внедренный вредоносный код создает скрипт, который загружает другой скрипт с сервера злоумышленников. Последний скрипт собирает адреса и балансы кошельков TetherUSD и Ethereum.

script-collecting-wallet-balance.png


Если баланс жертвы превышает 0,005 ETH или 22 000 USDT, Water Labbu начинает атаку с определения ОС цели (Windows, Android или iOS). Дальше есть два сценария развития событий:

У жертвы мобильное устройство. Тогда вредоносный скрипт отправляет запрос на одобрение транзакции через dApp (децентрализованное приложение), которое выдает себя за сайт мошенников. Если жертва соглашается провести транзакцию, то вредоносный скрипт собирает все средства с кошелька цели и отправляет их на кошелек Water Labbu;

У жертвы устройство на Windows. В этом случае взломанные сайты показывают фейковое уведомление об обновлении Flash Player, наложенное на сайт мошенников. Соглашаясь на "обновление", цель на самом деле загружает бэкдор. Этот бэкдор используется для кражи данных криптокошельков и cookie-файлов с устройства жертвы.

Несмотря на все эти махинации, для жертв исход один: потеря всей своей криптовалюты. Деньги просто уходят не создателям скам-сайта, а Water Labbu.

Злоумышленники могли похитить результаты исследований и конфиденциальные данные компании ADATA.
image


Группировка RansomHouse добавила в список своих жертв ADATA – тайваньского производителя карт памяти и накопителей. Хакеры утверждают, что им удалось заполучить 1 ТБ данных компании.

И хотя злоумышленники не уточняют, какая именно информация попала им в руки, сообщение на сайте RansomHouse намекает на то, что украденные данные могут быть связаны с исследованиями и разработками компании.



VO9pc55mF4fXezdf0-GSjDc_72nurLm5Jq109OKqkCVeXKtnhkOmCNZ5QXQqIOTL2EFL6GMorFj8DRyMPm3oIpSJhFoxoe8g4p4wo-eG8qT7bhnVSLLlZypQJ1EPH7rt43h11BoEKJ9jfn_H28gXqnslW3CcOYpCcdVcXNlqz194ioUaqt9Xot9njA
Запись на сайте злоумышленников.

На данный момент ADATA не отвечает на запросы СМИ и перенаправляет пользователей на американскую версию сайта. Однако неясно, связано ли это с возможной атакой.

Если информация подтвердится, это будет уже второй случай утечки данных ADATA за последние 15 месяцев. Напомним, в июне прошлого года компания пополнила список жертв вымогателя Ragnar Locker. Тогда хакеры украли около 700 ТБ конфиденциальных данных производителя карт памяти.

Пользователь платит за аренду виртуального номера своими личными данными.

Исследователи ИБ-компании Zimperium Labs для Android под названием RatMilad, которое создано злоумышленниками на Ближнем Востоке и используется для слежки и кражи данных пользователей. Украденные данные могут быть использованы для доступа к частным корпоративным системам, шантажа жертвы и других злонамеренных целей.

Шпионское ПО распространяется через поддельный генератор виртуальных номеров NumRent. После установки приложение запрашивает сомнительные разрешения, а затем использует их для загрузки вредоносной полезной нагрузки RatMilad.

Центральное бюро расследований Индии (CBI) в понедельник сообщило, что в международном аэропорту Дели был задержан гражданин России, подозреваемый во взломе программной платформы, которая использовалась для проведения объединенного вступительного экзамена (JEE). JEE – это вступительный экзамен по инженерным специальностям, проводимый для поступления в различные инженерные колледжи в Индии.

Имя задержанного не было раскрыто правоохранительными органами, но индийские СМИ идентифицировали его как Михаила Шаргина.

В дальнейших заявлениях CBI уточнило, что Шаргин принимал участие во взломе программной платформы iLeon, произошедшем в сентябре 2021 года. Хакер и его сообщники сумели получить удаленный доступ к компьютерам некоторых студентов в экзаменационном центре, после чего решали задания от их имени. За свои услуги злоумышленники брали с каждого желающего от $14 700 до $18 400.

Современные возможности позволяют даже неопытным хакерам зарабатывать миллионы, используя готовое решение более продвинутых коллег.
image



Программа-вымогатель — один из самых опасных типов вредоносных программ. Стать жертвой атаки программ-вымогателей часто означает потерю незаменимых файлов и времени, потраченного впустую на восстановление доступа к компьютеру. Но когда мишенями стали крупные организации, правительства и даже страны, это стало гораздо более опасным.

Как происходит атака программы-вымогателя?

Вы получаете по почте счет в документе Microsoft Word и, не задумываясь, нажимаете на него. В этот момент вы установили программу-вымогатель. Вредоносное ПО последовательно шифрует ваши файлы на компьютере, а затем отображает сообщение на экране – «заплатите и получите свои файлы или потеряете их навсегда». Это один из видов программ-вымогателей, распространяемых с помощью фишинговых кампаний.

Прибыльный бизнес

Развитие программ-вымогателей ошеломляет: от троянской программы AIDS 1989 года до сложной бизнес-модели. Троянец AIDS провел первую в истории вымогательскую атаку в 1989 году, когда биолог-эволюционист доктор Джозеф Попп разослал жертвам по электронной почте 20 000 дискет с вредоносным ПО.

Сейчас группировки предлагают программу-вымогатель как услугу (Ransomware-as-a-Service, Программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS) - это бизнес-модель, при которой программа-вымогатель сдается в аренду киберпреступникам.

Разработчик вымогательского ПО предоставляет готовый код шифровальщика другим хакерам. Клиент арендует код шифровальщика у его автора, настраивает его под себя, а затем использует в атаках по своему усмотрению.

В Raas-модели разработчик программы-вымогателя забирает себе небольшой процент от выкупа жертвы, а большая часть средств достается атакующему.

" data-html="true" data-original-title="RaaS">RaaS) и работают с аффилированными лицами, чтобы расширить свое влияние для целевых организаций любого масштаба. Самые известные представители RaaS-модели:
  • REvil ;
  • Maze ;
  • LockBit ;
  • Ragnar Locker ;
  • Conti ;
  • SunCrypt .
Кроме того, некоторые операторы программ-вымогателей публикуют украденные данные компаний в даркнете, если они не получили выкуп от жертв в течение определенного периода времени.

Кто забирает самый большой кусок?

Группировки теперь пытаются решить проблему нехватки рабочей силы, нанимая новых участников. Несколько лет назад они просто размещали объявления на хакерских форумах в поисках партнеров.

Сегодня это не так распространено из-за того, что юридические лица уделяют особое внимание программам-вымогателям. Поэтому сейчас некоторые группировки нанимают тех хакеров, с которыми они уже сотрудничали.

Обычно по RaaS-модели операторы программы-вымогателя забирают себе 20-30% от суммы выкупа жертвы, а 70% остается аффилированным лицам. Крупнейший выкуп хакерам составил $18 млн ., поэтому каждый участник схемы имеет большой заработок.

Покупатели RaaS фактически выполняют большую часть работы – получение первоначального доступа, взлом системы и боковое перемещение. Киберпреступники покупают доступ у брокеров доступа, сканируя на наличие уязвимостей или просто используя социальную инженерию или фишинг, чтобы закрепиться в сети. Как правило, хакеры проводят атаки там, где у них больше шансов остаться незамеченными.

После взлома сети и эксфильтрации данных операторы программ-вымогателей предлагают жертве способ оплаты. Как правило, биткоин является распространенной формой платежа, узаконенной различными способами, часто через третьих лиц.

Согласно отчету IBM, банды вымогателей живут около 17 месяцев. Несмотря на растущие усилия правоохранительных органов, группировки легко перезапускают деятельность и переименовывают себя, чтобы избежать идентификации. Например, в этом году крупная группа Conti прекратила свою деятельность , а группировка Cl0p возобновила свою активность . При этом, даже если группировка исчезает, то ее RaaS-модель остается, и ее используют другие киберпреступники.

Сдвиг на рынке

Помимо бизнес-моделей, в ландшафте программ-сами хакеры оказываются жертвами. Один из таких примеров – арест членов банды вымогателей REvil российскими спецслужбами.

Кроме того, крупная группировка Conti в 2022 году подверглась утечке данных . Опубликованные сообщения содержали различную информацию о деятельности группировки, в том числе о ранее незафиксированных жертвах, URL-адресах утечек личных данных, биткойн-адресах и обсуждениях их операций. Выяснилось, что с 21 апреля 2017 года по 28 февраля 2022 года Conti заработала 65 498,197 BTC (около $2,7 млрд).

Еще один случай произошел с группировкой TrickBot, участник которой был задержан в Южной Корее в 2021 году . Арестованному были предъявлены обвинения в содействии в разработке web-браузерного компонента для TrickBot. Сотрудничество киберпреступника с TrickBot началось после того, как в 2016 году он ответил на объявление о работе, размещенное группировкой.

Эти примеры демонстрируют сдвиг на рынке, превращающий охотника в добычу.
 
MM1234567.png


Суд присяжных в Сан-Франциско признал бывшего главу службы безопасности Uber Джозефа Салливана виновным в препятствовании правосудию и преднамеренном сокрытии преступления из-за того, что не сообщил властям о крупной утечке данных в 2016 году. Этот инцидент затронул 57 миллионов пассажиров и водителей, а компания замалчивала произошедшее в течение года.

По словам Стефани Хиндс, прокурора США по Северному округу Калифорнии, Салливан активно работал над сокрытием утечки данных от FTC и предпринял ряд действий, которые помешали поймать хакеров.

