Полезные знания Обзор событий по кибербезопасности

https://top.probiv.uno/attachments/mm1234567-png.138469/

Обзор инцидентов безопасности за период с 11 по 16 ноября 2021 года

На прошлой неделе в CDN-сети Cloudflare была успешно погашена DDoS-атака, на пике показавшая около 2 Тбит/с. Столь внушительный поток, по данным провайдера, создавали зараженные IoT-устройства и серверы, взломанные через незакрытую дыру в софте GitLab.

Дидосеры пытались сокрушить мишень, применяя две разные техники — отражение / усиление трафика с помощью DNS-резолверов и UDP-флуд. В атаке принимали участие примерно 15 тыс. Mirai-подобных ботов; благодаря крепкой защите дидосеры отступились после первой же минуты.

Уязвимость в веб-интерфейсе GitLab, о которой идет речь, была устранена еще в апреле. К сожалению, патч, защищающий от эксплойта CVE-2021-22205, установили далеко не все пользователи. По данным Rapid7, в начале текущего месяца спасительная заплатка отсутствовала на половине подключенных к интернету систем управления Git-репозиториями.

Терабитные DDoS для Cloudflare уже не в диковинку. Атаки такой мощности, по словам специалистов, наблюдались и в III квартале, и в октябре-ноябре, но последняя оказалась рекордной. В прошлом квартале также резко увеличилось количество DDoS сетевого уровня (3 и 4) —на 44%.

Бот-сети, по команде генерирующие мусорный поток и направляющие его на мишень, сохраняют актуальность как угроза, и злоумышленники не ленятся создавать новых зловредов, способных массово заражать плохо защищенные сетевые и IoT-устройства. Так недавно в интернете объявились еще два ботнета-дидосера — Mēris и Pink.

Производители чипов Intel и AMD выпустили патчи, закрывающие множество уязвимостей в целой серии продуктовых линеек. Среди устранённых брешей есть баги высокой степени опасности, затрагивающие драйверы.

AMD опубликовала сразу три уведомления, в которых упоминаются как минимум 27 проблем в безопасности. Все они затрагивают графический драйвер AMD для операционной системы Windows 10.

Успешная эксплуатация этих дыр позволяет злоумышленникам повысить права в атакованной системе, скомпрометировать информацию, обойти KASLR, вызвать DoS и записать произвольные данные в память ядра.

По оценке AMD, 18 уязвимостей получили высокую степень риска, ещё 9 — среднюю. Часть этих багов была известна ещё в прошлом году.

Intel тоже уделила внимание безопасности, залатав в общей сложности 25 брешей. В этом наборе есть патчи для процессоров Intel Core со встроенной графикой Radeon RX Vega M GL. Известно, что проблемы затрагивают Intel Core i5-8305G и i7-8706G, а также графический драйвер для 64-битной версии Windows 10.

Помимо этого, Intel пропатчила опасные уязвимости в PROSet/Wireless Wi-Fi и Killer Wi-Fi, SSD для дата-центров и в драйвере SoC Watch. Потенциальный атакующий с помощью этих багов может вызвать состояние «отказ в обслуживании».

Исследователи из Alien Labs компании AT&T выявили новую вредоносную программу, нацеленную на сетевые и IoT-устройства. Linux-зловред с кодовым именем BotenaGo ищет потенциально уязвимые мишени и пытается применить эксплойты, коих у него более трех десятков.

На момент анализа написанные на Go боты, по словам экспертов, плохо детектились антивирусами. По состоянию на 14 ноября их распознают половина защитных решений из коллекции VirusTotal (29/60), некоторые — с вердиктом Mirai, но DDoS-функциональности у новобранца не обнаружено.
После запуска BotenaGo включает счетчик заражений, чтобы информировать оператора об успехах.

После этого вредонос ищет папку dlrs для загрузки своих шелл-скриптов. Если эта папка не найдена, он прекращает свою работу. В противном случае происходит вызов функции scannerInitExploits, отвечающей за подготовку площади атаки — сопоставление эксплойтов с сигнатурами целевых систем.

Сама атака происходит следующим образом: BotenaGo отправляет простой запрос GET, ищет в ответе знакомую строку (сигнатуру) и, обнаружив совпадение, пускает в ход эксплойт.

Список уязвимостей, используемых зловредом (только те, что имеют CVE-идентификатор), в разделении по производителям устройств:

роутеры DrayTek — CVE-2020-8515;
роутеры, IP-камеры D-Link — CVE-2015-2051, CVE-2020-9377, CVE-2016-11021, CVE-2013-5223;
точки доступа, роутеры NETGEAR — CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334;
GPON-роутеры DASAN Networks — CVE-2018-10561, CVE-2018-10562;
роутеры Linksys — CVE-2013-3307 (инъекция команд);
IP-камеры Hangzhou XiongMai Technologies — CVE-2018-10088;
роутеры Comtrend — CVE-2020-10173;
роутеры Guangzhou V-Solution Telecommunication Technology — CVE-2020-8958;
роутеры TOTOLINK — CVE-2019-19824;
роутеры Tenda Technology — CVE-2020-10987;
NAS-устройства, роутеры ZyXEL — CVE-2020-9054, CVE-2017-18368;
модемы ZTE — CVE-2014-2321.

Поиск по Shodan строки Server: Boa/0.93.15, которая для бота является сигналом к атаке, показал около 2 млн потенциально уязвимых устройств. Результаты по строке Basic realm=\"Broadband Router\, на которую вредонос реагирует эксплойтом CVE-2020-10173 для Comtrend VR-3033, оказались скромнее, но тоже впечатляющими — 250 тыс. потенциальных мишеней.

Команды BotenaGo получает двумя способами: прослушивает порты 31412 и 19412 (на последнем получает IP-адрес цели) или использует терминал системы. Так, при работе зловреда локально в виртуальной машине оператор может подавать команды через Telnet.

После успешного эксплойта бот по идее должен продолжать атаку, используя присланную ссылку. Однако определить его дальнейшие действия не удалось: к моменту анализа вся полезная нагрузка уже была удалена с сервера BotenaGo.

Из-за отсутствия активной связи зловреда с C2-сервером исследователям осталось только гадать о причинах его появления в интернете. По мнению Alien Labs, варианты могут быть такими:
BotenaGo является частью тулкита; в этом случае должен существовать другой модуль, передающий ему IP-адреса целей или обновляющий такую информацию на C2.
Ссылки на полезную нагрузку говорят о связи с Mirai; не исключено, что BotenaGo — новый инструмент, который операторы Mirai задействуют лишь на определенных устройствах в составе ботнета, отдавая команды вручную.
BotenaGo проходит бета-тестирование, и его код случайно слили в Сеть.

Как бы то ни было, зловред с таким богатым арсеналом составляет большую угрозу для многочисленных устройств, прошивки которых редко обновляются. Эксперты предупреждают, что число эксплойтов, которыми оперирует BotenaGo, может со временем возрасти.

Заметим, для Mirai-подобных ботнетов и аналогов использование большого количества эксплойтов для наращивания потенциала — не редкость. Достаточно вспомнить Satori, Hakai, Mozi и совсем недавний Gitpaste-12.

Исследователи в области кибербезопасности обнаружили новый банковский троян для операционной системы Android. Этот вредонос проникает на мобильные устройства пользователей и пытается добраться до банковских приложений и криптовалютных кошельков.

Троян назвали SharkBot в честь одного из доменов, который злоумышленники используют для командных серверов (C2). Атаки зловреда стартовали в конце октября, тогда на них обратили внимание специалисты компаний Cleafy и ThreatFabric.

«На момент написания этого материала мы не наблюдаем наличия семплов в официальном магазине приложений Google Play Store», — гласит отчёт экспертов.

Судя по всему, авторы SharkBot с помощью социальной инженерии заставляют пользователей загрузить и вручную установить вредоносную программу (sideloading). Google, кстати, не раз предупреждала об опасности этого способа загрузки.

После установки в ОС SharkBot запрашивает необходимые права в системе и пытается получить доступ к специальным возможностям — Android Accessibility. В дальнейшем вредонос использует это для имитации кликов и других вредоносных действий.

SharkBot может отображать фейковые формы для ввода учётных данных, записывать нажатия на виртуальной клавиатуре, вытаскивать коды двухфакторной аутентификации из СМС-сообщений и вмешиваться в работу банковских приложений и криптовалютных кошельков.

Специалисты ThreatFabric подчеркнули, что Android-троян на данный момент находится в стадии разработки, то есть авторы явно планируют добавлять функциональные возможности.

Человек, использующий мобильные сети Jawwal или Wataniya на оккупированных территориях, подвергается слежке.

Бывший член элитного израильского подразделения радиоэлектронной разведки, входящего в Управление военной разведки («АМАН»), рассказал изданию Middle East Eye о том, что власти Израиля могут прослушивать все телефонные разговоры, происходящие на Западном берегу и в секторе Газа.

Каждый мобильный телефон, ввезенный в Газу через контрольно-пропускной пункт Керем-Шалом, оснащен израильским жучком. Любой пользователь, использующий единственные мобильные сети Jawwal или Wataniya на оккупированных территориях, подвергается слежке.

По словам бывшего военного, в любой момент сотни солдат слушают ведущиеся разговоры. Аудиослежка делится на две группы. Первая группа — палестинцы, проявляющие политическую активность или представляющие угрозу безопасности с точки зрения Израиля. Вторая — используется службой внутренней безопасности Шин Бет для поиска «точек давления» в палестинском обществе.

