ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.
Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.
Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.
Уязвимость CVE-2022-24040 , связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.
"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".
Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.
"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.
На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.
Исследователи компании Nozomi недавно проанализировали PXC4.E16 компании Siemens – программируемую систему автоматизации зданий (BAS) семейства Desigo, предназначенную для систем отопления, вентиляции и кондиционирования воздуха и предприятий по обслуживанию зданий и обнаружили, что ABT-инструмент для инжиниринга и ввода в эксплуатацию устройств Siemens уязвим для DoS-атак.
Уязвимость не критическая, но эксперты по кибербезопасности часто предупреждают, что в промышленных средах DoS-атака может иметь серьезные последствия.
Уязвимость CVE-2022-24040 , связана с использованием функции деривации ключа PBKDF2 для защиты паролей пользователей. Вредоносный инсайдер или злоумышленник, имеющий доступ к профилю пользователя в ABT-инструменте, при попытке входа в аккаунт может вызвать состояние отказа в обслуживании у всей системы.
"Веб-приложение не ограничивает длину ключа PBKDF2 во время создания учетной записи или обновления ее настроек", – поясняет Siemens в своем сообщении. "Злоумышленник с привилегией доступа к профилю пользователя может вызвать состояние отказа в обслуживании, перегрузив процессор слишком длинным ключом PBKDF2, а затем попытавшись войти в учетную запись".
Тесты, проведенные Nozomi, показали, что в худшем случае злоумышленник может вывести устройство из строя на несколько дней, просто попытавшись войти в систему, а потом повторить попытку входа, чтобы продлить время простоя контроллера.
"Также возможно, что злоумышленники могут атаковать BAS, одновременно осуществляя разрушительную атаку на другие промышленные системы управления (ICS) на объекте. Если система пожарной сигнализации или другие системы подвергаются DDoS-атаке, это может усилить киберфизическую атаку", – предупредили специалисты Nozomi.
На этой неделе компания Siemens исправила CVE-2022-24040, а также шесть других уязвимостей, затрагивающих устройства Desigo PXC и DXR.
Эксперты по безопасности связали атаку на Parker Hannifin с группировкой вымогателей Conti.
Parker Hannifin, машиностроительный гигант из списка Fortune 500, сообщила, что личные данные сотрудников и их родственников могли быть скомпрометированы после взлома сетей компании.
Взломанные системы были отключены после того, как компания 14 марта 2022 года, говорится в пресс-релизе, выпущенном 13 мая. В ходе расследования было установлено, что неизвестные получили доступ к ИТ-системам Parker Hannifin в период с 11 по 14 марта. 12 мая компания начала уведомлять потенциальных жертв утечки, среди которых нынешние и бывшие сотрудники, их родственники и члены групповых планов медицинского обслуживания Parker.
Parker Hannifin заявила, что утечка данных включает в себя имена людей в сочетании с одним или несколькими номерами социального страхования, даты рождения, домашние адреса, а также номера водительских прав, паспортов США, банковских счетов и маршрутные номера, учетные данные для входа в Интернет и идентификационные номера членов плана медицинского страхования.
"Для очень небольшого числа людей утекшие файлы также включали даты страхового покрытия и оказания услуг, имена поставщиков услуг, а также медицинскую и клиническую информацию о лечении", – говорят в Parker Hannifin. "Защита информации, хранящейся в системах компании, крайне важна для Parker, и мы продолжаем предпринимать шаги по защите своих систем и данных от быстро развивающихся угроз для информации компании. Мы сожалеем о любых неудобствах или беспокойстве, которые может вызвать этот инцидент".
Parker Hannifin, машиностроительный гигант из списка Fortune 500, сообщила, что личные данные сотрудников и их родственников могли быть скомпрометированы после взлома сетей компании.
Взломанные системы были отключены после того, как компания 14 марта 2022 года, говорится в пресс-релизе, выпущенном 13 мая. В ходе расследования было установлено, что неизвестные получили доступ к ИТ-системам Parker Hannifin в период с 11 по 14 марта. 12 мая компания начала уведомлять потенциальных жертв утечки, среди которых нынешние и бывшие сотрудники, их родственники и члены групповых планов медицинского обслуживания Parker.