Первое обвинение было предъявлено Салливану в сентябре 2020 года. Тогда прокуроры заявили, что он заплатил хакерам $100 000 в биткоинах и заставил их подписать соглашения о неразглашении. Бывшего главу службы безопасности также обвинили в сокрытии информации от должностных лиц Uber, которые могли бы сообщить о взломе в FTC, которая оценивала безопасность данных компании после взлома, произошедшего в 2014 году.

Кроме репутационных потерь компания понесла финансовые убытки – в 2018 году Uber заплатила $148 000 000 штрафа за то, что не уведомила водителей и клиентов об инциденте в течение 72 часов с момента его обнаружения.

Браузер Tor может использоваться для незаконной деятельности, именно на это опираются злоумышленники.
Исследователи Лаборатории Касперского обнаружили модифицированную версию браузера Tor , которая собирает конфиденциальные данные о китайских пользователях.

По словам экспертов, собираемые данные включают в себя:
  • историю просмотра;
  • данные, введенные в формы веб-сайтов;
  • D аккаунтов соцсетей;
  • информацию о сети Wi-Fi.

Также были обнаружены шпионские программы, спрятанные в прилагаемой библиотеке, которая собирала дополнительную информацию:
  • имя пользователя;
  • местоположение компьютера;
  • MAC-адреса сетевых адаптеров.
Особенностью вредоносного браузера является встроенные инструменты для выполнения команд оболочки, что дает злоумышленнику полный контроль над машиной.

По словам специалистов, злоумышленники могут искать в эксфильтрированных историях браузера следы незаконной деятельности, связываться с жертвами через соцсети и угрожать сообщить о них властям.
Tor Browser заблокирован в Китае, жители Китая часто загружают Tor со сторонних веб-сайтов. В данном случае ссылка на вредоносный установщик Tor была размещена на популярном китайском YouTube канале, посвященном анонимности в Интернете. Видео было опубликовано в январе 2022 года, а первые жертвы кампании начали появляться в марте 2022 года.

Одна из крупнейших некоммерческих систем здравоохранения в США CommonSpirit Health заявила , что отключила некоторые из своих IT-систем из-за кибератаки, который затронул несколько учреждений.

Система здравоохранения CommonSpirit Health включает 140 больниц и более 1000 медицинских учреждений в 21 штате, а ее команда из 150 000 сотрудников и 20 000 врачей оказывает медицинские услуги более чем 21 млн. пациентов.

В качестве меры предосторожности CommonSpirit отключила некоторые IT-системы, которые могут включать в себя электронную медицинскую карту (EHR) и другие системы. Многие медицинские учреждения и больницы США не могут получить доступ к системам электронных медицинских карт CommonSpirit Health.

Характер кибератаки не известен, но её широкое влияние указывает на возможную атаку программы-вымогателя. CommonSpirit также пришлось перенести прием некоторых пациентов. Компания сказала, что затронутые пациенты будут уведомлены.

ФБР и CISA опубликовали совместное сообщение, в котором говорится, что кибератаки, направленные на избирательную инфраструктуру, скорее всего никак не помешают голосованию. Такие выводы были сделаны после оценки возможных рисков и отсутствия доказательств того, что хакеры смогли оказать какое-либо влияние на результаты выборов.

В сообщении сказано, что любые попытки взлома избирательной инфраструктуры быстро блокировались на начальных стадиях или устранялись с минимальными или нулевыми нарушениями в избирательных процессах. Кроме того, у должностных лиц, которые ответственны за проведение выборов, есть набор необходимых технологических инструментов и строгих процедур контроля, которые снижают вероятность любой кибератаки практически до нуля.

Стоит отметить, что в сообщении специалисты упомянули некоторые средства защиты:
  • Предварительные бюллетени;
  • Резервное копирование результатов голосования;
  • Тестирование логики и точности систем голосования;
  • Проведение аудита после выборов.

В заключение, ФБР и CISA заявили, что манипуляции с голосами избирателей тяжело провести незаметно, ведь чтобы использовать уязвимости в системах голосования, необходимо иметь физический доступ к устройствам, системе управления выборами и провести атаку на цепочку поставок ПО до загрузки образов ОС на устройства для голосования.

Известный рынок страхования Lloyd's of London расследует возможную кибератаку, из-за которой компании находятся в состоянии повышенной готовности к вторжениям.

Компания Lloyd's заявила, что на данный момент расследует инцидент и перезагружает сеть. Lloyd's проинформировала участников рынка и соответствующие стороны, а также пообещала предоставить дополнительную информацию после завершения расследования.

В Lloyd's работает около 90 страховых синдикатов. В августе Lloyds of London, также известная как просто Lloyds, представляет собой рынок страхования и перестрахования, базирующийся в Лондоне. Это не страховая компания, а рынок, на котором собираются покупатели и продавцы страховых услуг. По сути, она действует как регулятор рынка, который устанавливает правила, по которым действуют его участники.

Lloyd's of London заявил, что запретит страховым компаниям возмещать убытки жертвам кибератак правительственных хакеров , связанных с кибервойной или катастрофическим ущербом, поскольку расширяющаяся отрасль продолжает адаптироваться к меняющемуся ландшафту киберугроз.
 
Последнее редактирование:
MM1234567.png


29-летний Эндрю Суарес из Миддлтауна занимался кражей данных и помогал группировке Black Axe отмывать нечестно заработанные деньги, в чем и был обвинен федеральным судом США. Суарес открывал банковские счета для сокрытия средств, полученных с помощью различных мошеннических схем и взломов корпоративных электронных ящиков. В период с августа по декабрь 2017 злоумышленник переводил все грязные деньги на счета в США и Южной Африке.

Чтобы избежать обнаружения, Суарес менял информацию на некоторых из своих банковских счетов, указывая на них имена и адреса жертв. Если злоумышленнику будет вынесен приговор, ему грозит до 20 лет лишения свободы по каждому из двух пунктов обвинения в отмывании денег и еще два года сверху за кражу личных данных. Кроме того, он должен будет заплатить $1 000 000 штрафа.

Суарес был задержан ФБР, которое действовало совместно с подразделением Секретной службы США в Ньюарке и прокуратурой округа Монмут.

Виной всему оказался кусочек исходного кода T-Connect, пять лет лежавший на GitHub.

Toyota принесла извинения за утечку данных 296 019 своих клиентов с 2017 года. Эта утечка данных включает в себя адреса электронной почты и уникальные номера, которые Toyota присваивает каждому клиенту.

Информация утекла из приложения T-Connect, созданного специально для клиентов Toyota. Оно позволяет пользователям открывать свои автомобили, пользоваться навигатором, отслеживать местоположение и состояние транспортного средства.

По словам представителей Toyota, 15 сентября компания заметила часть исходного кода приложения на GitHub, который был опубликован в декабре 2017 года.

Этот исходный код содержал в себе ключ доступа к серверу данных, который позволял любому пользователю получить доступ к адресам электронной почты и уникальным номерам клиентов, хранящимся на сервере.

Toyota утверждает, что ответственность за эту ошибку лежит на субподрядчике сайта T-Connect, который по ошибке загрузил исходный код на GitHub.

Исследователи до сих пор не могут понять тактику группы, которая за год использовала 7 разных бэкдоров.

Исследователи безопасности ESET обнаружили ранее неизвестное вредоносное ПО , используемое кибершпионской группировкой POLONIUM , которая атакует исключительно израильские организации. По данным ESET, POLONIUM нацелена на инженерные, IT-, юридические, коммуникационные, маркетинговые и страховые компании в Израиле.

ESET сообщает, что POLONIUM занимается исключительно кибершпионажем и не развертывает вайперы и программы-вымогатели. С сентября 2021 года хакеры использовали как минимум 7 вариантов бэкдоров, в том числе 4 новых недокументированных Бэкдор — это тип вредоносного ПО , которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.

Бэкдор PapaCreep также является модульным, разбивая выполнение команд, связь с C&C и загрузку файлов на небольшие компоненты. Преимущество заключается в том, что компоненты могут работать независимо, сохраняться через отдельные запланированные задачи во взломанной системе и затруднять обнаружение бэкдора.

POLONIUM также использует различные инструменты с открытым исходным кодом для создания обратного прокси, скриншотов, кейлоггинга и подключения веб-камеры.

Исследователи Cymru заявили , что операторы вредоносного ПО IcedID используют самые разные методы распространения, чтобы определить, какие из них лучше всего работают против разных целей. Более того, аналитики заметили изменения в управлении IP-адресами серверов управления и контроля (C&C), которые отрицательно повлияли на инфраструктуру хакеров.

Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян , но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.

В кампаниях IcedID используются фишинговые электронные письма для передачи IcedID через ISO-файлы, архивы или вложения документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером через HTTPS и доставляет дополнительные полезные нагрузки.

На платформе есть все необходимое для проведения атаки, и инструментарий еще будет пополняться..
image

Подробнее:
 
Последнее редактирование:
MM1234567.png


Два дня назад IT-специалисты Medibank Private зафиксировали подозрительную активность в своей сети. Medibank Private – один из крупнейших австралийских частных поставщиков услуг медицинского страхования, работающий с четырьмя миллионами клиентов.

Согласно пресс-релизу компании, неизвестные злоумышленники не добрались до данных клиентов Medibank, но расследование будет продолжаться. Кроме того, организация изолировала, а затем отключила от сети системы ahm и international student policy.