«Это может быть поиск людей нетрадиционной сексуальной ориентации, на которых можно оказать давление, чтобы они донесли на своих родственников, или поиск мужчины, который изменяет своей жене. Если найти кого-то, кто должен кому-то деньги, с ним можно связаться и предложить деньги для выплаты долга в обмен на его сотрудничество», — сообщил военный.

По словам бывшего члена израильской разведки, возможности властей вторгаться в частную и общественную жизнь палестинцев безграничны. Нет никаких ограничений на то, что солдаты делают с перехваченными разговорами. Военные не рассматривают слежку как моральную или этическую проблему.

Напомним, израильские военные также технологии распознавания лиц для отслеживания палестинцев на оккупированном Израилем Западном берегу реки Иордан. Бывшие израильские солдаты рассказали о программном обеспечении для смартфонов под названием Blue Wolf, которое делает фотографии палестинцев и сопоставляет их с большой базой данных. Затем телефон оповещает солдата, следует ли арестовать, задержать или оставить данного человека в покое.

Кибервымогатели опубликовали на своем сайте утечек одновременно несколько десятков жертв.

Кибервымогательская группировка Pysa (другое название Mespinoza) одновременно выложила на своем сайте утечек десятки жертв, сразу после того, как правительство США объявило о принятии ряда мер против кибервымогательских группировок.

В настоящее время на сайте утечек Pysa представлено 50 компаний, университетов и организаций. Однако у многих специалистов истинное время осуществления атак вызывает вопросы, поскольку Pysa обычно добавляет жертв на свой сайт через некоторое время после атаки.

Как сообщил изданию ZDNet эксперт в области вымогательского ПО ИБ-компании Recorded Future Аллан Лиска (Allan Liska), скорее всего, не все опубликованные на сайте жертвы являются новыми.

"Они (участники Pysa - ред.) публикуют данные жертв через шесть, а то и больше месяцев после первоначальной атаки. Это могут быть все жертвы, у которых они похитили и опубликовали данные, но их однозначно больше, чем мы наблюдали в другие периоды нынешнего года. Множество разных организаций по всему миру, без какой-либо темы", - сообщил Лиска.

Мнение коллеги поддерживает аналитик ИБ-компании Emsisoft Бретт Кэллоу (Brett Callow). По его словам, Pysa раскрывает имена своих жертв через несколько недель или даже месяцев после атаки, что отличает ее от других кибервымогательских группировок.

Почему вымогатели ждали так долго, прежде чем опубликовать данные своих жертв, непонятно. Также неясно, почему вдруг они решили разом выложить столько информации.

В последнее время правительство США сотрудничает с Европолом, Евроюстом, Интерполом и другими правоохранительными органами в борьбе с кибервымогательскими группировками. В рамках операции GoldDust за последние шесть месяцев был ликвидирован целый ряд кибревымогательских группировок. В операции приняли участие 17 стран мира, и в Европе были арестованы десятки человек, подозреваемых в связях с кибервымогателями. В частности, совместными усилиями была захвачена инфраструктуры REvil, в результате чего группировке пришлось "прикрыть лавочку" во второй раз.

И Кэллоу, и Лиска отмечают, что публикация группировкой Pysa данных атакованных организаций оказалась весьма неожиданной, учитывая, какие меры принимают правоохранительные органы.
"Ничего другого не остается, как только предположить, что они сделали это в ответ на новости о REvil с целью либо показать властям средний палец, либо продемонстрировать уверенность в себе на случай, если их партнеры вдруг начнут идти на попятную", - пояснил Кэллоу.

Уязвимость может применяться для получения доступа к зашифрованным файлам.

Уязвимость CVE-2021-0146 позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это может позволить неаутентифицированному пользователю, имеющему физический доступ, получить повышенные привилегии в системе.

Проблема обнаружена в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh, которые используются как в мобильных компьютерах, так и во встраиваемых системах. Угроза касается широкого спектра ультрамобильных нетбуков и значительной части систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей и медицинского оборудования. По Mordor Intelligence, Intel занимает четвертое место на рынке чипов для интернета вещей, а ее IoT-процессоры серии Intel Atom E3900, в которых также присутствует уязвимость CVE-2021-0146, используют автопроизводители машин, в том числе, по неофициальным данным, компанией Tesla .

Ошибку, получившую оценку 7,1 балл по шкале CVSS 3.1, выявили Марк Ермолов, Дмитрий Скляров (оба специалисты Positive Technologies) и Максим Горячий (независимый исследователь).

«Один из примеров реальной угрозы — это потерянные или украденные ноутбуки, содержащие конфиденциальную информацию в зашифрованном виде, — рассказывает Марк Ермолов. — Используя данную уязвимость, атакующий может извлечь ключ шифрования и получить доступ к информации внутри ноутбука. Также ошибка может эксплуатироваться в целевых атаках через цепочку поставок. Например, сотрудник поставщика устройств на процессорах Intel теоретически может извлечь ключ для прошивки Intel CSME и внедрить программу-шпион, которая не будет выявляться программными средствами защиты. Эта уязвимость опасна еще и тем, что она позволяет извлечь корневой ключ шифрования, используемый в технологиях Intel PTT (Platform Trust Technology) и Intel EPID (Enhanced Privacy ID) в системах защиты цифрового контента от нелегального копирования. Например, ряд моделей электронных книг Amazon применяет защиту, основанную на Intel EPID, для управления цифровыми правами. Используя данную уязвимость, злоумышленник может извлечь корневой ключ EPID из устройства (электронной книги), а затем, скомпрометировав технологию Intel EPID, скачивать электронные материалы от провайдеров в виде файлов, копировать их и распространять».

По словам Марка Ермолова, с технической точки зрения уязвимость обусловлена наличием отладочной функциональности с избыточными привилегиями, которая не защищена должным образом. Чтобы избежать таких проблем в будущем и не допустить возможности обхода встроенной защиты, производителям следует более тщательно подходить к обеспечению безопасности отладочных механизмов.

Для устранения обнаруженной уязвимости необходимо установить обновления UEFI BIOS, опубликованные конечными производителями электронного оборудования (ноутбуков или других устройств).

Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области vulnerability management. В случае успешной атаки одним из способов выявить признаки проникновения является применение систем класса SIEM (например, MaxPatrol SIEM ), которые позволяют обнаружить подозрительное поведение на сервере и своевременно остановить продвижение злоумышленников внутри корпоративной сети.

Одним из препятствий в создании квантового компьютера является невозможность одновременно управлять множеством кубитов.

Специалисты в области квантовой физики Копенгагенского университета огромный шаг вперед в сфере квантовых технологий, обнаружив способ обхода главного препятствия на пути создания квантового компьютера. В частности, исследователям удалось одновременно управлять несколькими спиновыми кубитами на одном квантовом чипе.

Одним из главных препятствий в создании большого функционального квантового компьютера является невозможность одновременно управлять множеством базовых устройств памяти (кубитов). Управление одним кубитом обычно отрицательно влияет на другой из-за одновременного воздействия управляющих импульсов.

В отличие от компаний наподобие Google и IBM, работающих над сверхпроводниковыми технологиями для квантовых процессорах, исследователи сфокусировались на полупроводниковых или так называемых спиновых кубитах.

В общих чертах, спиновые кубиты состоят из спинов электронов, захваченных в полупроводниковых наноструктурах, называемых квантовыми точками, так что отдельные спиновые состояния можно контролировать и запутывать друг с другом, пояснили исследователи.


Спиновые кубиты могут сохранять свои квантовые состояния в течение длительного времени, что потенциально позволяет им производить более быстрые и точные вычисления по сравнению с другими типами платформ. Поскольку спиновые кубиты имеют очень маленькие размеры, на одном чипе их помещается очень много. Это имеет большое значение, поскольку чем больше кубитов, тем больше вычислительной мощности.
Исследователи смогли создать и управлять четырьмя кубитами на одном чипе с рядами 2×2. Одной из главных их задач было заставить кубиты коммуницировать друг с другом.


"Теперь, когда у нас есть хорошие кубиты, нужно объединить их в схему, способную управлять множеством кубитов, но в то же время достаточно сложную для того, чтобы исправлять ошибки квантовых вычислений. До сих пор исследования в области спиновых кубитов позволяли создавать схемы с рядами кубитов 2×2 и 3×3. Проблема заключается в том, что управлять можно только одним кубитом за раз", - пояснили исследователи.

Созданная исследователями квантовая схема сделана из полупроводникового вещества под названием арсенид галлия, а ее размер не превышает размер микроба. Однако главным является то, то чип позволил экспертам одновременно управлять и измерять все кубиты.

В квантовых вычислениях очень важно управлять и измерять одновременно. Кубиты очень чувствительны, и если измерять их один за другим, даже крошечный окружающий шум может нарушить квантовую информацию на системе.

Еще одно существенное препятствие заключается в том, что все 48 электродов управления чипа нужно настраивать вручную и сохранять их настроенными. У человека это занимает много времени, поэтому специалист ищут способы использовать алгоритмы оптимизации и машинное обучение для автоматизации этого процесса.
 
Последнее редактирование:
Представитель вымогательской группировки LockBit дал развернутое интервью аналитику безопасности.

Хотя вымогательская группировка LockBit существует с сентября 2019 года, до прошлого июня она была малозначимым игроком на киберпреступной арене. Однако после запуска новой версии ее платформы "вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS) под названием LockBit 2.0 и ухода конкурентов Darkside, Avaddon и REvil она стала одной из крупнейших на сегодняшний день партнерских программ RaaS.