Parker Hannifin заявила, что утечка данных включает в себя имена людей в сочетании с одним или несколькими номерами социального страхования, даты рождения, домашние адреса, а также номера водительских прав, паспортов США, банковских счетов и маршрутные номера, учетные данные для входа в Интернет и идентификационные номера членов плана медицинского страхования.
"Для очень небольшого числа людей утекшие файлы также включали даты страхового покрытия и оказания услуг, имена поставщиков услуг, а также медицинскую и клиническую информацию о лечении", – говорят в Parker Hannifin. "Защита информации, хранящейся в системах компании, крайне важна для Parker, и мы продолжаем предпринимать шаги по защите своих систем и данных от быстро развивающихся угроз для информации компании. Мы сожалеем о любых неудобствах или беспокойстве, которые может вызвать этот инцидент".
Новый бэкдор Saitama был использован при атаке на государственного чиновника в министерстве иностранных дел Иордании.
В конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.
Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.
«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».
Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.
Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.
Состояния включают в себя:
Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.
Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.
В конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.
Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.
«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».
Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.
Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.
Состояния включают в себя:
- Начальное состояние, в котором бэкдор принимает команду запуска;
- "Живое" состояние, в котором бэкдор соединяется с C&C-сервером, ожидая команды;
- Спящий режим;
- Состояние приема, в котором бэкдор принимает команды от C&C-сервера;
- Рабочее состояние, в котором бэкдор выполняет команды;
- Состояние отправки, в котором результаты выполнения команд отправляются злоумышленникам.
Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.
Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.
Слабые пароли – это плохо, а кибервымогательство вышло на новый уровень.
В последние месяцы группировка LAPSUS$ взяла на себя ответственность за громкие атаки на ряд крупных технических компаний:
Но не громкие кибератаки делают группировку необычной. LAPSUS$ уникальна из-за нескольких моментов.
Взлом Nvidia – отличный пример эксфильтрации данных группировкой LAPSUS$. Хакеры получили доступ к сотням гигабайт служебных данных, включая информацию о разрабатываемых компанией чипах. Но экспертов намного больше тревожит кража учетных данных тысяч сотрудников Nvidia. Точное количество украденных учетных данных неясно, различные новостные сайты сообщают разные цифры. Однако компании Specops удалось получить около 30 000 паролей, которые были скомпрометированы в результате взлома.
Атаки LAPSUS$ позволяют сделать два важных вывода, на которые компаниям следует обратить внимание.
Первый важный вывод – банды киберпреступников больше не довольствуются обычными шифровальщиками с требованием выкупа за расшифровку данных. Вместо традиционной шифровки данных, LAPSUS$ в большей степени нацелена на кибервымогательство, получая доступ к наиболее ценной интеллектуальной собственности организации и угрожая сливом информации, если не будет выплачен выкуп. Такие атаки могут нанести технологическим компаниям непоправимый ущерб, ведь в результате утечки данных конкуренты получат доступ к исходному коду продукта или данным исследований и разработок.
Несмотря на то, что до сих пор атаки LAPSUS$ были направлены в основном на технологические компании, жертвой такой атаки может стать любая организация. Поэтому все компании должны тщательно продумать способы защиты самых конфиденциальных данных от киберпреступников.
Второй важный вывод – слабые пароли делают компании гораздо более уязвимыми для атак. Слитые учетные данные Nvidia показали, что многие сотрудники использовали очень слабые пароли. Некоторые из этих паролей представляли собой обычные слова (welcome, password, September и т.д.), которые чрезвычайно восприимчивы к атакам по словарю. Многие другие пароли включали название компании как часть пароля (nvidia3d, mynvidia3d и т.д.).Один сотрудник даже использовал в качестве пароля слово Nvidia! Хотя вполне возможно, что злоумышленники использовали первоначальный метод проникновения, но гораздо более вероятно использование хакерами слабых паролей для получения доступа к нужным данным.
Чтобы предотвратить подобную атаку, компаниям стоит начать с установления правил безопасности, требующих длинных и сложных паролей. Также отличным методом защиты является создание пользовательского словаря слов или фраз, которые запрещено использовать в качестве части пароля.