Компания уже связалась с Австралийским центром кибербезопасности, Австралийской администрацией регулирования с совещательным правом (APRA), Управлением австралийского комиссара по информации, Министерством здравоохранения и министерством внутренних дел, проинформировав их о случившемся.

Но несмотря на произошедшее, клиенты Medibank по-прежнему имеют возможность пользоваться услугами компании, пока она работает над устранением последствий инцидента.

Напомним, это далеко не первая атака на австралийские компании за последние два месяца. Ранее мы писали про взлом Optus – второй по величине телекоммуникационной компании Австралии. История закончилась довольно забавно – требовавший выкуп хакер удалил свой пост, извинился и пообещал удалить данные.

Переход группы на цели из США может означать обострение киберконфликта между США и Китаем.

Исследователи Symantec сообщили, что связанная с Китаем кибершпионская группировка Budworm (также известная как APT27, Bronze Union, Emissary Panda, Lucky Mouse, TG-3390 и Red Phoenix) стоит за серией атак, проведенных за последние 6 месяцев против высокопоставленных целей по всему миру, включая:
  • правительства стран Ближнего Востока;
  • международного производителя электроники;
  • законодательный орган штата США;
  • больница в Юго-Восточной Азии.
Эксперты заявили, что это первый случай, когда группа Budworm атакует американскую организацию.

В атаках APT-группа использовала уязвимости Apache Log4j — это утилита ведения журналов на основе Java с открытым исходным кодом.

Также киберпреступники продолжают использовать бэкдор HyperBro , который предназначен для загрузки вредоносных DLL-библиотек (методом боковой загрузки) и шифрования полезной нагрузки. В недавних атаках группировка использовала ПО для управления привилегиями конечных точек CyberArk Viewfinity для выполнения боковой загрузки.

Кроме того, хакеры также используют троян PlugX совместно со следующими инструментами:
  • Cobalt Strike для загрузки шелл-кода на компьютер жертвы;
  • LaZagne для сброса учетных данных;
  • IOX – общедоступный прокси-сервер и инструмент для переадресации портов;
  • Fast Reverse Proxy (FRP) для создания обратного прокси;
  • Fscan для сканирования интрасети.

Эксперты заявили, что в последние годы деятельность группы была сосредоточена на Азии, Ближнем Востоке и Европе. Возобновление атак на объекты США может сигнализировать об изменении вектора группировки.

ИБ-компания Cloudflare сообщила , что остановила DDoS-атаку со скоростью 2,5 Тбит/с, запущенную ботнетом Mirai. DDoS-атака была нацелена на сервер Minecraft Wynncraft.
DDoS-атака на сервер Wynncraft

Исследователь Омер Йоахимик охарактеризовал эту атаку как «многовекторную атаку, состоящую из UDP (User Datagram Protocol – протокол пользовательских дейтаграмм) – это транспортный протокол для передачи блоков данных (дейтаграмм) в сетях IP без установления соединения.

Протокол UDP обеспечивает доставку дейтограмм, но не требует подтверждения их получения. Передача дейтаграмм осуществляется без соединения с удаленным модулем UDP.

Протокол UDP добавляет к заголовку IP-пакета поля порт отправителя и порт получателя, а также поля длина UDP-дейтограммы и контрольная сумма, которые позволяют поддерживать целостность данных. Таким образом, в отличие от IP протокола, который для определения места доставки дейтаграмм использует адрес, UDP использует номер порта.

UDP используется при передаче потокового видео, игр реального времени и некоторых других типов данных.

Протокол UDP считается ненадежным, потому что в случаях сбоев, он не предусматривает стандартного механизма повторения передачи потерянных данных.

Механизм действия протокола можно разделить на три части: установка соединения, передача данных и завершение соединения.

Вся атака на 2,5 Тбит/с длилась около 2-х минут, а пик атаки на 26 млн. rps длился всего 15 секунд. Это крупнейшая атака с точки зрения битрейта.

Согласно новому отчету ИБ-компании NETSCOUT, военные конфликты и региональные споры напрямую влияют на рост числа разрушительных DDoS-атак . Компания зарегистрировала увеличение количества DDoS-атак в первой половине 2022 года в нескольких странах, в том числе в России, Украине, Индии, Ирландии и Финляндии.

Исследователи безопасности Horizon3.ai опубликовали эксплойт для проверки концепции (Proof of Concept, PoC) и технический анализ основной причины этой уязвимости. PoC-эксплойт предназначен для эксплуатации уязвимости обхода аутентификации для установки SSH-ключа для пользователя, указанного при запуске Python-скрипта из командной строки.

Разработчик эксплойта Horizon3.ai Джеймс Хорсман объяснил, что недостаток позволяет получить полный контроль над системой, в том числе дает возможность изменять конфигурации сети, добавлять новых пользователей и инициализировать захват пакетов.

Согласно предыдущему анализу Horizon3.ai, злоумышленники также могут выполнять следующие действия:
  • Изменять SSH-ключи пользователя-администратора, чтобы получить доступ к скомпрометированной системе;
  • Добавлять новых локальных пользователей;
  • Обновлять сетевые конфигурации для перенаправления трафика;
  • Загружать конфигурации системы;
  • Совершать захват пакетов для захвата другой конфиденциальной системной информации.

Критическая RCE-уязвимость обхода аутентификации CVE-2022-40684 (оценка CVSS: 9,6) может позволить неавторизованному злоумышленнику выполнять произвольные операции в административном интерфейсе с помощью специально созданного HTTP(S)-запроса. Fortinet призвала всех клиентов с уязвимыми версиями выполнить немедленное обновление.

По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности.

Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат

В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11 .

Сборки Windows, на которые нацелен Magniber

В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:
  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js;
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse;
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse;
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js.
JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс.

Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы.

В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе.

Цепочка заражения Magniber


По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов.
 
Последнее редактирование:
MM1234567.png


IT-гигант не планирует его чинить и рекомендует просто перестать им пользоваться.
image


Новое исследование компании WithSecure раскрыло брешь в защите Office 365, которой могут воспользоваться злоумышленники для получения информации о содержимом электронных писем.

Проблема возникла из-за того, что для Office 365 Message Encryption (OME) использует уже нерабочий режим электронной кодовой книги (Electronic Codebook, ECB). Office 365 Message Encryption (OME) – это механизм безопасности, используемый для отправки и получения зашифрованных электронных писем между пользователями внутри и вне организации без раскрытия информации о содержимом писем.

Режим электронной кодовой книги использует симметричный блочный шифр, при котором каждый блок открытого текста заменяется блоком шифротекста, что и является его главной слабостью. Так как ECB шифрует блоки открытого текста независимо, поэтому при проверке двух блоков зашифрованного текста можно понять, равно ли их содержимое.

Пользуясь этим, злоумышленники могут перехватывать электронные письма, анализировать их и постепенно расшифровывать сразу весь набор украденных сообщений. Чтобы расшифровать перехваченное, злоумышленникам потребуется большой набор писем и время на поиск повторяющихся участков шифра в украденных сообщениях.

Стоит отметить, что Microsoft уже признала OME устаревшей и рекомендует пользователям как можно скорее перейти на Purview. Это говорит только об одном – компания не планирует исправлять брешь в защите.

По словам ФБР, хакеры готовят нападение на США в ответ на их влияние на Тайвань.
image



Согласно изданию The Washington Post, ФБР предупредила представителей Демократической и Республиканской партий, что китайские хакеры сканируют сети их штаб-квартир в поисках уязвимых систем, которые они потенциально могут взломать в преддверии промежуточных выборов. Однако, представители обеих партий заявили, что ни одна из политических партий не была взломана.

Официальные лица США неоднократно заявляли, что им не известно о каких-либо угрозах, которые могли бы скомпрометировать или нарушить избирательную систему. ФБР также заявило, что любые попытки масштабного манипулирования голосами будут обнаружены и пресечены.

В недавнем отчете ИБ-компании Recorded Future говорится, что китайские правительственные хакеры хотят повлиять на американских избирателей, чтобы еще больше разделить страну по партийному признаку в преддверии промежуточных выборов. По словам Recorded Future, Китай рассматривает вмешательство в выборы и влияние на избирателей как ответ на предполагаемое вмешательство США в дела Тайваня.

Опубликованный PoC-эксплойт спровоцировал кибератаки на уязвимые устройства.
image


Сегодня компания Fortinet подтвердила, что критическая 0-day уязвимость обхода аутентификации CVE-2022-40684 эксплуатируется в дикой природе. Фирма порекомендовала срочно проверить системы по следующему индикатору компрометации в журналах устройства: «user="Local_Process_Access"».

Буткит может вызвать страх у ИБ-сообщества из-за своих мощных возможностей.
image


Злоумышленник продает на хакерских форумах новый UEFI-буткит под названием BlackLotus, вредоносный инструмент с возможностями, обычно используемыми правительственными хакерами.

Группа из разработчиков, продавцов и автоугонщиков угоняли только французские автомобили.
image


Власти Франции, Латвии и Испании арестовали 31 подозреваемого, предположительно причастного к краже автомобилей двух французских марок.

Преступники угоняли только автомобили, которые используют системы доступа и запуска без ключа. Для этого они использовали специальный инструмент для замены прошивки ПО автомобиля и обхода системы без ключа, чтобы открыть двери и угнать автомобиль.

Командование киберпространства Национальной жандармерии Франции (FNG) также захватило домен мошеннического ПО, используемого для взлома бесключевой технологии автомобилей.