Киберпреступные группировки, ранее использовавшие другое вымогательское ПО, летом 2021 года переключились на LockBit, что привело к резкому росту числа атак на австралийские компании. По данным ИБ-компании Recorded Future, LockBit, с большим отрывом, была самой активной кибевымогательской операцией в прошлом месяце - на ее долю пришлась почти треть жертв, представленных на сайтах утечек кибервымогательских группировок.

Теперь, когда LockBit крепко встала на ноги, она решила последовать примеру REvil и BlackMatter и дать интервью специалисту Recorded Future Дмитрию Смилянцу.

Как пояснил представитель группировки, называющий себя LockBitSupp, LockBit пока еще не начала завоевывать рынок по-настоящему и находится на стадии разработки и улучшения своего ПО. Резкое увеличение числа атак с использованием вымогательского ПО LockBit он объясняет "безупречной репутацией".

"Мы единственные, кто никогда никого не обманывал и не менял свой бренд. Люди доверяют нам. Соответственно, чем больше партнеров, тем больше атак", - пояснил LockBitSupp.

Группировка не намерена снижать свою активность даже в случае, если в некоторых странах жертв вымогателей законодательно обяжут незамедлительно сообщать об атаках властям. LockBit не боится чрезмерного внимания со стороны властей и целиком и полностью полагается на свои средства обеспечения безопасности.

"С шумихой или без, любой прокол в анонимности может тебя уничтожить. Нам все равно, раскроет компания информацию об атаке или нет, это ее личное дело", - заявил LockBitSupp.

Одной из отличительных черт LockBit является то, что она разрешает участникам своей партнерской программы общаться с жертвами и получать от них деньги напрямую.

"У нас нет причин не доверять своим партнерам. Если человек настроен на долгосрочное сотрудничество, то он нас никогда не кинет. Но самое важное - это поддерживать безупречную репутацию. Мы не можем разочаровать своих партнеров и украсть выкуп, как это делали Avvadon, Darkside и REvil (в прошлом месяце SecurityLab о том, что у REvil была возможность обворовывать своих партнеров - ред.)", - сообщил LockBitSupp.

По словам представителя LockBit, в течение пяти следующих лет конкуренция на рынке кибервымогательства усилится, в то же время, компании станут лучше защищены от атак.

На вопрос, какую роль в успехе LockBit сыграла ликвидация REvil, LockBitSupp ответил, что никакой, и к группировке перешли только четыре партнера REvil.

"Запустить партнерскую программу легко, а вот поддерживать ее на плаву - это настоящее искусство", - отметил представитель LockBit.

Интересно, что LockBitSupp считает исчезновение REvil самым обычным мошенничеством (exit scam или "мошенничество с уходом" - уловка, при которой существующий бизнес прекращает выполнять заказы, одновременно получая оплату за новые, а затем исчезает, прикарманив деньги клиентов).
"Я уверен, это классический exit scam, то же самое было с Avvadon и Darkside. Как только приходит крупный платеж, владелец партнерской программы задумывается, а стоит ли работать дальше и рисковать своей жизнью, или лучше уйти прямо сейчас и спокойно тратить деньги всю оставшуюся жизнь", - заявил LockBitSupp.

Отметим, на прошлой неделе сообщалось , что деятельность REvil была прекращена совместными усилиями американских спецслужб и их союзников.

Как отметил представитель группировки, LockBit не атакует больницы. Было несколько случаев, когда партнеры по ошибке зашифровали сети стоматологических кабинетов и домов престарелых, но группировка предоставила им ключ для восстановления файлов бесплатно.

По словам LockBitSupp, встреча Джо Байдена и Владимира Путина летом нынешнего года никак не повлияла на кибервымогательский рынок, а временное снижение количества атак объясняется тем, что "никто не хочет работать летом, особенно если у тебя миллионы долларов". Тем более, никто, кто "работает серьезно", не живет ни в России, ни в США. Сам LockBitSupp уверяет, что живет в Китае (однако интервью он давал на русском) и чувствует себя "в полной безопасности".
: Живу в Китае...
- Вы серьёзно ?
- Да,серьёзно.
 
Хакерская группировка KillNet взломала СБУ.

💬 KillNet, получившая первую известность благодаря текущим событиям на Украине, взломала базу данных сотрудников СБУ. По информации хакеров, к ним в руки попал компромат на неонацистов — зафиксированы факты преступлений и пыток на Донбассе.

Вот что, по официальной версии, удалось достать: полное досье на 49.497 сотрудников, секретные документы о спецоперациях на Донбассе, описания пыток и и методов воздействия на полит. заключённых, реестр правого сектора УНСО (запрещена в России).

До этого KillNet взломала сайт другой хакерской группировки — Anonymous. Также объединение вывело из строя сайт националистической политической партии Украины «Правый Сектор».

LHIAV1ZPCP--g_nyuJJW_rKXq6mpGti_HAh-WirdrZJ2ND5OfRYrYo_rjFdlqc6qkil98vij2a7MRPLT9PnK4j0zDkFPF0_8r9CytaLIbbuu3Pz0-U6ZoUtcP0x1i72MOWNiIy4BICiap9sLNsHJqZs2Utjbva3DsSCIoI2GhOcyZV8AV1wLwZXCzuTevFXV-bivkJ0z5eE9Lk0YIem2x3UiEWhnNDh2n4LbEwDNi-3bYn3376qdy5gxjJ6joK_OOW5XFglhLeSdg_nsxKtH5fKAs6mZGsHnOBpHDy_Xv914AjJjbiYrYaOM-A4RypL24HBB3-OoiPunP6OOoLmz9y5nay0xSS7JspjxxvSGdeTStJ-ehhHKwisbQBYk0IrUYiUoSGwwK12lpv8gH8e1zfdTTNb3vr7JmDaxlIywhP8YQ2wuMEgX1Zyl58PYsGv0642OiKMG4fgwPEkNOeGx0F8IKX9eCw9xuKzTNRHojf7EUWzE1bmJz5sWjKqpvZzhBlFoIgF3LueLrfn2x7ND59GqjIyMGej7HAZELSjLi9l0EiFbTi8rUouK9g4Dya3O6lFb8v-pl820H4uGqbKN9jZ3QzkOVDDzh5Pb6_mbV8Xzr72srxzZ1zcYaD8f94_IXB8qVVMDM0OAoukDHuuq6_liV_PXhq7OiCCytoehqOEfd3IvEGUw6K6u_eLxplH0176kgrg5xOILGF8fBu208GYoGWRyDS9ev57xDQPUltX2dEb1-LmJ_ZMGk76guo7nNmJoMx96PemtidvR87pQ6syiiZW_GOL-Ew5vJCTfntRoPyJAUAIrRa2GyRcS2oHa8Edm18CuvdakBZiDsoyz8BRCShMAZhD0rZDD99WuRtvRu66EjzXF1BQgeA8424HTRDIEflECIFCFss8uF_iU1PJVQe7vlI7JuDiQl72hl_Y-RVEbPXQ8-oWT7sXZtFjA-KGOpZkN2NscAmQNHvk
 
Хакеры слили данные более 100 тыс. российских банковских карт.

По данным Infosecurity, за последние несколько дней в даркнет были слиты данные более 100 тыс. карт российских банков. Что стало катализатором? Заявления MasterCard и Visa о прекращении обслуживания российских клиентов за рубежом.

Злоумышленники сливают информацию просто так, на безвозмездной основе. Владельцы карт могут столкнуться как с несанкционированными списаниями средств, так и с фишингом.

Почему киберпреступники избавляются от данных? Всё просто: карты теряют ценность. Уже 10-го марта MasterCard и Visa перестанут обслуживать клиентов в России.

«Я думаю, что сейчас данные карт аккумулируются в сервисах по «пробиву» людей. Это классическая схема реализации устаревающих данных. Это, конечно, дешево, но хоть что-то» — сказал руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
 
LAPSUS$ приглашает к сотрудничеству сотрудников Microsoft и Apple.

Хакерская группировка LAPSUS$ ищет инсайдеров в Microsoft и Apple. Членам объединения нужен удалённый доступ к сетям крупных IT-компаний. Цель понятна: LAPSUS$ хочет украсть конфиденциальные данные.

Помимо «яблочных» и «мелкомягких» хакеров интересуют IBM, Electronic Arts, и AT&T. Всех сотрудников компаний, которые захотят сотрудничать с LAPSUS$, ждём большое вознаграждение. Группировка готова платить за ключи к VPN, сервисам Citrix или вход через AnyDesk.

Такое открытое заявление о будущих преступных действиях — случай беспрецедентный. Обычно хакеры вербуют инсайдеров по другим каналам — через email или Linkedln.

Ранее LAPSUS$ взломала Nvidia и Samsung. В сеть утекло больше 1-го ТБ данных.
 
Обзор событий за 29.10.21

Правоохранители Германии сообщили, что им удалось идентифицировать одного из членов киберпреступной группировки, распространяющей программу-вымогатель REvil. В поле зрения немецких полицейских попался некто Николай К.

Поскольку REvil является одной из самых успешных банд, оперирующих шифровальщиком, вполне очевидно, что власти многих стран хотят вычислить и задержать участников группировки. В начале июля этого года операторы REvil поразили американскую компанию Kaseya, предоставляющую услуги MSP. На тот момент преступники запросили 70 миллионов долларов за расшифровку файлов.

По данным правоохранителей, подозреваемый Николай К. занимается торговлей криптовалютой в социальных сетях. Он якобы проживает в России и демонстрирует приличный достаток на своих страницах в соцсетях.

Немецкие полицаи считают, что именно Николай К. стоит за операциями кибергруппы, распространяющей программу-вымогатель REvil. Как сообщают местные СМИ, правоохранители «вели» подозреваемого на протяжении нескольких месяцев.