Однако, самый лучший способ предотвратить использование слабых паролей – создание правил, запрещающих пользователям использовать утекшие в интернет пароли. При утечке пароля он хэшируется, и этот хэш обычно добавляется в базу данных хэшей паролей. Если злоумышленник получает хэш пароля, он может просто сравнить его с базой данных хэшей и быстро узнать пароль, не прибегая к трудоемкому перебору или взлому по словарю.
Хотите узнать побольше о группе молодых хакеров? Прочтите наши публикации про их самые громкие атаки на техногигантов.
В последние месяцы группировка LAPSUS$ взяла на себя ответственность за громкие атаки на ряд крупных технических компаний:
- T-Mobile (23 апреля 2022 года);
- Globant;
- Okta;
- Ubisoft;
- Samsung;
- Nvidia;
- Microsoft;
- Vodafone.
Но не громкие кибератаки делают группировку необычной. LAPSUS$ уникальна из-за нескольких моментов.
- Организатор атак и несколько других предполагаемых сообщников были подростками.
- В отличие от более традиционных хакерских групп, занимающихся распространением программ-вымогателей, LAPSUS$ крайне активна в социальных сетях.
- Злоумышленники очень известны из-за своего подхода к эксфильтрации данных. Группировка похищала исходный код, служебную информацию и часто сливала данные в сеть.
Взлом Nvidia – отличный пример эксфильтрации данных группировкой LAPSUS$. Хакеры получили доступ к сотням гигабайт служебных данных, включая информацию о разрабатываемых компанией чипах. Но экспертов намного больше тревожит кража учетных данных тысяч сотрудников Nvidia. Точное количество украденных учетных данных неясно, различные новостные сайты сообщают разные цифры. Однако компании Specops удалось получить около 30 000 паролей, которые были скомпрометированы в результате взлома.
Атаки LAPSUS$ позволяют сделать два важных вывода, на которые компаниям следует обратить внимание.
Первый важный вывод – банды киберпреступников больше не довольствуются обычными шифровальщиками с требованием выкупа за расшифровку данных. Вместо традиционной шифровки данных, LAPSUS$ в большей степени нацелена на кибервымогательство, получая доступ к наиболее ценной интеллектуальной собственности организации и угрожая сливом информации, если не будет выплачен выкуп. Такие атаки могут нанести технологическим компаниям непоправимый ущерб, ведь в результате утечки данных конкуренты получат доступ к исходному коду продукта или данным исследований и разработок.
Несмотря на то, что до сих пор атаки LAPSUS$ были направлены в основном на технологические компании, жертвой такой атаки может стать любая организация. Поэтому все компании должны тщательно продумать способы защиты самых конфиденциальных данных от киберпреступников.
Второй важный вывод – слабые пароли делают компании гораздо более уязвимыми для атак. Слитые учетные данные Nvidia показали, что многие сотрудники использовали очень слабые пароли. Некоторые из этих паролей представляли собой обычные слова (welcome, password, September и т.д.), которые чрезвычайно восприимчивы к атакам по словарю. Многие другие пароли включали название компании как часть пароля (nvidia3d, mynvidia3d и т.д.).Один сотрудник даже использовал в качестве пароля слово Nvidia! Хотя вполне возможно, что злоумышленники использовали первоначальный метод проникновения, но гораздо более вероятно использование хакерами слабых паролей для получения доступа к нужным данным.
Чтобы предотвратить подобную атаку, компаниям стоит начать с установления правил безопасности, требующих длинных и сложных паролей. Также отличным методом защиты является создание пользовательского словаря слов или фраз, которые запрещено использовать в качестве части пароля.
Однако, самый лучший способ предотвратить использование слабых паролей – создание правил, запрещающих пользователям использовать утекшие в интернет пароли. При утечке пароля он хэшируется, и этот хэш обычно добавляется в базу данных хэшей паролей. Если злоумышленник получает хэш пароля, он может просто сравнить его с базой данных хэшей и быстро узнать пароль, не прибегая к трудоемкому перебору или взлому по словарю.
Хотите узнать побольше о группе молодых хакеров? Прочтите наши публикации про их самые громкие атаки на техногигантов.