В сообщении Европола говорится, что в результате скоординированных действий, проведенных 10 октября в 3-ех вовлеченных странах, был арестован 31 подозреваемый. Всего было проведено обысков в 22 местах и изъято преступных активов на сумму более 1 млн. евро. Среди арестованных есть разработчики ПО, реселлеры этого ПО и угонщики автомобилей, которые использовали этот инструмент для угона автомобилей.

Какие именно марки автомобилей были угнаны и как назывался домен с ПО, не сообщается.

Кибератака могла затронуть несколько цепочек поставок.
image


Операторы вымогательского ПО LockBit 3.0 атаковали японскую компанию Oomiya. Oomiya специализируется на проектировании/разработке микроэлектроники и системного оборудования. Кроме того, организация разделена на четыре основных направления:
  • Разработки в области электроники;
  • Создание и производство химической и промышленной продукции;
  • Создание лекарств;
  • Фабричное производство.
Партнеры Lockbit 3.0 заявили, что украли данные Oomiya, и грозятся слить их в сеть до 20 октября, если компания не заплатит выкуп. Однако на данный момент вымогатели даже не опубликовали образцы якобы украденных документов.

За содеянное ему грозит 13 месяцев тюрьмы.
image


В четверг пуэрториканский суд приговорил бывшего студента Университета Пуэрто-Рико (UPR) к 13 месяцам тюремного заключения за взлом более десятка электронных ящиков и Snapchat-аккаунтов своих однокурсниц.

Обвиняемый, Иван Сантелл-Веласкес (в сети известен под ником Slay3r_r00t), 13 июля признал себя виновным в киберсталкинге и сознался в атаках, направленных на более чем 100 студенток. Чтобы получить нужную информацию, злоумышленник использовал Спуфинг - это кибератака, в рамках которой мошенник выдает себя за какой-либо надежный источник, чтобы получить доступ к важным данным или информации. Подмена может происходить через веб-сайты, электронную почту, телефонные звонки, текстовые сообщения, IP-адреса и серверы.

Основная цель спуфинга – получить доступ к личной информации, украсть деньги, обойти контроль доступа к сети, а также распространить вредоносное ПО через ссылки на зараженные веб-страницы или зараженные файлы, вложенные в электронное письмо / сообщение.

По словам поверенного, Сантелл-Веласкес домогался девушек, шантажировал их фотографиями интимного характера, которые он выкрал из их аккаунтов. В некоторых случаях хакер публиковал эти снимки.

Помимо этого, обвиняемый взломал несколько электронных почтовых ящиков и собрал персональные данные с помощью фишинга и спуфинга. Кроме того, в период с 2019 по 2021 год Сантелл-Веласкес взломал несколько Snapchat-аккаунты нескольких студенток и похитил их интимные фотографии. Жертвами хакера оказались 15 студенток UPR.

По словам сотрудника ФБР Джозефа Гонсалеса, киберсталкинг сильно давит на жертв и может приводить к появлению страха, гнева, депрессии и даже суицидальным мыслям. Гонсалес пообещал, что агентство будет расследовать такие инциденты и призвал жертв не стесняться сообщать о подобном.

Основными целями злоумышленников были владельцы токенов Bored Ape Yacht Club и Mutant Ape Yacht Club.
image


Обвинители утверждают, что подозреваемые обманывали жертв с помощью фишингового сайта, который якобы должен добавить анимацию к их NFT. Пяти подозреваемым возрастом от 24 до 30 лет выдвинуты следующие обвинения:
  • Мошенничество, совершенное организованной группой;
  • Сокрытие мошенничества;
  • Организация преступного сообщества.
Подозреваемые проводили свою фишинговую кампанию в период с конца 2021 года по начало 2022 года. Двое из них, которые, как утверждается, были главарями, содержатся в предварительном заключении, согласно репортажу Агентства Франс Пресс.

Заместитель начальника французского Центрального управления по борьбе с преступлениями, связанными с информационными и коммуникационными технологиями (OCLCTIC) Кристоф Дюран сказал, что власти подключились к расследованию, начатому пользователем Twitter под ником "ZachXBT".

ZachXBT называет себя "ищейкой на цепи" и "выжившим после rug pull, который стал 2D-детективом" и создал себе образ онлайн-детектива, расследующего инциденты мошенничества в сферах криптовалюты и NFT.

В своем блоге ZachXBT подробно описал расследование. Оно началось с обращения пользователя "Dilly Dilly", который рассказал онлайн-детективу о том, что злоумышленники украли у него токены BAYC после того, как он нажал на ссылку, которую ему отправил "верифицированный" участник сообщества BAYC в Discord. По словам пользователя, он одобрил транзакцию на сайте, который якобы должен был создать анимированную версию его NFT.

Подводя итоги, ZachXBT рассказал, как злоумышленники попытались отмыть деньги, заработанные на краденых NFT. Для этого они воспользовались ныне закрытым Tornado Cash.

Напомним, Минфин США в августе заблокировал криптоплатформу Tornado Cash. Произошло это из-за того, что сервис использовался для отмывания криптовалюты.

Киберпреступники внедряются в системы жертвы с помощью службы удаленного рабочего стола.
image


Операторы новой программы-вымогателя Venus взламывают общедоступные службы удаленного рабочего стола для шифрования устройств Windows.

Программа-вымогатель Venus начала работать в середине августа 2022 года и с тех пор атакует жертв по всему миру. Впервые Venus обнаружил аналитик безопасности linuxct , который заявил, что злоумышленники получили доступ к корпоративной сети жертвы через протокол удаленного рабочего стола Windows (Remote Desktop Protocol, Remote Desktop Protocol (протокол удалённого рабочего стола) предоставляет возможности удаленного отображения и ввода через сетевые подключения для приложений, работающих на сервере. Протокол RDP предназначен для поддержки различных типов сетевых топологий и нескольких протоколов локальной сети.

При запуске программа-вымогатель Venus пытается завершить 39 процессов, связанных с серверами баз данных и приложениями Microsoft Office. Venus также удаляет журналы событий, тома теневого копирования и отключает функцию предотвращения выполнения данных (Data Execution Prevention, DEP) с помощью определенной команды.

При шифровании файлов программа-вымогатель добавляет расширение «.venus».


Venus также создает записку с требованием выкупа в папке «%Temp%», которая автоматически отображается, когда программа-вымогатель завершит шифрование устройства. В конце записки о выкупе находится двоичный код в кодировке base64, который, вероятно, является зашифрованным ключом дешифрования .

Записка о выкупе Venus
В настоящее время программа-вымогатель Venus достаточно активна – новые сообщения ежедневно загружаются в ID Ransomware . Поскольку программа-вымогатель нацелена на общедоступные RDP-службы, даже на те, которые работают на нестандартных Transmission Control Protocol (TCP, протокол управления передачей) – один из основных сетевых протоколов Интернета, который базируется на протоколе IP для доставки пакетов данных. В отличие от IP, TCP – это надежный протокол. Он обеспечивает надежную доставку данных, так как предусматривает установление логического соединения, и в случае потери данных организует повторную передачу. Он гарантирует, что приложение получит данные в точно такой же последовательности, в какой они были отправлены.

Механизм действия протокола можно разделить на три части: установка соединения, передача данных и завершение соединения.

TCP делит потоки данных на так называемые TCP-сегменты, и передает их с помощью IP-протокола. Каждый TCP-сегмент пересылается в одной IP-дейтаграмме. Так как IP не гарантирует, что дейтаграммы будут получены в той же самой последовательности, в которой они были отправлены, TCP осуществляет повторную «сборку» TCP-сегментов на другом конце маршрута, с целью образования непрерывного потока данных. FTP и telnet – это два попуряных приложения, которые используют TCP.

В ходе последней операции Интерпол арестовал 75 членов киберпреступной группировки Black Axe.
image


Интерпол объявил об аресте 75 человек в рамках глобальной операции против организованной киберпреступной группировки под названием "Black Axe". В сообщении агентства говорится, что Black Axe и другие западноафриканские преступные синдикаты создали транснациональные сети, обманывая миллионы жертв на миллиарды долларов. Все заработанные нечестным путем деньги злоумышленники пускали на роскошную жизнь и новые преступные схемы: от торговли запрещенными веществами до проституции.

В операции под кодовым названием "Операция Шакал" приняли участие Аргентина, Австралия, Кот-д'Ивуар, Франция, Германия, Ирландия, Италия, Малайзия, Нигерия, Испания, Южная Африка, ОАЭ, Великобритания и США.

В ходе расследования было проведено 49 обысков, в результате которых было конфисковано 12 000 SIM-карт, а также различные предметы роскоши: недвижимость, три автомобиля, десятки тысяч наличными. Также было конфисковано 1,2 миллиона евро на банковских счетах подозреваемых.

Стивен Кавана, представитель Интерпола, заявил что эта операция стала примером того, как злоумышленники используют незаконно заработанные в интернете деньги для поддержания других сфер преступной деятельности: наркотиков и торговли людьми.
 
Последнее редактирование:
MM1234567.png


Подозреваемый был задержан в результате расследования, начатого еще в декабре 2021 года.
image


Сегодня в бразильском городе Фейра-де-Сантана местные полицейские арестовали одного из потенциальных участников группировки вымогателей Lapsus$. Подозреваемый был задержан в рамках расследования, начатого в декабре 2021 года после прошлогоднего взлома Министерства здравоохранения Бразилии. Тогда хакеры положили все сайты бразильского Минздрава, в том числе ConecteSUS, отслеживающий траекторию граждан в системе общественного здравоохранения. Помимо прочего, пользователи лишились доступа к своим цифровым сертификатам о вакцинации от COVID-19 через приложение ConecteSUS. Кроме того, группировка похитила у Минздрава 50 ТБ данных и удалила их.