Согласно опубликованной информации, полиция начала с анализа серии биткоин-переводов, которые были связаны с деятельностью GandCrab. Позже немецкие правоохранители вышли на адрес электронной почты Николая К., которым последний пользовался для регистрации более чем на 60 веб-сайтах.

Позже полицейские добыли и телефонный номер подозреваемого, который был привязан к аккаунту в Telegram. Эта учётная запись использовалась для легальных операций с цифровой валютой, однако расследование показало, что некоторые из переводов связаны с выкупами.

Напомним, что на прошлой неделе банда REvil внезапно залегла на дно после того, как её Tor-сайты оказались взломанными. Об этом сообщили сами участники группировки на одном из форумов киберпреступной тематики.
Участник хак-группы REvil экстрадирован в США.

Гражданин Украины Ярослав Васинский, подозреваемый в организации вымогательской атаки на серверы компании Kaseya, экстрадирован в США. Ему грозит 115 лет тюрьмы. Он был членом известной группы REvil.

В сети хакер известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22). Он взламывал мировые компании с 2019-го года (совершено не менее 2500 атак).

Согласно обвинительному заключению, Васинский несёт ответственность за развёртывание программы-вымогателя Sodinokibi/REvil и атаку на цепочку поставок, нацеленную на 1500 клиентов Kaseya по всему миру. Также на его счету вымогательство выкупа в биткоинах в обмен на возвращение доступа к заблокированным файлам.

c87a5e2ebebdb244bcead.jpg
 
Китайские компьютеры взламывают из США.

Власти Китая предупредили о масштабных кибератаках, поразивших ряд компьютеров на территории страны. Как говорят специалисты по кибербезопасности, эти атаки велись с территории США. Предполагаемая цель — поразить важные объекты в России, Украине и Белоруссии.

В Китайском национальном центре по кибербезопасности считают, что размещённые в стране компьютеры использовались для маскировки настоящего источника кибероперации, т.е. США.

Что это такое, — то ли обычная маскировка, то ли попытка подставить Китай, — остаётся загадкой.
 
Anonymous украли 20 терабайт данных у немецкого подразделения «Роснефти».

Немецкая дочерняя компания российского нефтяного гиганта «Роснефть» подверглась кибератаке. Ответственность предположительно лежит на Anonymous. Хакеры, поддерживающие Украину, совершили атаку в ночь с 11-го на 12-ое марта.

Вот чего добилась группировка: «уничтожили несколько десятков устройств Apple, глубоко проникли в административные системы компании и получили копии образов дисков ноутбуков сотрудников, похитили 20 ТБ данных».

Атака не повлияла на текущий бизнес или поставки, но системам нанесён серьёзный ущерб. Например, теперь полностью отсутствует возможность заключения договоров.

Хакеры уверяют, что не станут сливать все данные. Их цель — российские политики, причастные к спецоперации на Украине.
 
Официальная страница правительства России в соцсети "ВКонтакте" подверглась кибератаке, на ней появилось сообщение, связанное с украинской проблематикой.

Попытка кибератаки была зафиксирована утром 15 марта. Неизвестные взломали главную страницу российского правительства "Вконтакте", оставив несколько посланий.

Ряд израильских правительственных веб-сайтов были недоступны в результате массированной DDos-атаки, которая заблокировала доступ к правительственным веб-сайтам.

Источник в оборонном ведомстве утверждает, что это была крупнейшая кибератака, когда-либо совершенная против Израиля. Они считают, что теракт осуществил государственный деятель или крупная организация, но пока не могут определить, кто за ним стоит.

Ранее «Моссад» якобы пытался атаковать ключевой объект ядерного обогащения Фордо в Исламской Республике Иран, сообщили иранские СМИ в понедельник вечером.

Независимого подтверждения данного события нет. Тегеран часто утверждает, что разгромил ячейки Моссада , хотя на самом деле он просто арестовывает элементы местной оппозиции.

Согласно иранским СМИ, в заявлении разведывательного подразделения Корпуса стражей исламской революции (КСИР) говорится, что была арестована группа Моссад, пытавшаяся совершить диверсию в Фордо.

Кроме того, в сообщениях говорилось, что сотруднику дали деньги и ноутбук для саботажа сайта, но он был пойман и арестован КСИР.

Фордо является второй по значимости площадкой по объему центрифуг для обогащения урана после установки в Натанзе, в которой обогащение урана возможно до 90% уровня.

Поздно вечером в понедельник правительство Израиля выпустило экстренное предупреждение , что пострадало большое количество правительственных сайтов и продолжают подвергаться массированной кибератаке.

Министр связи Йоаз Хендель сказал, что чиновники усердно работают над решением этой проблемы.

Бывший высокопоставленный чиновник Рафаэль Франко, основатель Code Blue, заявил, что Black Shadow, которая, как утверждается, связана с Ираном, стояла за кибератаками на алмазную биржу в минувшие выходные, возможно, в ответ на другие события, связанные с продолжающимся израильско-иранским конфликтом
 
В утёкшем исходном коде Samsung обнаружены тысячи закрытых ключей.

Анализ недавно утёкшего исходного кода Samsung (привет, LAPSUS$) показал: там тысячи закрытых ключей. Киберпреступники взяли крупную добычу.

Немного ретроспективы: исходный код Samsung похитила южноамериканская киберпреступная группировка LAPSUS$. Она также взяла на себя ответственность за взлом NVIDIA, Samsung, Ubisoft и Vodafone. Всё это произошло буквально в течение одной недели.

Что говорят представители Samsung? Заверяют, что 90% ключей связано с внутренними системами, т.е. для хакеров они бесполезны. С другой стороны, взять оставшиеся 10% (порядка 600-та ключей)... Это немало! Клиенты корпорации могут сильно пострадать.
 
Вредоносное ПО и услуги киберпреступников стали чрезвычайно дешевыми

Любой человек может программу-вымогатель всего за $66 или нанять киберпреступника за $250. Если уделить больше времени на поиски на подпольных форумах, можно даже бесплатно получить набор для осуществления фишинговых атак. Хотя подобные незаконные методы могут быть недорогими, ущерб, который они наносят, может оказаться значительным.

Низкая стоимость вредоносного ПО является одной из причин увеличения числа киберинцидентов. Фишинг стал популярнее, чем когда-либо. По данным Центра жалоб на преступления в интернете (Internet Crime Complaint Center, IC3) ФБР, количество жалоб на фишинг увеличилось более чем вдвое в 2020 году до 241 342 случаев по сравнению с предыдущим годом. В 2020 году было зафиксировано рекордное количество фишинговых сайтов — 2 млн (самый большой показатель за последнее десятилетие).

Наборы для фишинга представляют собой ZIP-файлы со всеми скриптами, необходимыми для осуществления атаки. Подобные комплекты позволяют любому человеку с минимальными навыками программирования проводить массовые кампании по вымогательству. В 2019 году средняя цена фишингового комплекта составляла $304, а цены варьировались от $20 до $880.

Согласно отчету IBM Cost of a Data Breach, в 2021 году атаки программ-вымогателей обходились компаниям в среднем в $4,62 млн (не включая сумму требуемого выкупа). В то время как программы-вымогатели попадают в заголовки газет, другие, более изощренные атаки показывают, насколько далеко зайдут злоумышленники ради достижения своих целей. Например, гражданин Литвы Эвалдас Римасаускас (Evaldas Rimasauskas) вместе со своими сообщниками создал поддельную компанию с целью имитировать Quanta Computer — тайваньского делового партнера Google и Facebook. Поддельная компания рассылала фишинговые электронные письма с прикрепленными поддельными счетами-фактурами. Мошенники обманом заставили Google и Facebook перевести более $100 млн на банковские счета в Латвии и на Кипре.

На фишинг приходится 42% случаев заражения вымогателями. Еще 42% атак программ-вымогателей происходят через открытые службы протокола удаленного рабочего стола (RDP). В ходе атак на службы RDP используется «грубая сила», ненадежные учетные данные или фишинг для получения доступа к легитимным учетным данным.





 
Вышли из строя: к чему приведет уход зарубежных вендоров из сферы кибербезопасности

За последние три недели российский бизнес и государственные структуры подверглись беспрецедентным по своему размаху и интенсивности кибератакам. В это же время с российского рынка ушло больше десятка иностранных вендоров информационной безопасности. Среди них крупные бренды — Cisco, IBM, Imperva, Fortinet, Microsoft, Norton, Avast и др. Их постоянные клиенты, в том числе корпоративные, сейчас в срочном порядке ищут альтернативные предложения отечественных компаний — пока еще активны старые лицензии, открыты доступы и сохраняются настройки аппаратного комплекса. В России информационной безопасностью занимаются несколько десятков вендоров. Смогут ли они заменить зарубежных гигантов и заполнить нишу, оцениваемую в 50–60 млрд рублей.

Уход зарубежных вендоров​


Около 15 крупных иностранных вендоров ИТ-безопасности ушли с российского рынка в марте. В начале месяца американская компания Cisco Systems — один из крупнейших производителей сетевого оборудования — приостановила все бизнес-операции в России и Белоруссии на фоне событий на Украине. Одновременно такое же заявление сделал Microsoft , что может привести к отключению у российских пользователей защитного экрана — Microsoft Windows Defender. Следом аналогичное решение приняли разработчики популярных антивирусов Norton, Avast и Bitdefender, производитель межсетевых экранов уровня приложений Imperva, производитель целого ряда средств защиты Fortinet и другие зарубежные фирмы.