Группировка уже провела несколько атак после ареста участников
14 января 2022 года в ходе спецоперации ФСБ и МВД России по запросу властей США прошли следственные действия по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. Были установлены 14 членов группы. У хакеров изъяли 426 млн. рублей, €500 тыс., $600 тыс., 20 автомобилей премиум-класса. Однако, 3 недели назад исследователи обнаружили активность серверов и блога REvil в TOR сети.
«Потенциальное возвращение REvil совпадает с завершением обсуждения вопросов кибербезопасности между США и Россией. Возможно, российские власти прекратили расследование в отношении группы или иным образом указали членам REvil на возможность возобновить свою деятельность после ареста нескольких участников в январе 2022 года», - сказал старший аналитик Digital Shadows по разведке киберугроз Крис Морган.
«Кто именно координирует возвращение REvil, неясно. Возможно, возрождению поспособствовал один из бывших участников REvil или тот, кто имеет доступ к исходному коду и инфраструктуре группы», - добавил Морган.
С момента возвращения группировки исследователи обнаружили несколько жертв атаки программы-вымогателя REvil. По словам эксперта по кибербезопасности Аллана Лиска, новые атаки кажутся не такими умелыми, как предыдущие атаки REvil.
По предположениям эксперта, возвращение может быть связано с тем, что бывшие участники используют исходный код вредоносного ПО REvil или сами организаторы группы проводят операции после длительного перерыва в работе. Согласно заявлению аналитика угроз Emsisoft Бретта Кэллоу, несколько пострадавших организаций были удалены с сайта REvil, что означает возобновление выкупа данных некоторыми компаниями.
«Время покажет, действительно ли REvil вернулась или текущую деятельность группы выполняет самозванец, стремящийся воспользоваться репутацией команды», - сказал аналитик Крис Морган.
Команда Secureworks Counter Threat Unit в понедельник опубликовала подробный разбор новой версии ПО REvil и указала, что стоящий за возвращением группы специалист имеет доступ к исходному коду и активно разрабатывает программу-вымогатель. Новый образец ПО имеет несколько примечательных функций, включая изменения в логике дешифрования строк и встроенные учетные данные, которые связывают образец с жертвой, опубликованной на сайте утечки REvil в апреле.
«Тот, кто сейчас управляет REvil, имеет доступ к исходному коду программы-вымогателя и частям старой инфраструктуры для поддержки ПО. Возможно, некоторые или все члены группы GOLD SOUTHFIELD были освобождены российскими властями и теперь они вернулись к работе. Может быть, не все члены были арестованы и возобновили операцию сами или с новыми участниками. Возможно, доверенный филиал GOLD SOUTHFIELD взял на себя управление операцией с разрешения группы. Именно так начинала сама группа GOLD SOUTHFIELD. Операторы Gandcrab, GOLD GARDEN вышли на пенсию и продали свою деятельность аффилированной группе под названием GOLD SOUTHFIELD», - сообщили в Secureworks.
По мере анализа дополнительных образцов и сравнения модификаций эксперты могут определить разработчика ПО на основании внесенных изменений и стиля кодирования. Отделу по борьбе с угрозами Secureworks известно о шести жертвах, причем четверо были размещены на сайте утечки REvil, а две жертвы были идентифицированы с помощью образцов конфигураций.
14 января 2022 года в ходе спецоперации ФСБ и МВД России по запросу властей США прошли следственные действия по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. Были установлены 14 членов группы. У хакеров изъяли 426 млн. рублей, €500 тыс., $600 тыс., 20 автомобилей премиум-класса. Однако, 3 недели назад исследователи обнаружили активность серверов и блога REvil в TOR сети.
«Потенциальное возвращение REvil совпадает с завершением обсуждения вопросов кибербезопасности между США и Россией. Возможно, российские власти прекратили расследование в отношении группы или иным образом указали членам REvil на возможность возобновить свою деятельность после ареста нескольких участников в январе 2022 года», - сказал старший аналитик Digital Shadows по разведке киберугроз Крис Морган.
«Кто именно координирует возвращение REvil, неясно. Возможно, возрождению поспособствовал один из бывших участников REvil или тот, кто имеет доступ к исходному коду и инфраструктуре группы», - добавил Морган.