Арест подозреваемого – результат целой операции под названием "Dark Cloud", запущенной в августе этого года. Ее целью является сбор информации о деятельности группировки, которая множество раз атаковала госучреждения Бразилии в прошлом году. Кроме Минздрава, хакеры атаковали десятки других федеральных бразильских учреждений, включая Министерство экономики и Федеральную дорожную полицию.

Компания предупредила, что мошенники охотятся за SIM-картами клиентов.
image


Одна из крупнейших телекоммуникационных компаний мира

Verizon Communications— американская телекоммуникационная компания, одна из крупнейших в США и во всем мире. Штаб-квартира располагается в Нью-Йорке. Образована в 2000 году путем слияния компаний Bell Atlantic и GTE. В январе 2006 года приобрела компанию MCI, оказывающую услуги связи по IP-протоколу. Капитализация компании по состоянию на 2020 год составила $243,8 млрд.
Verizon уведомила некоторых клиентов о том, что их учетные записи были скомпрометированы, а их телефонные номера могли быть украдены мошенниками посредством подмены SIM-карт.

В период с 6 по 10 октября 2022 года злоумышленники неизвестным образом получили последние 4 цифры номеров кредитных карт клиентов Verizon, возможно, используя онлайн-сервисы Verizon, и использовали их, чтобы получить контроль над учетными записями. Затем мошенники могли получить доступ к личной информации в аккаунте и выполнить подмену SIM-карты (SIM Swapping (SIM-свопинг, Port Out) - вид мошенничества, в ходе которого номер телефона жертвы переназначается на SIM-карту в телефоне мошенника, чтобы мошенник получал звонки и СМС, которые отправляются на номер жертвы. Злоумышленник таким образом может получить доступ к ученым записям жертвы, в том числе в банковских и криптовалютных сервисах.

По данным Verizon, затронуты около 250 клиентов с предоплаченными аккаунтами.

Оператор заверил клиентов, что, если произойдет подмена SIM-карты, Verizon отменит ее. Кроме того, Verizon заявила, что предотвратила дальнейший несанкционированный доступ к учетным записям клиентов с использованием последних 4-ёх цифр кредитной карты, привязанной к профилю. Verizon заявила, что полные номера кредитных карт клиентов не были раскрыты.

Также сетевой оператор сбросил PIN-коды клиентов и настоятельно порекомендовал им установить новый код безопасности, пароль, а также секретный вопрос и ответ для доступа к учетной записи.

По словам Verizon, любой, кто войдет в учетную запись, сможет увидеть имя, номер телефона, платежный адрес, тарифные планы и другую информацию, связанную с услугами каждого клиента.

В мае 2022 года киберпреступник получил доступ к базе данных Verizon , содержащей полные имена, адреса электронной почты, корпоративные идентификационные номера и номера телефонов сотен сотрудников Verizon.

Verizon Communications— американская телекоммуникационная компания, одна из крупнейших в США и во всем мире. Штаб-квартира располагается в Нью-Йорке. Verizon Communications оказывает услуги фиксированной и мобильной связи (cdma 800/1900 МГц), услуги спутникового широкополосного доступа в интернет, а также информационные услуги. Помимо этого, компании принадлежит крупный бизнес по выпуску телефонных справочников.

За разработкой бэкдора стоит неизвестная, но крайне подготовленная группировка.
image


Ранее нигде не упоминавшийся Бэкдор — это тип вредоносного ПО , которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.

Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.

По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.

Цепочка атак неизвестной группировки начинается с Word-документа ( VirusTotal ), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.

Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится.

Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.
content-img(615).png


PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом.

Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.

Криминалисты Group-IB проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России.
image


Криминалисты Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети.

Group-IB успешно проанализировали образец программы-вымогателя DeadBolt, полученный в ходе одного из реагирований в России. Чаще всего жертвами вымогателей становятся компании малого и среднего бизнеса, однако экспертам Group-IB известно о нескольких случаях атак на ведущие российские вузы.

Группа DeadBolt интересна тем, что шифрует исключительно системы хранения данных (NAS, Network Attached Storage), требуя выкуп как у пользователей, так и производителей оборудования за техническую информацию об использованной в атаке уязвимости. Сумма выкупа составляет 0,03-0,05 BTC (менее $1 тыс.) для пользователей и 10-50 BTC (от $200 тыс. до $1 млн) для производителей NAS. Любопытно, что жертва получает ключ расшифровки в деталях транзакции после выплаты выкупа автоматически: вымогатели не вступают с ней в контакт.

Сама группа активна как минимум с начала 2022 г. — по данным Bleeping Computer, только в январе DeadBolt удалось заразить 3,6 тыс. устройств NAS. По информации голландской полиции, которой удалось перехватить 155 ключей для дешифрования данных, к октябрю 2022 г. вымогатели атаковали более 20 тыс. устройств по всему миру.

Как выяснилось, Ransom Cartel использует инструменты и исходный код шифровальщика REvil.
image


О подозрительной связи RaaS-группировки Ransom Cartel и REvil заявили исследователи из подразделения Unit 42 компании Palo Alto Networks. Согласно их отчету, Ransom Cartel начала свою деятельность всего через два месяца после развала REvil.

По словам специалистов Unit 42, когда Ransom Cartel только появилась, было неясно чем она является – REvil под другим названием или никак не связанной с REvil группировкой, которая просто подражает печально известной банде хакеров.

Но когда Ransom Cartel начала использовать определенный набор инструментов, все начало вставать на свои места. Эксперты рассказали, что группировка использует не только популярные среди вымогателей тактики, но и необычные инструменты (например, DonPAPI, который ранее не применялся в атаках вымогателей).

Исследователи отмечают, что у операторов Ransom Cartel есть доступ к исходному коду шифровальщика REvil, но они не имеют в своем арсенале механизм обфускации, который используется для шифрования строк и скрытия вызовов API.

Опираясь на все вышесказанное, специалисты сделали вывод, что Ransom Cartel активно сотрудничала с REvil до того, как стала полноценной группировкой.

В заключении отчета Unit 42 предупреждает о возможном росте атак с использованием вредоносов от Ransom Cartel и призывает большие компании установить специальное защитное ПО, так как группировка нацелена именно на "крупную добычу".

В произошедшем эксперты обвиняют группировку APT41.
image


Исследователи из Symantec сообщили о серии атак, приписываемых группировке APT41 (также известной как Winnti), которая взломала правительственные учреждения Гонконга и в некоторых случаях оставались незамеченными в течение года. В ходе атак хакеры использовали вредоноса Spyder Loader – это их "визитная карточка", которой они ранее пользовались и в других атаках.

Атаки APT41 связывают с хакерской операцией под названием "Operation CuckooBees", которая проводилась с 2019 года и была направлена на технологические и производственные компании в Северной Америке, Восточной Азии и Западной Европе.
 
Последнее редактирование:
Переход на Web 3.0 может стать концом для киберпреступности

image


Проблема киберпреступности сохраняется на протяжении многих лет и, безусловно, не исчезнет в ближайшее время. По поводу этой проблемы генеральный директор компании Sony сказал: "Решение проблемы киберпреступности – это не двухфакторная идентификация или ответ на секретный вопрос. Решение проблемы киберпреступности заключается в переходе на Web3".

Почему пользователи Web 2.0 уязвимы?

Поскольку "цифровая личность" в Web 2.0 обычно состоит не только из никнейма и фотографии, но и из адреса электронной почты, не существует никакого способа проверить то, кем является человек, зашедший в аккаунт, если у него есть данные от аккаунта и почты. Да, есть двухфакторная аутентификация, но достаточно большая часть пользователей игнорирует ее, подвергая себя опасности. Кроме того, как только компания завладевает данными пользователя, он практически не может контролировать то, что с ними происходит. Таким образом, личная информация пользователей продается, на ее основе создается таргетированная реклама, а повторная продажа лишь увеличивает риск того, что данные попадут к хакерам.

А чем может помочь Web 3.0?

Разберем все по порядку:
  • Безопасный вход в систему. Децентрализация не даст корпорациям контролировать пользователя. Вся авторизация будет происходить с помощью децентрализованных идентификаторов (DID) и верификации на основе блокчейна;
  • Обеспечение контроля и монетизации своих данных. Как только будет реализована технология безопасного входа в систему, каждый человек сможет использовать свои личные данные по своему усмотрению. Каждый получит полный контроль над тем, кто видит его данные и кто должен за них платить. Например, можно будет остроить децентрализованную рекламную сеть на Web 3.0 и дать пользователям право выбрать – хотят они получать рекламу или же нет. Согласившиеся получат небольшой процент за использование своих данных, а отказавшиеся будут уверены, что их данные в безопасности

Web 2.0 был разработан для доступа к информации – это безусловно важная функция, но она не способствует защите личной информации. Web 3.0 будет создан для обеспечения прав и свобод, которые мы имеем везде, кроме интернета.

Но рисовать в голове картины светлого децентрализованного будущего не стоит. Web 3.0 все еще выглядит не совсем безопасным, так как в его концепции существует множество рисков, связанных с различным лазейками и уязвимостями, которые могут вызвать множество проблем в будущем.
 
Очень годная статья
 
MM1234567.png


Агентство по атомной энергии Ирана сообщило 23 октября, что правительственные хакеры получили доступ к сети дочерней компании Агентства и к ее системе электронной почты. Иранское правительство пока не связывает нападение с конкретным злоумышленником. Об этом сообщает иранское СМИ.