Минцифры предложило срочно обсудить поэтапную передачу российским ИТ-компаниям техподдержку важных информационных систем и инфраструктуры. Ведомство подчеркнуло, что нарушения в их работе могут привести к серьезным сбоям систем жизнеобеспечения, поэтому взаимодействие нужно наладить как можно скорее.

«Не поддерживаем идею легализации использования пиратского ПО, но в случае проведенной со стороны заказчика предоплаты за будущие периоды его использования просим с пониманием относиться к факту применения данного ПО до замены на российские конкурентные аналоги», — отметили в министерстве.

Эксперты отмечают, что российские вендоры в целом готовы занять место ушедших иностранных компаний. «Традиционно объем импортных решений был довольно большой, во многих сегментах ИБ лидировало западное ПО с самых разных рынков, но при этом последние годы наблюдали рост и появление серьезных игроков в российском ИБ, причем они предлагали вполне конкурентные решения с точки зрения технологий, способные решать самые современные задачи. По итогам 2021 года наш портфель состоял на 70% из российских вендоров, в том числе входящих в реестр отечественного ПО. Это ясно свидетельствует, что российские решения востребованы рынком, у бизнеса есть к нам соответствующий запрос, а у нас есть ряд успешно реализованных кейсов в этом направлении», — говорит Вячеслав Бархатов, генеральный директор Axoft Global.

Уязвимость цифровых ресурсов крупных государственных компаний и СМИ показали массовые хакерские атаки февраля-марта. Злоумышленники атаковали несколько федеральных ведомств, в том числе ФСИН, ФАС, Росстат, Минкульт, ФСПП, а также сайты РЖД, «Коммерсанта», «Известий» и др. На этом фоне многие руководители решили ускорить переход на отечественное программное обеспечение.

Более того, отечественные компании могут составить конкуренцию зарубежным игрокам на международном уровне. Президент группы InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская рассказала об интересе иностранных государств к ИТ-решениям российских разработчиков: «У нас (в АРПП) сейчас уже несколько компаний получили предложения от пары стран, которые хотят расширять сотрудничество [в сфере IT], причем в срочном порядке. Дело в том, что эти санкции по отключению [от сервисов, поддержки и обновлений ПО] довольно явно продемонстрировали всему миру, что работающие решения западного производства являются уязвимыми. Это демонстрация не только для нас, но и для тех стран, которые этим пользуются. Причем санкции проводятся в произвольном порядке, непредсказуемо, и для стран это, понятно, создает определенную угрозу».

Курс на импортозамещение​


Российский рынок информационной безопасности активно работает над импортозамещением несколько лет. По оценке Anti-Malware, его суммарный объем по итогам 2020 года составил 142,6 млрд рублей. Он распределен по шести основным сегментам: большую часть формируют два из них — защита инфраструктуры (48,2%) и услуги по безопасности (32,5%). Также еще в ноябре 2021-го аналитики отмечали, что объем российского рынка ИТ-безопасности будет увеличиваться в среднем на 16–20% в год вплоть до 2023-го. Высокие темпы связаны в первую очередь с низкой насыщенностью и зрелостью рынка, поясняют специалисты. Доля иностранного ПО и оборудования составляет около 50%, или 50–60 млрд рублей.

«Если говорить о доле отечественных и зарубежных технологий, на мой взгляд, соотношение составляет 1:2 в пользу импортных решений», — считает Айдар Гузаиров, основатель и генеральный директор группы компаний Innostage.

После ухода иностранных вендоров наполненность некоторых сегментов снизится, что позволит другим игрокам занять свободное пространство, а общий событийный фон позволяет прогнозировать, что показатели роста рынка информационной безопасности могут даже превысить ожидания аналитиков.

Это сделает российскую кибербезопасность одной из наиболее привлекательных с точки зрения инвестиций отраслей. В ближайшем будущем можно ожидать появление новых игроков, слияний и поглощений, расширения бизнеса и выхода ИБ-разработчиков на рынок капитала. Уже сейчас можно спланировать свой инвестиционный портфель с учетом ценных бумаг компаний из сферы кибербезопасности. Пока, правда, из российских эмитентов доступны только акции Positive Technologies.

Российские решения​


На российском рынке работают несколько десятков информационной безопасности. При этом в самых значимых нишах с точки зрения защищенности бизнеса от кибератак в России есть качественные аналоги зарубежных решений. По оценкам экспертов, они очень быстро займут освободившиеся ниши после ухода иностранных игроков. «Мы как дистрибутор сегодня получаем от участников рынка разные оценки скорости миграции на технологии и вообще готовности к ней. По их словам, период перехода может иметь слишком большой разброс — от двух месяцев до двух лет», — отмечает Вячеслав Бархатов, генеральный директор Axoft Global.

Речь идет в основном о «Лаборатории Касперского» и Рositive Technologies, которые давно на рынке, обладают широким портфелем решений для корпоративной кибербезопасности, внушительным списком клиентов, начиная с финансового сектора, медиа, сферы услуг и заканчивая государственными структурами, энергетикой и тяжелой промышленностью. Среди активно развивающихся компаний стоит упомянуть Infowatch, «Ростелеком-Солар», Bi.Zone, «Цитадель» и «Норси-Транс», чьи продукты способны надежно закрывать отдельные ИБ-задачи и направления.

По сути, после ухода крупных иностранных компаний российские вендоры оказались в выгодном положении. От западного ПО сейчас значительно освободились ниши, связанные с антивирусами, анти-DDoS, мониторингом информационной безопасности и системами защиты веб-приложений.

«В условиях развернувшейся кибервойны у заказчиков фактически нет времени на перевооружение — решения необходимо внедрять здесь и сейчас. Многие уже приняли тот факт, что американские производители покидают российский рынок, причем некоторые это делают, громко хлопая дверью и обрубая все концы, в том числе работоспособность систем и функционирование объектов, — отмечает Айдар Гузаиров, основатель и генеральный директор группы компаний Innostage. — Я согласен с тем, что России нужно сильно догонять зарубежный рынок. Но в мировой практике есть успешные кейсы, например Китай, который освоился за достаточно короткое время. Так или иначе, нам нужно повторить этот путь».

Cisco, к примеру, предлагала немало решений для корпоративных клиентов, в том числе по анализу сетевого трафика для предотвращения хакерских атак. Аналогичный продукт есть, к примеру, у Рositive Technologies: система PT Network Attack Discovery. Что касается управления уязвимостями корпоративной ИТ-инфраструктуры, то заменить известный Qualys WMDR также способны российские продукты, например MaxPatrol VM (Positive Technologies) или «Сервис контроля уязвимостей» («Ростелеком-Солар»).

Российские вендоры смогут заменить и корпоративные продукты от Fortinet, Micro Focus и IBM — например, в области SIEM-технологий. Это программное обеспечение позволяет анализировать события безопасности в реальном времени и своевременно выявлять те инциденты, которые могут причинить ущерб. За несколько последних лет именно отечественный вендор существенно потеснил позиции зарубежных SIEM-систем на рынке, войдя в тройку лидеров.

Место антивирусов Norton, Avast и Bitdefender может окончательно занять «Лаборатория Касперского», которая уже пользуется большим спросом как у российских, так и у зарубежных клиентов.

Еще одна важная ниша, которая проредилась с уходом иностранных брендов, — системы защиты web-приложений. Одним из лидеров сегмента была покинувшая российский рынок Imperva. В этом направлении могут «выстрелить» отечественные Рositive Technologies, «Ростелеком-Солар», «Норси-Транс», Bi.Zone и др.

Пока иностранные вендоры покидают российский рынок, оставляя за собой невыполненные контракты, озадаченных клиентов и свободные рыночные ниши, отечественные разработчики могут на деле доказать, что наши решения ни в чем не уступают зарубежным, могут свободно конкурировать и в качестве, и в надежности, и в функциональных возможностях, и даже в сроках реализации. Это значит, что у российских компаний появился шанс полностью перекроить карту внутреннего ИБ-рынка и обеспечить стабильный рост на годы вперед.




 
Превратится ли нынешнее киберпротивостояние в полномасштабную кибервойну?

Когда в прошлом месяце Россия ввела свои войска на территорию Украины, многие ИБ-аналитики ожидали также усиления кибервойны до невиданных ранее масштабов. Тем не менее, пока что разрушительной кибервойны нет.

Атаки на Украину начались еще до введения российских войск 24 февраля. За несколько часов до этого некоторые украинские правительственные системы были заражены вайпером, уничтожающим данные. Однако, несмотря на это, критическая инфраструктура страны (связь, интернет, медицинские системы и пр.) остается нетронутой.

По словам исследователя вашингтонской научной организации Atlantic Council Трея Герра (Trey Herr), существует теория, что решение о введении войск в Украину было принято на самом высоком уровне и не просачивалось по цепочке командования до тех пор, пока не стало слишком поздно развертывать серьезные кибератаки, на организацию которых могут уйти месяцы.

Если Россия планировала быстро завершить спецоперацию в Украине, она могла намеренно решить сохранить часть инфраструктуры в своих интересах, считает системный инженер Центра стратегических и международных исследований Кханна Малекос Смит (Khanna Malekos Smith). Кроме того, Россия могла проникнуть в некоторые сети, например, телекоммуникационные системы, с целью перехвата данных.

По мнению специалиста в области кибербезопасности в международных конфликтах Гарвардской школы Кеннеди Лорен Заберек (Lauren Zabierek), Россия придерживает кибератаки, чтобы не допустить их распространения за пределы Украины, что могло бы вызвать ответную реакцию Запада. В 2017 году российские хакеры запустили вредоносное ПО NotPetya через программу для бухучета, которой пользуются украинские компании. Однако оно эксплуатировало широко распространенную уязвимость, поэтому быстро распространилось по всему миру, парализовав работу многих крупных предприятий, в том числе датского логистического гиганта Maersk, и причинив ущерб на $10 млрд.

Россия также может придерживать более разрушительное кибероружие на потом, считает Малекос Смит. Если физический конфликт зайдет в тупик, а санкции начнут слишком давить, кибератаки могут усилиться.

Эскалации кибервойны также способны способствовать неправительственные хакеры и хактивисты, которые могут не рассчитать свои силы.

В настоящее время многие аналитики считают кибератаки шпионажем или саботажем, а не военными действиями. Хотя Россия может захотеть нанести ущерб, чтобы отразить последствия санкций, она вряд ли переступит черту, которая спровоцирует право государств на самооборону, считает Малекос Смит.

В случае физического ущерба такие страны, как США, готовы ответить всеми возможными способами. Согласно Национальному индексу кибермощности, присваиваемому Центром науки и международных отношений Роберта и Рене Белфер, кибермощность России ниже по сравнению с США, Китаем и Великобританией. Согласно Статье 5 Североатлантического альянса, нападение в киберпространстве хотя бы на одну страну НАТО означает нападение на все. Если это случится, Россия будет атакована со всех фронтов.








 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Существует длинный список ненадежных паролей, которые пользователям никогда не следует использовать. Одним из самых худших является password, но он продолжает фигурировать в инцидентах, связанных со взломами. В одном из таких случаев пароль password позволил хакерам проникнуть на сервер, украсть данные и потребовать от жертвы выкуп в размере $15 млн.

Жертвой кибератаки южноафриканское подразделение гиганта кредитной отчетности TransUnion. Компания обрабатывает кредитные данные более чем 24 млн жителей Южной Африки.

Взлом осуществила бразильская группировка N4ughtysecTU. Как сообщил один из представителей группировки изданию Bleeping Computer, хакеры получили доступ к серверам TransUnion в Южной Африке с помощью простой брутфорс-атаки.

Одна из учетных записей на сервере была защищена паролем, на подбор которого у современных хакерских инструментов уходит около секунды. TransUnion сообщает, что учетная запись принадлежала одному из ее авторизованных клиентов.

Хотя TransUnion заявила, что атака не была связана с программами-вымогателями и затронула только один «изолированный сервер с ограниченным объемом данных», хакеры предположительно похитили около 4 ТБ данных и потребовали выкуп в размере $15 млн.

TransUnion не намерена платить выкуп. У хакеров был подготовлен запасной план на данный случай — N4ughtysecTU планирует предложить избранным клиентам TransUnion возможность приобрести «страховку». «Страховка» сводится к обещанию хакеров не раскрывать данные конкретного клиента. Это будет стоить небольшим предприятиям $100 тыс. Крупным предприятиям будет предложено заплатить $1 млн

В понедельник, 21 марта, Национальная почтовая служба Греции (Hellenic Post, ELTA) сообщила о временном отключении своих коммерческих информационных систем во всех почтовых отделениях из-за кибератаки, произошедшей в ночь с воскресенья на понедельник.

Согласно официальному заявлению, ELTA «прошлой ночью столкнулась с кибератакой вредоносного ПО на свои информационные системы». Сразу же было принято решение об ограничении ущерба и предотвращении распространение атаки. Также незамедлительно были уведомлены все соответствующие органы. Кроме того, почтовая служба обратилась за помощью к ИБ-компаниям.

«В целях защиты и обеспечения безопасности до завершения всех соответствующих процессов было принято решение изолировать весь дата-центр полностью. Поэтому мы сообщаем о временном отключении коммерческих информационных систем во всех почтовых отделениях, и позднее сегодня мы предоставим общественности и нашим клиентам больше информации», - говорится в заявлении.

В завершение ELTA принесла свои извинения за причиненные неудобства, подчеркнув, что всему виной действия киберпреступников. Почта также уверила, что делает все возможное для скорейшего возвращения к нормальной работе.

Хакеры взломали официальную группу ВКонтакте с 12,4 миллионами подписчиков и разослали «антивоенный манифест».

В манифесте хакеры рассказали "о количестве жертв и экономической обстановке в России" после начала военной операции .

Взломан был аккаунт одного из редакторов социальной сети. Неизвестно как хакеры смогли обойти дополнительную защиту в виде обязательной двухфакторной аутентификации и модерацию публикуемого контента.
 
Последнее редактирование:
https://top.probiv.uno/attachments/mm1234567-png.138469/

Хакерская группировка LAPSUS$ взломала сервер Microsoft Azure DevOps. Там хранился исходный код для Bing Cortana и других внутренних проектов
Черный Треугольник 🥀
Злоумышленники потребовали у корпорации выкуп, но не получили его. Тогда хакеры опубликовали 9-гигабайтный архив 7zip в котором находится исходный код более 250-ти проектов Microsoft.

LAPSUS$ отметила что этот архив содержит 90% исходного кода для Bing и примерно 45% — для Bing Maps и Cortana.

Исследователи безопасности изучили просочившиеся файлы и подтвердили, что это внутренний исходный код Microsoft.

За последние несколько месяцев LAPSUS$ взломала NVIDIA, Samsung, Vodafone, Ubisoft и Mercado Libre.

Киберпреступная группировка Lapsus$ опубликовала в мессенджере Telegram скриншоты данных, предположительно похищенных после получения доступа к Okta.com Superuser/Admin и другим компьютерным системам компании Okta.

Okta провела анализ скриншотов с изображением предполагаемой утечки ее данных и сообщила , что они связаны с киберинцидентом, который произошел в январе 2022 года.

«В конце января 2022 года Okta обнаружила попытку компрометации учетной записи стороннего инженера службы поддержки, работающего на одного из наших субподрядчиков. Мы считаем, что скриншоты, размещенные в интернете, связаны с этим январским инцидентом. Основываясь на нашем расследовании, нет никаких доказательств продолжающейся вредоносной активности», — сообщили представители компании.

Lapsus$ известна вымогательством и угрозами разглашения конфиденциальной информации. Группировка хвасталась взломом Microsoft , Vodafone , Nvidia , Samsung , Ubisoft и других компаний.

«Лаборатория Касперского» сообщила о начале продаж новой линейки решений Kaspersky Symphony для комплексной защиты бизнеса, состоящей из четырёх уровней с набором тесно интегрированных между собой продуктов. Специалисты «Лаборатории Касперского» реализовали в этой линейке решений экосистемный подход к информационной безопасности, который наиболее полно выражен в уровне Kaspersky Symphony XDR. По словам разработчиков, это первое российское решение класса XDR для локальной установки. Всего уровней в Kaspersky Symphony четыре: Kaspersky Symphony Security — базовая защита физических и виртуальных конечных устройств (EPP). Kaspersky Symphony EDR — система обнаружения и реагирования на киберугрозы для построения собственной защиты. Kaspersky Symphony MDR — управляемая экспертная защита, обладающая базовыми функциями EDR. Kaspersky Symphony XDR — всеобъемлющая кибербезопасность компании, защита от целевых атак в том числе класса APT. В основе Kaspersky Symphony XDR лежат продукты классов EDR и EPP, работу которых уже успели оценить независимые эксперты сферы информационной безопасности, а также сами пользователи. Дополняют решение ИБ-продукты, работающие за пределами защиты конечных точек, например, защита сети, веб и почтового трафика, а особенностью и плюсом этого уровня линейки являются платформа повышения киберграмотности сотрудников, глобальная аналитика об угрозах и встроенный модуль ГосСОПКА. Именно благодаря такому сочетанию компании-заказчики смогут противодействовать самым сложным киберугрозам и при этом соответствовать требованиям российских регуляторов. Наиболее полезной платформа Kaspersky Symphony XDR будет для организаций финансового сектора, государственных органов, телекоммуникационных компаний и субъектов критической информационной инфраструктуры (КИИ), а также для всех компаний, которые планируют перейти на российские ИБ-решения в текущих условиях. Kaspersky Symphony XDR позволяет заказчику интегрироваться с существующими ИБ-решениями, что поможет сохранить ранее вложенные инвестиции. Более того, «Лаборатория Касперского» планирует представить новые кросс-продуктовые сценарии, поддержку облачной поставки и включение концепции SASE (Secure Access Service Edge).
 
Последнее редактирование:
https://top.probiv.uno/attachments/mm1234567-png.138469/

Теперь любой желающий может узнать личную информацию о клиентах платформы...

Слитые несколько недель назад личные данные «Яндекс.Еды» оформлены неизвестными хакерами в интерактивную карту. Теперь любой желающий может узнать личную информацию о клиентах платформы: имя, номер телефона и даже адрес.

Сообщения о слитой базе данных появились вечером 22 марта 2022 года. На карте можно увидеть тысячи данных жителей со всей России и ближнего зарубежья. К примеру, вбив номер, можно проверить, содержатся ли ваши данные в утечке. В настоящее время сайт со слитыми данными пользователей внесён в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен.
В слитой базе можно найти данные чиновников и известных людей. Появилась информация что некоторые пользователи таким образом смогли обнаружить гламурные похождения своих вторых половинок.

Сама база в свободном доступе появилась еще 1 марта. Тогда служба безопасности Яндекса сообщила , что в результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Выложенный хакерами файл представлял два дампа общим размером около 50Гб.

Киберпреступники сканировали сети пяти американских энергетических компаний за несколько дней до того, как президент США Джо Байден предупредил об угрозе со стороны российских хакеров.