Группировка Black Reward в своем Telegram сообщила о взломе Агентства по атомной энергии и поделилась файлами договоров, планами строительства и подробностями об оборудовании на АЭС в Бушере в качестве доказательства вторжения.
22 октября группа Black Reward заявила, что взломала сеть иранского правительства и украла конфиденциальные данные, связанные с ядерными программами Ирана. Они потребовали в течение 24 часов освободить политзаключенных, арестованных во время недавних протестов, в противном случае они пригрозили публикацией документов.

Однако, требования хакеров не были выполнены, поэтому они опубликовали 50 ГБ конфиденциальных документов Агентства по атомной энергии Ирана. В настоящее время до сих пор неясно, содержат ли документы секретную информацию.

Организация по атомной энергии заявила, что киберпреступники взломали систему электронной почты компании, управляющей единственной в стране атомной электростанцией в южном портовом городе Бушер. Агентство обвинило в нападении «зарубежную страну». По словам Агентства, эти действия от безысходности направлены на привлечение внимания общественности.

Федеральные агентства США описали тактику атаки недавно обнаруженной группировки.
image


CISA, ФБР и Министерство здравоохранения и социальных служб (HHS) предупредили, что группировка Daixin Team нацелена на американские предприятия в секторе здравоохранения и общественного здравоохранения (Healthcare and Public Health, HPH), с помощью программ-вымогателей.

Группа Daixin Team действует как минимум с июня 2022 года. Группа атакует сектор HPH, используя программы-вымогатели для кражи личных данных и информации о здоровье пациентов (PHI), чтобы под угрозой раскрытия украденных данных требовать выкуп. Группа Daixin Team получает первоначальный доступ к жертвам через VPN (виртуальная частная сеть) — один из лучших инструментов для обеспечения вашей конфиденциальности в Интернете. VPN шифрует ваше соединение и скрывает вас во время серфинга, покупок и банковских операций в Интернете.

В ходе одной из кампаний злоумышленники, вероятно, воспользовались неисправленной уязвимостью в VPN-сервере организации. В другом случае группа использовала скомпрометированные учетные данные для доступа к устаревшему VPN-серверу. Злоумышленники получили учетные данные VPN с помощью фишинговых атак.

На киберпреступной арене появились дерзкие новички – группировки TommyLeaks и SchoolBoys, атакующие компании по всему миру. Но есть одна загвоздка – они являются одной и той же бандой кибервымогателей.

Эта группировка занимается взломом корпоративных сетей, похищает данные и требует за них выкуп. Сумма выкупа варьируется от 400 000 до 700 000 долларов.

e4ypCb9hbPOH5sK0nUV01iip2kHwcQ7ikPWqYgMTj6ASpYH4rtsAl3_EDaypF4BVqOKd6Z2hUUEE2LL9rLRxUV7MztvRVEtYEmVNN7rVRn0nKiVnhCFfJ193au4u18WagMi5NFh09UbzoswaIOMV08Xo3HEzdNnOB9ltbQpk-7T8BSOKZKXv1iEPjw
Записка о выкупе от TommyLeaks.

SchoolBoys также была обнаружена специалистами из MalwareHunterTeam, которая занимается кражей данных и шифровкой данных жертв.

xgPOliifYAfSgWWQytr8-3nCQuelfiibaOT45JqwVmv0KTAkx0VTW3Y1S9kUcokhuXLygjSo0W57bTj-EB1Vomk264OliuIozLKB9ZFAsNxtxCl2Bpb23kyx9rePOYItxRwJ4pndNCgLphoY8jNTcgPx8v5tByXjQreZmHiSYNhIi_B5z6F9EqxWGg
Записка о выкупе от SchoolBoys. [/center]

Позже исследователи нашли образец шифровальщика SchoolBoys [VirusTotal] и выяснили, что он был создан с использованием слитого в сеть билдера LockBit 3.0.

_wV7yo7iujk7KTLn-aKsfnFIykT0VAPkYS24tbKB5iSn3-o5KKV4U2zVLhgHnBnkjgQg8nhdx0KGJ8YSRh9noSMki0gB4jbhJNc4io6J6gzj7i7COYGATL1tknnYrQEcuJg2DbHjiOQ3nq_SKkgYcBCoNY7l8O4TVXlIuwxJvU7bJh_T_HXfKlNACw

Шифровальщик от SchoolBoys, собранный с помощью софта от LockBit.

Интересно, что на момент начала расследования связи между SchoolBoys и TommyLeaks, хакеры из обеих группировок использовали одну и ту же чат-систему Tor для создания своих переговорных сайтов.

Эту же систему использовала печально известная группировка Karakurt.

Попались злоумышленники во время переговоров с жертвами – члены группировки SchoolBoys просто представились как TommyLeaks.

И хотя неясно, почему злоумышленники два разных названия группировок в рамках своих операций, эксперты предполагают, что они пытаются применить подход, который ранее был на вооружении у Conti и Karakurt. Напоминаем – в апреле этого года выяснилось , что Karakurt оказалась частью банды кибервымогателей Conti.

В ходе последних вредоносных кампаний хакеры распространяют CoinMiner и Quasar RAT.
image


Печально известный ботнет Emotet был связан с новой волной спам-кампаний, которые используют защищенные паролем RAR-архивы для заражения жертв CoinMiner и Quasar RAT. Об этом сообщили исследователи из Trustwave SpiderLabs, которые в ходе расследования кампаний Emotet обнаружили в электронном письме ZIP-файл приманку, содержащую самораспаковывающийся архив (SFX), из которого распаковывается другой архив.

Обычно, чтобы такая фишинговая атака прошла успешно, нужно убедить жертву открыть вложение. Но специалисты рассказали, что злоумышленники решили эту проблему, используя bat-файл для автоматического ввода пароля к архиву с полезной нагрузкой.

Уязвимость способна привести к сбою узлов Aptos и вызвать состояние отказа в обслуживании.
image


По словам исследователей из сингапурской компании Numen Cyber Labs, раскрывших эту брешь в защите, хакеры могут использовать ее для того, чтобы проводить DoS-атаки и вызывать сбои узлов Aptos.

Aptos – новая блокчейн-система первого уровня, запущенная 18 октября 2022 года. Ее главная особенность – использование технологии параллельного выполнения транзакций «Parallel Execution», которая увеличивает пропускную способность блокчейна и повышает скорость проведения операций. Ее разработчики (Мо Шайк и Эйвери Чинг) ранее занимались созданием кошелька Diem для Meta*.

Сеть построена на языке программирования Move, который позволяет быстро и безопасно подписывать смарт-контракты в безопасной среде исполнения Move Virtual Machine (она же MoveVM).

Уязвимость, обнаруженная исследователями из Numen Cyber Labs, кроется в модуле верификации Move ("stack_usage_verifier.rs"). Это компонент, который проверяет инструкции байткода перед его выполнением в MoveVM. Эта брешь в защите связана с целочисленным переполнением в Move, которое может привести к неопределенному поведению и, следовательно, к сбоям.

Как пояснили специалисты Numen Cyber Labs, злоумышленники могут использовать эту уязвимость для полной остановки Aptos, что нанесет колоссальный ущерб и окажет серьезное влияние на стабильность узла.

Причиной взлома стал неправильно сконфигурированный сервер.
image

Хакеры атаковали Microsoft, украв 2,4 терабайта данных клиентов компании сообщает BleepingComputer.

По информации издания, злоумышленники взломали сервер компании и похитили данные клиентов. Журналисты указали, что Microsoft признала утечку 19 октября,

Microsoft уведомила своих клиентов, что часть их данных могла быть раскрыта из-за неправильно настроенного сервера. Более подробную информацию, включая число затронутых клиентов, компания не указала.

Собственный отчёт об этом инциденте представила компания SOCRadar, специалисты которой и выявили проблему с севером Microsoft еще 24 сентября. По оценкам экспертов SOCRadar, утечка затронула около 65 тыс. корпоративных клиентов Microsoft из 111 стран мира. Взломанный архив включал в себя 335 тысяч электронных писем, а также 133 тысячи проектов.

После расследования SOCRadar в Microsoft заявили, что специалисты по кибербезопасности преувеличили масштабы проблемы.

Mark of the Web – это функция, помогающая защищать устройства пользователей от вредоносных файлов, загруженных из сети. Система ставит специальную маркировку на все документы и файлы, попадающие на компьютер. Эта маркировка заставляет другие программы аккуратнее вести себя с новыми файлами. Например, Microsoft Office открывает документы с пометкой MoTW в специальном защищенном режиме. Кроме того, когда пользователь пытается открыть файл с флагом Mark-of-the-Web, Windows выводит предупреждение о том, что к файлу следует относиться с осторожностью.

А недавнее расследование деятельности операторов программы-вымогателя Magniber показало, что злоумышленники начали использовать уязвимость, позволяющую подписывать JS-файлы неправильной цифровой подписью, тем самым обходя MoTW-предупреждения и заражая жертв своим вымогательским ПО. Чтобы было понятнее, речь идет не о JS-файлах, обычно используемых почти на всех веб-сайтах, а о файлах, которые злоумышленники распространяют в виде вложений или загрузок, запускаемых вне веб-браузера.

В случае с Magniber злоумышленники используют цифровую подпись со встроенным блоком подписи в кодировке base64.

content-img(629).png

Файл, используемый хакерами для установки вымогательского ПО Magniber.