Как сообщило новостное издание CBS News, в распоряжении которого оказалось предупреждение ФБР, злоумышленники проводили «подготовительные мероприятия» к кибератакам, включая сканирование web-сайтов и поиск уязвимостей в программном обеспечении».

ФБР выявило 140 перекрывающихся IP-адресов, связанных с «аномальным сканированием» как минимум пяти американских энергетических компаний, а также как минимум 18 других американских компаний в сфере оборонной промышленности, финансовых услуг и информационных технологий.

«Предприятиям энергетического сектора США рекомендуется изучить текущий сетевой трафик для этих IP-адресов и провести последующие расследования, если они будут обнаружены», — говорится в предупреждении.

Как сообщается в уведомлении, интенсивность сканирования увеличилась после началах боевых действий на территории Украины, что повышает вероятность кибератак в будущем.

Последние несколько недель «Лаборатория Касперского» фиксирует значительный рост интернет-активности, нацеленной на засев RAT-троянов и бэкдоров. Страдают от атак российские пользователи. Объёмы рассылок неуклонно росли и к середине марта увеличились в два раза в сравнении с показателем на конец февраля.

RAT — это сокращение от Remote Administration Tool (средства удалённого администрирования или управления). Такое ПО позволяет злоумышленнику контролировать компьютер жертвы, в том числе загружать любые программы, пересылать, удалять и переименовывать файлы, форматировать диски, красть пароли и номера кредитных карт и т.д.

Хорошо сработанный RAT позволяет злоумышленнику делать с машиной что угодно. Это превращает RAT в идеальный инструмент шпионажа.
 
Последнее редактирование:
https://top.probiv.uno/attachments/mm1234567-png.138469/

Хакеры атаковали информационные системы предприятия «ТАВР» , которое работает в Ростовской области, сообщает головная организация «Группа Агроком».

Посредством установки вредоносного программного обеспечения были атакованы серверы, рабочие станции, информационные системы предприятия. В частности, речь идет о финансово-экономической информации.

Работа компании была временно парализована, нанесен значительный экономический ущерб. По данному факту подано заявление в правоохранительные органы. В настоящее время деятельность предприятия осуществляется в ограниченном режиме.

В ходе оперативных действий по расследованию инцидента выявлены протоколы, согласно которым произошла атака, зафиксированы маршруты проникновения со стороны иностранных государств. В кратчайшие сроки на предприятии установлено специальное защитное оборудование, которое регистрирует новые попытки взлома информационных систем. Экономические потери составили «десятки млн рублей».

«Очевидно, что против компании, являющейся одним из крупнейших на юге России производителей продуктов питания, предпринята тщательно спланированная масштабная диверсия. Сегодня коллектив предприятия предпринимает все необходимые действия для защиты производственных процессов с целью обеспечения продовольственной безопасности региона». - сообщил Александр Ремета, исполнительный директор ООО «РКЗ-ТАВР»

На этой неделе хакеры уже атаковали крупнейшего производителя мясной продукции в России - компанию Мираторг. Компания подверглась атаки вируса-шифровальщика, в результате которого были парализованы производственные процессы компании.

Специалисты компании Cloudflare провели расследование взлома Okta в январе 2022 года и пришли к выводу, что компьютерные системы Cloudflare не были скомпрометированы.

В январе 2022 года хакеры получили доступ к учетной записи сотрудника службы поддержки Okta и могли выполнять действия от его имени. Cloudflare узнала об инциденте от команды специалистов SIRT Cloudflare. Сразу после сообщения об инциденте компания временно отключила доступ для сотрудника Cloudflare, чей адрес электронной почты появился на скриншотах хакеров.

Cloudflare также проверила каждого сотрудника, который с 1 декабря прошлого года сбрасывал пароль своей учетной записи или менял настройки многофакторной аутентификации (MFA). С 1 декабря 2021 года 144 сотрудника Cloudflare сбросили свой пароль или поменяли настройки MFA. Компания заставила их всех сбросить пароль.

Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access. Это позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам. В случае компрометации Okta было бы недостаточно просто изменить пароль пользователя. Злоумышленнику также потребуется изменить аппаратный токен (FIDO), настроенный для того же пользователя. В связи с этим обнаружить скомпрометированные учетные записи на основе соответствующих аппаратных ключей не составило бы труда.

Несмотря на то, что логи доступны в консоли Okta, Cloudflare также хранит их в собственных системах. Это добавляет дополнительный уровень безопасности и гарантирует, что компрометация платформы Okta не приведет к изменению собранных данных.

Okta не используется для аутентификации клиентов в Cloudflare, и компания не хранит данные клиентов в Okta. Она используется только для управления учетными записями сотрудников.
 
Последнее редактирование:
Хакерская группировка LAPSUS$ взломала сервер Microsoft Azure DevOps. Там хранился исходный код для Bing Cortana и других внутренних проектов
Черный Треугольник 🥀
Злоумышленники потребовали у корпорации выкуп, но не получили его. Тогда хакеры опубликовали 9-гигабайтный архив 7zip в котором находится исходный код более 250-ти проектов Microsoft.

LAPSUS$ отметила что этот архив содержит 90% исходного кода для Bing и примерно 45% — для Bing Maps и Cortana.

Исследователи безопасности изучили просочившиеся файлы и подтвердили, что это внутренний исходный код Microsoft.

За последние несколько месяцев LAPSUS$ взломала NVIDIA, Samsung, Vodafone, Ubisoft и Mercado Libre.

Киберпреступная группировка Lapsus$ опубликовала в мессенджере Telegram скриншоты данных, предположительно похищенных после получения доступа к Okta.com Superuser/Admin и другим компьютерным системам компании Okta.

Okta провела анализ скриншотов с изображением предполагаемой утечки ее данных и сообщила , что они связаны с киберинцидентом, который произошел в январе 2022 года.

«В конце января 2022 года Okta обнаружила попытку компрометации учетной записи стороннего инженера службы поддержки, работающего на одного из наших субподрядчиков. Мы считаем, что скриншоты, размещенные в интернете, связаны с этим январским инцидентом. Основываясь на нашем расследовании, нет никаких доказательств продолжающейся вредоносной активности», — сообщили представители компании.

Lapsus$ известна вымогательством и угрозами разглашения конфиденциальной информации. Группировка хвасталась взломом Microsoft , Vodafone , Nvidia , Samsung , Ubisoft и других компаний.

Банда вымогателей, известная успешными атаками на Microsoft, Nvidia, Samsung, Ubisoft и др., расколота. Полиция Лондона заявила, что арестовала семь человек, связанных с группировкой. Остальной коллектив, кажется, сразу же ушёл в отпуск.

Основной костяк LAPSUS$ — подростки от 16-ти до 21-го года. Один из них — White/Breachbase, 17-летний юноша из Оксфорда. Как полагают, он накопил более 300 BTC за свою преступную карьеру — около 13 миллионов долларов по сегодняшнему курсу.

Сгубили LAPSUS$ именно тщеславные выходки: хвастовство в соцсетях и средствах связи. Это оставило яркий цифровой след, который помог силовикам связать учётные записи, идентифицировать и арестовать многих членов банды киберпреступников.

Исследователи из компаний ASEC и Cyble обнаружили на хакерских форумах предложения бесплатных троянов, которые нацелены на кражу криптовалют у начинающих киберпреступников.

Фейковые вредоносы в реальности оказываются клипперами. Они мониторят содержимое буфера обмена жертвы на наличие криптовалютных адресов и заменяют их на кошельки злоумышленников. Похитители сосредоточены на краже биткоинов, Ethereum и Monero.

По данным ASEC, на форуме Russia Black Hat малварь маскировалась под взломанные версии BitRAT и Quasar RAT, которые обычно продаются по цене от $20 до $100.

После загрузки ПО жертва попадала на страницу Anonfiles с RAR-архивом, якобы являющимся сборщиком для выбранного трояна. Содержащийся в архиве файл crack.exe на самом деле устанавливал вредонос ClipBanker, автоматически запускающийся после перезагрузки компьютера.

Эксперты Cyble нашли клиппер, распространяющийся под видом бесплатной версии сборщика вредоносных программ AvD Crypto Stealer. Вшитый в данный вариант малвари биткоин-адрес получил 1,3 BTC (около $54 000), перехватив 422 транзакции.

0SqFz2LH5atPXoVS_tWW2YBdIeOQsSuHdr6pnH0qg0gVdcRlzH5F77kGM2g9fq74IF-eaIr1rakUJoBRrzWSskJii6aE_ePq11lOk3VZ37vJtxqNmrMc-rTehbkFqBcZ5zzGv0vN
Данные: Cyble.
Напомним, в январе эксперты обнаружили вредоносную версию отладчика dnSpy, устанавливающую на компьютеры жертв скрытые майнеры и трояны.
 
Последнее редактирование:
https://top.probiv.uno/attachments/mm1234567-png.138469/

Игорь Дехтярчук, гражданин РФ, подозревается в организации крупного подпольного киберфорума и торговой площадки. Ресурс имел до 5000 ежедневных посетителей. Обвинение выдвинуто ФБР.

23-летний Игорь Дехтярчук, впервые появившийся на хакерских форумах под никнеймом floraby в 2013-ом году, уже фигурирует в списке в списке самых разыскиваемых ФБР киберпреступников.

В случае осуждения хакеру грозит до 20-ти лет федеральной тюрьмы. Если бы портал вовремя не идентифицировали, администрация продала бы доступ к более чем 48 000 учётных записей электронной почты и более 39.000 цифровых учётных записей из других приложений.

24-го марта Госдепартамент США начал разыскивать четырёх граждан РФ, обвиняемых в организации кибератак на мировой энергетический сектор. Преступления совершались в период с 2012-го по 2018-е годы.

Хакеров обвиняют в атаках на тысячи компьютерных систем в 135-ти странах мира. Высокопоставленный представитель правоохранительных органов заявил, что сохраняется угроза атак на объекты критической инфраструктуры. Это заявление сделали вскоре после того как американский президент Байден предположил, что Россия в ответ на санкции якобы может провести серию кибератак против США.

«Российские хакеры представляют серьёзную и постоянную угрозу для критической инфраструктуры как в США, так и во всём мире. Хотя предъявленные сегодня обвинения отражают прошлую деятельность, они подчёркивают, что американским предприятиям необходимо укреплять свою оборону и сохранять бдительность», — заявила заместитель генерального прокурора Лиза Монако.

Американский минюст утверждает, что россиянин Евгений Гладких нанес ущерб «критически важной инфраструктуре за пределами Соединенных Штатов», из-за чего на иностранном целевом объекте произошли аварийные отключения.

Ещё трое обвиняемых — Павел Акулов, Михаил Гаврилов, Марат Тюков — готовились взломать «компьютеры сотен организаций, связанных с энергетическим сектором по всему миру», утверждает ведомство.

Эстонец Максим Березан, ответственный за 13 рансомварных атак на $53 миллиона, сегодня отправился в американскую тюрьму на 5 с лишним лет. Он был активным участником тщательно охраняемого российского киберпреступного форума DirectConnection (закрылся в 2015-ом).

Действуя по информации американских властей, в ноябре 2020-го года полиция Латвии провела обыск в доме Березана и обнаружила там красный Porsche Carrera 911, чёрный Porsche Cayenne, мотоцикл Ducati и множество ювелирных изделий. Они также изъяли $200 000 в валюте и $1,7 млн в биткоинах.

Березан специализировался на обналичивании средств и «дропах». «Обнал» — это использование украденных данных платёжных карт для совершения мошеннических покупок или снятия денег с банковских счетов без авторизации. А дроп — это место или человек, способный безопасно получать и пересылать средства или товары, полученные в результате обналичивания или других видов мошенничества.

Березан признал себя виновным в апреле 2021-го года в сговоре с целью совершения мошенничества.

Международная некоммерческая организация FIRST (Forum of Incident Response and Security Teams) приостановил членов российских CERT. Это решение укладывается в общую санкционную повестку, которую продвигают Запад и страны Европы в последний месяц в отношении компаний из России.

Согласно размещённой на официальном сайте FIRST информации, заморожены следующие членства:
BI.ZONE-CERT
Infosecurity Incident Response Team (IN4-CERT)
ISL-CSIRT
Jet CSIRT
Kaspersky ICS CERT
RTSCERT
RU-CERT
BC-CERT.BY
CERT.BY

Стоит отметить, что это действие противоречит принципам организации, поскольку изначальная задача FIRST— повышать осведомлённость в сфере информационной безопасности. Члены форума получают свежие данные о киберинцидентах. Можно сделать вывод, что приостановка членства имеет исключительно политические мотивы.

Решение FIRST прокомментировали представители антивирусной компании «Лаборатория Касперского»:
«Вчера Kaspersky ICS CERT получил письмо о временной приостановке членства в FIRST. «Лаборатория Касперского» разочарована таким решением и считает, что оно бьёт по всему интернациональному сообществу экспертов и по всей индустрии информационной безопасности, ибо ставит под сомнение основополагающий принцип доверия. Решение FIRST говорит, что вердикт специалистов по информационной безопасности теперь может зависеть не только от результатов объективного анализа, но и от политической агенды. Разумеется, это не может не создавать хаоса и не ставить под сомнение защиту частных лиц и организаций — независимо от их географического положения и государственной и национальной принадлежности. Принципы беспристрастности и объективности, открытого сотрудничества экспертов и организаций разных стран, заложенные десятилетия назад, стали краеугольным камнем современных подходов, технологий, продуктов и услуг информационной безопасности. Они должны оставаться незыблемыми, чтобы слово "безопасность" имело шанс сохраниться в названии отрасли. Мы категорически не согласны с решением FIRST и надеемся на конструктивное обсуждение этого вопроса — как в рамках Форума, так и за его пределами. Мы полностью разделяем заявленные идеи и принципы FIRST и считаем своим долгом помочь их отстоять и сохранить в условиях беспрецедентного политического давления. Это — наш единственный шанс не дать нанести очередную, возможно теперь смертельную, рану современному международному сообществу кибербезопасности».

Напомним, что ФТЭК России из-за сложившихся обстоятельств приостановила действие 56 сертификатов, в числе которых есть принадлежащие таким гигантам, как Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware.

Северокорейские хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в браузере Google Chrome в ходе атак на средства массовой информации, IT-компании, криптовалютные и финансовые организации.

Команда специалистов Threat Analysis Group (TAG) компании Google две вредоносные кампании, использующие уязвимость CVE-2022-0609, с двумя группировками, поддерживаемыми правительством Северной Кореи.

Киберпреступники рассылали потенциальным жертвам электронные письма, обманом заставляли посетить поддельные сайты или скомпрометированные легитимные web-сайты, которые в конечном итоге активировали набор эксплоитов для CVE-2022-0609.

Google TAG обнаружила кампании 10 февраля нынешнего года и устранила уязвимость в экстренном обновлении Google Chrome четыре дня спустя. Самые ранние признаки эксплуатации уязвимости нулевого дня были обнаружены 4 января 2022 года.

Одна из двух северокорейских группировок атаковала более чем 250 человек, работающих в 10 различных СМИ, регистраторах доменов, хостинг-провайдерах и поставщиках программного обеспечения. По словам экспертов, данная деятельность совпадает с северокорейской кампанией кибершпионажа Operation Dream Job, подробно исследователями ClearSky в августе 2020 года.

Вторая кампания была нацелена на более чем 85 пользователей в криптовалютной сфере и индустрии финансовых технологий и связана с группировкой, стоящей за операцией AppleJeus. Действия преступников включали компрометацию как минимум двух легитимных web-сайтов финтех-компаний и размещение скрытых iframe для активации набора эксплоитов. В других случаях эксперты обнаружили поддельные сайты, настроенные для распространения троянских криптовалютных приложений.

Злоумышленники интегрировали ряд защитных функций, которые усложнили восстановление нескольких этапов эксплоита, необходимых для компрометации целей. Например, iframe со ссылкой на набор эксплоитов обслуживался в определенное время, некоторые цели получали уникальные идентификаторы, каждый этап набора шифровался (в том числе и ответы клиента), а переход на следующие этапы атаки зависели от успеха предыдущего.

Исследователи обнаружили свидетельства того, что северокорейских хакеров интересовали не только пользователи Google Chrome. Преступники также проверяли пользователей браузеров Safari и Mozilla Firefox, отправляя им специальные ссылки на серверы, подконтрольные злоумышленникам.
 
Последнее редактирование:
https://top.probiv.uno/attachments/mm1234567-png.138469/

В фишинговых атаках используется документ-приманка, якобы отправленный от имени Национальной полиции Украины.

Китайская киберпреступная группировка Scarab использовала специальный бэкдор под названием HeaderTip в рамках кампании, нацеленной на украинские организации.

По словам экспертов из SentinelOne, организаторы кампании целенаправленного фишинга рассылают архив RAR с исполняемым файлом, предназначенным для скрытной установки вредоносной DLL-библиотеки под названием HeaderTip в фоновом режиме.

Группировка Scarab была обнаружена командой Symantec Threat Hunter в январе 2015 года. Преступники осуществляли атаки против русскоязычных лиц по крайней мере с января 2012 года с целью развертывания бэкдора под названием Scieron.

Эксперты связали HeaderTip с группировкой Scarab, основываясь на сходстве вредоносного ПО и инфраструктуры с Scieron. HeaderTip, созданный в виде 32-разрядного DLL-файла и написанный на языке программирования C++, имеет размер 9,7 КБ, а его функциональные возможности ограничены работой в качестве пакета первого этапа для загрузки модулей следующего этапа с удаленного сервера.

По словам ИБ-специалистов, участники группировки Scarab действуют в целях сбора геополитической информации.

В фишинговых атаках используется документ-приманка, якобы отправленный от имени Национальной полиции Украины. Документы-приманки из различных кампаний содержат метаданные, указывающие на то, что их создатель использует операционную систему Windows с настройками на китайском языке.

Международное сообщество FIRST (Forum of Incident Response and Security Teams), которое занимается обобщением накопленных знаний о кибератаках из разных стран и позволяет своим участникам обмениваться опытом, приостановило сотрудничество с восемью российскими центрами реагирования на компьютерные инциденты.

Это следует из информации на сайте FIRST. Среди них Центр мониторинга и реагирования на компьютерные атаки Банка России (ФинЦЕРТ), Российский центр реагирования на компьютерные инциденты (RU-CERT), центры при «Лаборатории Касперского», BI.ZONE («дочка» Сбербанка), «Инфосистемы Джет», «Ростелеком-Солар», «Лаборатории информационной безопасности», «Инфосекьюрити» (входит в Softline).

Заявление противоречит самому принципу работы компании, которая заявляет, что FIRST стремится объединить группы реагирования на инциденты и службы безопасности из всех стран мира, чтобы обеспечить безопасный Интернет для всех.

FIRST основан в 1990 году. В настоящее время в организацию входит 612 компаний из разных стран мира, включая центры крупнейших информационных гигантов Apple, Google, Tencent и других.
 
Последнее редактирование:
  • Теги
    cyber hack probiv
  • Сверху Снизу