Проанализировав образцы файлов, используемых злоумышленниками, Уилл Дорманн , старший аналитик уязвимостей в ANALYGENCE, обнаружил , что злоумышленники подписывают их неправильным ключом.
content-img(630).png
Неправильная подпись во вредоносном JS-файле.

Если файл использует такую подпись, то даже при наличии на нем флага MoTW, Windows не отображает предупреждение от системы безопасности, а скрипт автоматически выполняется и устанавливает Magniber.

Убедившись в наличии неправильных подписей, Дорманн создал тестовые JS-файлы, которые обходили MoTW-предупреждения. Исследователь предоставил их изданию BleepingComputer. Как видно на скриншотах, оба файла получили флаг Mark-of-the-Web.
content-img(631).png
MoTW на файлах, созданных Дорманном (отмечены красной рамкой).

Разница между этими двумя файлами заключается в том, что один из них подписан тем же неправильным ключом, что и файлы Magniber, а другой вообще не содержит подписи.
poc-exploits.jpg

PoC-эксплойты Дорманна.

Когда неподписанный файл открывается в Windows 10, предупреждение о безопасности MoTW отображается должным образом. Однако при открытии второго файла Windows не выводит предупреждение безопасности и просто выполняет JS-код, как показано ниже.

DdpuJoFzaP7ikD4S4DT4doz1lKNcZA-Cir9p0leypNe2kygpLGashYnmu0OnfDACm1Qu0yR24jY0K5j0ls6_kMpj7CgNWzeTyLlr3atW11MVwcbMxCCkeCVS01tTkZV81PnKO2oMQfvEzBlKIFMdlFRYFfQrfKfy6k12qO2qFtMFMDY-JwzM0eY4pw
Демонстрация работы 0-day уязвимости.

Используя неправильные подписи, хакеры могут обойти обычные предупреждения от системы безопасности, появляющиеся при открытии загруженных JS-файлов, и автоматически выполнить их содержимое.

Дорманн рассказал BleepingComputer, что эта уязвимость могла появиться с выходом Windows 10, поскольку на Windows 8.1 предупреждения появляются. По мнению исследователя, всему виной стала функция SmartScreen в Windows 10, которая связала MoTW-предупреждения с подписями Authenticode.

Как выяснилось позже, хакеры могут модифицировать любой файл с подписью Authenticode, чтобы обойти MoTW-предупреждения. Дорманн рассказал, что для этого достаточно воспользоваться шестнадцатиричным редактором и заменить некоторые байты в части подписи файла. Испорченная подпись не будет проверяться с помощью SmartScreen и ОС позволит файлу запуститься.

Дорманн сообщил обо всем Microsoft, которая заявила, что не смогла воспроизвести обход MoTW-предупреждений. Однако IT-гигант не планирует оставлять уязвимость без внимания и пообещал заняться ее расследованием.

IT-инфраструктура Metro AG, которая управляет торговой сетью магазинов Metro по всему миру, 6 дней назад подверглась кибератаке. Международный оптовый гигант до сих пор испытывает перебои в IT-инфраструктуре и проблемы с оплатой.

По имеющейся информации, проблема возникла 17 октября и затронула магазины в Австрии, Германии, Франции и России .

В Metro AG уточнили, что кибератака привела к частичными отключением IT-инфраструктуры и ряда технических сервисов компании. Через пять суток после инцидента в Metro AG продолжают восстановительные работы, магазины перешли на системы офлайн-платежей, а онлайн-заказы пользователей, сделанные через приложение и интернет-магазин, временно задерживаются.

На данный момент компания не уточнила характер кибератаки, однако, по словам экспертов, сбои в работе IT-инфраструктуры обычно связаны с программами-вымогателями.
 
MM1234567.png


Желающие получить заветную синюю галочку становятся жертвами фишинговой атаки.
image


Анонс новой функции Twitter, предлагающей за ежемесячную плату подключить синюю галочку верификации, спровоцировал фишинговую кампанию, которая собирает учетные данные пользователей, желающих сохранить заветную синюю галочку.

Новая фишинговая кампания, обнаруженная экспертами TechCrunch , включает в себя электронное письмо, отправленное с учетной записи Gmail, в котором пользователей просят предоставить «краткое подтверждение» того, что они являются известным человеком, чтобы не платить почти $20 в месяц за значок.


Затем письмо перенаправляет на страницу Google Документы со ссылкой на сайт Google. Это сделано для того, чтобы избежать встроенных систем обнаружения Google. Страница содержит встроенный фрейм с сайта, размещенного на веб-хостинге Beget. Страница просит пользователя предоставить свои учетные данные Twitter и номер телефона.


Google удалил учетные записи и фишинговые сайты вскоре после того, как был предупрежден об инциденте. Российский веб-хостинг Beget, который использовался злоумышленниками в этой кампании, также отключил обнаруженный домен после сообщений об инциденте.

Новый генеральный директор Twitter Илон Маск объявил об изменениях в системе проверки платформы: теперь сервис Twitter Blue Service, запущенный в июне 2021 года, станет премиальной функцией и будет доступен по подписке ($8 в месяц).

Есть вероятность, что верифицированные пользователи не смогут сохранить значки, если они не оплатят подписку, но официально это еще не подтверждено. В настоящее время синяя галочка, используемая для обозначения известных людей, бесплатна.

Чтобы не стать жертвой подобных фишинговых атак, пользователям рекомендуется использовать двухфакторную аутентификацию (2FA) на всех платформах.

Сумма ущерба Deribit составляет около $28 млн.
image


Deribit, крупнейшая по доле рынка биржа биткойн-опционов, потеряла 28 миллионов долларов в результате взлома. Об этом компания объявила в своем официальном аккаунте в Twitter. Также биржа приостановила вывод средств.

«Мы проводим текущие проверки безопасности и вынуждены приостановить снятие средств, включая сторонних хранителей, ... до тех пор, пока мы не будем уверены, что все безопасно для повторного открытия», - говорится в сообщении биржи.

Как сообщает биржа, скомпрометированные горячие кошельки Deribit содержали средства в биткойнах, Ethereum и USDC.

При этом Deribit отметила, что активы ее клиентов находятся в безопасности. Средства вкладчиков не пострадали от атаки, а общий ущерб был ликвидирован за счет собственных активов. Компания заверила, что 99% средств ее клиентов, в соответствии с внутренней политикой биржи, хранятся на холодных кошельках

В руках киберпреступников могли оказаться от 30 до 40 тысяч записей.
image


Об инциденте стало известно от представителей оборонного ведомства Австралии. По их словам, киберпреступники могли скомпрометировать набор данных из ForceNet – платформы электронной связи Минобороны Австралии

Согласно заявлению чиновников, когда об инциденте было впервые объявлено, не было никаких доказательств компрометации данных действующих или бывших военнослужащих. Тем не менее, всем сотрудникам было предложено сменить пароли и установить двухфакторную аутентификацию.

Скомпрометированный набор данных, по-видимому, относится к 2018 году и содержит от 30 000 до 40 000 записей с персональными данными австралийских военнослужащих. Но министерству точно не известно, что какая-либо личная о австралийских военнослужащих была украдена злоумышленниками.

Министр по делам ветеранов и персонала министерства обороны Мэтт Киф сказал, что австралийское оборонное ведомство по-прежнему уверено, что доступ к личным данным сотрудников не был получен, но всё еще работает над подтверждением того, какие нынешние и бывшие сотрудники, включая государственных служащих, нанятых департаментом, могли пострадать от атаки.

Сейчас специалисты пытаются получить полную картину того, какие данные хранились в записях и какие сотрудники могли пострадать от кибератаки.

Спасенные жертвы рассказали, в каких условиях они находились и чем они занимались.
image


Китайские преступные синдикаты заманили 100 000 людей со всей Азии в Камбоджу обещанием хорошей высокооплачиваемой работы. По прибытию жертв, их паспорта изымаются, а их заставляют работать в «потогонных» условиях, проводя кампании по борьбе с киберпреступностью.

По данным издания The Los Angeles Times, Камбоджа, экономика которой сильно пострадала от пандемии, позволила китайской мафии организовать масштабные киберпреступные кампании с использованием рабочей силы без последствий. Это связано с тем, что страна получает хороший доход от этой деятельности. Преступные кампании включают в себя телефонное мошенничество, поддельные ставки на спорт, мошенничество с инвестициями и другие формы киберпреступлений.

Хотя правительство Камбоджи признает, что в кампаниях участвуют не более 100 000 рабочих, оно отрицает, что жертв удерживают против их воли. Однако, некоторые жертвы, которых спасли от киберпреступников, рассказывали об избиениях и пытках за невыполнение плана, а также о том, что их продавали в другие банды.



Жители Малайзии, спасенные от торговцев людьми в Камбодже, в международном аэропорту Куала-Лумпура 6 октября

Джейкоб Симс, региональный директор Международной миссии справедливости в Камбодже, которая спасла многих жертв, сказал, что заложников заставляли отжиматься, били их электрошоком, лишали еды, запирали в темной комнате или т.д. А те, кто достигал поставленных целей и планов, награждаются большей свободой, едой, деньгами и контролем над другими жертвами.

За последние несколько месяцев международное внимание к операциям усилилось, и США недавно понизили рейтинг Камбоджи до самого низкого уровня в своем индексе торговли людьми.

Всем злоумышленникам грозит по 20 лет тюрьмы.
image


Министерство юстиции США опубликовало документ, в котором восьми лицам предъявлены обвинения по составу преступления, предусмотренному Актом "Об организациях, связанных с рэкетом и коррупцией" (RICO), включающем в себя хакинг и налоговые махинации. В обвинительном заключении были перечислены имена злоумышленников:

  • Энди Жак;
  • Моника Шонтель Дженкинс;
  • Луи Ноэль Мишель;
  • Джефф Джордан Профт-Франциск;
  • Дикенсон Элан;
  • Майкл Жан Пуа;
  • Владимир Черелус;
  • Луисан Жолтеус.

Жак, Пуа, Дженкинс и Мишель получили дополнительные обвинения в участии в заговоре, целью которого было мошенничество с использованием электронных средств коммуникации и кража личных данных. За все свои преступления злоумышленники получили максимальное наказание – 22 года лишения свободы.

Согласно документам, с которыми ознакомился суд, все началось с того, что Дженкинс, Мишель, Профт-Франциск, Черелус и RICH4EVER4430 (ныне покойный член банды) приобрели в дарквебе учетные данные серверов сертифицированных бухгалтеров (CPA) и фирм, предоставляющих услуги налоговой подготовки по всей стране.

Получив учетные данные, злоумышленники проникли на серверы и украли налоговые декларации тысяч налогоплательщиков, которые были клиентами CPA и фирм, занимающихся налоговой подготовкой.

Похитив декларации, злоумышленники объединились с Жаком, Эланом, Пуа, Жолтеусом, а также другими преступниками, после чего создали крупное предприятие, которое использовалось для подачи тысяч поддельных налоговых деклараций на имена более чем 9000 жертв. Чтобы все выглядело законно, мошенники открыли банковские счета на разные фиктивные бизнесы и начали получать фальшивые гонорары налоговых специалистов.

Кроме того, злоумышленники сумели похитить идентификационные номера, которые Налоговая служба США выдала CPA и фирмам, предоставляющим услуги налоговой подготовки. Преступники воспользовались ими и подали огромное количество фальшивых налоговых деклараций.

По данным прокуратуры США, за четыре года злоумышленники заработали около $4 млн, хотя планировали получить более $36 млн.

Обсерватория отключена на неопределенное время после кибератаки, произошедшей 29 октября.
image


Согласно сообщению обсерватории в Twitter, Атакамская большая [антенная] решётка миллиметрового диапазона или ALMA подверглась кибератаке 29 октября. Атака нарушила работу компьютерных систем обсерватории и вывела из строя как публичный веб-сайт обсерватории, так и антенны радиотелескопа.

"Учитывая характер этого инцидента, пока невозможно назвать дату возвращения к обычной деятельности", – добавила обсерватория в своем твите.

ALMA – телескоп революционно новой конструкции. Он состоит из 66 высокоточных антенн, рассчитанных на прием излучения с длиной волны от 0.32 до 3.6 мм. В его основной решетке 50 антенн, каждая по 12 метров в диаметре, действующих как единый телескоп-интерферометр. Дополнительная компактная решетка включает четыре 12-метровых и двенадцать 7-метровых антенн. Все 66 антенн ALMA могут сочетаться в различных конфигурациях, при этом максимальное расстояние между антеннами может меняться от 150 метров до 16 километров. Таким образом, ALMA имеет мощный переменный "зум". Телескоп способен зондировать Вселенную на миллиметровых и субмиллиметровых волнах с беспрецедентной чувствительностью и разрешением, при четкости изображений в десять раз лучшей, чем та, которую обеспечивает Космический Телескоп Хаббла. Согласно сообщению обсерватории, атака не повредила ни одной радиоантенны ALMA, а все данные, собранные радиотелескопом, надежно защищены.

С тожественного открытия в 2013 году, с помощью ALMA ученые обнаружили множество планет, формирующихся из звездной пыли, наблюдали сильные солнечные вспышки на близлежащих звездах и получили новое представление о природе всплесков гамма-лучей. А еще ALMA был использован астрономами, которые обнаружили «горячее пятно», двигающееся вокруг Стрельца A – сверхмассивной чёрной дыры, расположенной в центре Галактики.

Об этом заявил бывший глава службы внешней разведки Британии Mi-6 Алекс Янгер
image


Телефон бывшего премьер-министра Великобритании Лиз Трасс предположительно взломали при помощи израильской шпионской программы Pegasus. Об этом сообщает Times со ссылкой на бывшего руководителя британской службы внешней разведки Mi-6 Алекса Янгера.

Программу Pegasus, разработанную израильской NSO Group, спецслужбы различных стран используют для прослушки и слежки за политиками, бизнесменами, активистами, журналистами и оппозиционными деятелями, а также для поиска преступников и террористов. Программа могла получать доступ к данным в облаке, например, к полной истории местоположения человека, заархивированным сообщениям и фотографиям.

По словам Янгера, это ПО может быть использовано для взлома телефонов глав государств. В этой связи он призвал обучать министров мерам безопасности в киберпространстве.

Казначейство США заявило, что злоумышленники стали требовать в два раза больше денег, чем в 2020 году.
image


По данным Министерства финансов США, в прошлом году финансовые учреждения потратили около $1,2 миллиарда на выплаты киберпреступникам. Согласно статистике, сумма платежей выросла более чем в два раза по сравнению с 2020 годом, что говорит об огромном ущербе, который вымогательское ПО продолжает наносить организациям частного сектора.

Агентство по борьбе с финансовыми преступлениями (FinCEN) заявило что проведенный анализ показывает, какую серьезную угрозу программы-вымогатели продолжают представлять для критически важной инфраструктуры, предприятий и населения США. Анализ FinCEN включал в себя сумму выплаченных и невыплаченных выкупов, а также попыток перевода средств злоумышленникам.

Согласно данным, собранным в соответствии с Законом о банковской тайне, в 2021 году финансовые учреждения сообщили о 1489 инцидентах, связанных с вымогательским ПО. Для сравнения, в 2020 году было зарегистрировано всего 487 случаев. Анализ FinCEN включал суммы вымогательства, попытки транзакций и неоплаченные платежи.

По данным FinCEN, пять самых "успешных" версий вымогательского ПО во второй половине года связаны с русскоязычными группировками. Суммарный ущерб от их атак составил более $219 миллионов.

content-img(679).png


FinCEN заявило, что анализ был проведен в ответ на увеличение числа и серьезности недавних вымогательских атак, направленных против критической инфраструктуры США. По словам чиновников, этот такой скачок зафиксированных кибератак также может быть отражением того, что учреждения стали лучше выявлять инциденты и сообщать о них.

Лаборатория Касперского рассказала, как злоумышленники используют религию для слежки за людьми.
image


Киберпреступники нацелены на людей, которые говорят на персидском языке и являются приверженцами религии бахаи, развитой в Иране и некоторых частях Ближнего Востока.

Злоумышленники рекламируют вредоносное VPN-приложение как простой способ обойти цензуру религиозных материалов в определенных регионах.

По данным Лаборатории Каперского, для распространения приложения хакеры SandStrike создали аккаунты в Facebook* и Instagram* с более 1000 подписчиков и разработали привлекательные материалы на религиозную тематику, заманив приверженцев религии.

Большинство этих учетных записей содержат ссылку на специально созданный Telegram-канал, который предоставляет жертвам ссылки для загрузки приложения.

Хотя приложение полностью функционально и даже использует собственную VPN-инфраструктуру, оно также устанавливает шпионское ПО SandStrike, которое ищет на устройстве конфиденциальные данные и отправляет их на серверы операторов. SandStrike собирает такую информацию, как журналы вызовов и списки контактов, а также отслеживает скомпрометированное устройство.

Исследователи Лаборатории Касперского на данный момент не приписали SandStrike какому-либо субъекту угроз.

Киберпреступники сумели найти способ генерировать токены доступа к игре.
image


Хакерам удалось взломать новую, пятую, часть популярной серии Sims, которая носит кодовое название Project Rene и находится на стадии закрытого альфа-тестирования.

Хакеры сумели найти способ генерировать токены доступа к игре. С их использованием удалось обойтись без онлайновой верификации и одобрения со стороны EA. А вместо официальных серверов они задействовали серверы Peer 2 Peer.

Стоит отметить, что взломать игру было не сложно, так как на данный момент она не зашифрована и работает на движке Unreal Engine 5. Взломщики также отмечают, что на демонстрации геймплея, многим игра понравилась.

Хакеры не сообщили, будут ли они распространять сгенерированные коды доступа к тестовой версии The Sims 5.

Вымогатели угрожают слить украденные данные в сеть, если компания не заплатит выкуп до 7 ноября.
image


Thales – один из международных лидеров в области высоких технологий. Её штат составляет более 81 000 сотрудников по всему миру. Группа инвестирует в цифровые и DeepTech-инновации – большие данные, искусственный интеллект, связь, кибербезопасность и квантовые технологии.

Thales подтвердила, что ей известно о том, что LockBit 3.0 заявила о краже некоторых данных.

Компания была добавлена в список жертв группировки 31 октября. Банда кибервымогателей угрожает слить данные в сеть 7 ноября 2022 года, если Thales не заплатит выкуп. Однако, на данный момент LockBit 3.0 не опубликовала ни одного образца украденных данных.

Thales сообщила изданию Reuters, что не получала никаких прямых требований выкупа. Тогда же компания добавила, что начала расследование возможной кибератаки, уведомила об инциденте Агентство национальной кибербезопасности Франции, но пока не стала подавать жалобу в полицию.
 
  • Теги
    cyber hack probiv
  • Сверху Снизу