С момента возвращения группировки исследователи обнаружили несколько жертв атаки программы-вымогателя REvil. По словам эксперта по кибербезопасности Аллана Лиска, новые атаки кажутся не такими умелыми, как предыдущие атаки REvil.
По предположениям эксперта, возвращение может быть связано с тем, что бывшие участники используют исходный код вредоносного ПО REvil или сами организаторы группы проводят операции после длительного перерыва в работе. Согласно заявлению аналитика угроз Emsisoft Бретта Кэллоу, несколько пострадавших организаций были удалены с сайта REvil, что означает возобновление выкупа данных некоторыми компаниями.
«Время покажет, действительно ли REvil вернулась или текущую деятельность группы выполняет самозванец, стремящийся воспользоваться репутацией команды», - сказал аналитик Крис Морган.
Команда Secureworks Counter Threat Unit в понедельник опубликовала подробный разбор новой версии ПО REvil и указала, что стоящий за возвращением группы специалист имеет доступ к исходному коду и активно разрабатывает программу-вымогатель. Новый образец ПО имеет несколько примечательных функций, включая изменения в логике дешифрования строк и встроенные учетные данные, которые связывают образец с жертвой, опубликованной на сайте утечки REvil в апреле.
«Тот, кто сейчас управляет REvil, имеет доступ к исходному коду программы-вымогателя и частям старой инфраструктуры для поддержки ПО. Возможно, некоторые или все члены группы GOLD SOUTHFIELD были освобождены российскими властями и теперь они вернулись к работе. Может быть, не все члены были арестованы и возобновили операцию сами или с новыми участниками. Возможно, доверенный филиал GOLD SOUTHFIELD взял на себя управление операцией с разрешения группы. Именно так начинала сама группа GOLD SOUTHFIELD. Операторы Gandcrab, GOLD GARDEN вышли на пенсию и продали свою деятельность аффилированной группе под названием GOLD SOUTHFIELD», - сообщили в Secureworks.
По мере анализа дополнительных образцов и сравнения модификаций эксперты могут определить разработчика ПО на основании внесенных изменений и стиля кодирования. Отделу по борьбе с угрозами Secureworks известно о шести жертвах, причем четверо были размещены на сайте утечки REvil, а две жертвы были идентифицированы с помощью образцов конфигураций.
Россия может атаковать британцев через сайты "для взрослых"
Россия якобы работала над вредоносной программой в течение двух десятилетий, и если вирус будет выпущен, он потенциально может нанести ущерб миллионам британских устройств. Эксперты опасаются, что атака также может иметь катастрофические последствия для британской экономики.
Утверждается , что Россия разработала и может выпустить «Ковид для компьютеров» для атаки на телефоны и ноутбуки через порносайты.
Вредоносное ПО, над которым, по утверждениям экспертов, Россия работала последние два десятилетия, может заразить миллионы британских устройств.
По словам бывшего кибершпиона, российские спецслужбы ФСБ и ГРУ готовы развернуть волну кибератак против любителей клюбнички.
По сообщениям The Mirror: «Одного клика по заманчивому видео достаточно, чтобы внедрить вредоносное ПО на ваш компьютер или мобильный телефон. «Совет для безопасного киберсекса тот же, что и для настоящего секса — используйте защиту». После новостей пользователей призывают обновить программное обеспечение безопасности на своих устройствах для защиты от разрушительных атак мифических русских хакеров.
Также эксперты рекомендуют хранить всю конфиденциальную информацию на ноутбуках, не подключенных к Интернету. Так как эксперты опасаются, что атака может иметь разрушительные последствия для британской экономики.
Вредоносная программа потенциально может привести к отключению банкоматов от сети и полному отключению компьютеров, в результате чего люди не смогут проверить банковские счета.
По мнению экспертов, также могут быть отключены водоснабжение и электросети.
«Основная цель кибератаки — вызвать максимальные разрушения, замешательство, страх и хаос», — сказал он Sunday Times.
Эксперт считает , что любые такие атаки будут нацелены на «критическую инфраструктуру», такую как энергоснабжение, электричество, газ, вода и транспорт.
«Отключение электроэнергии или, скажем, потеря доступа к важным записям в больнице, к сожалению, может серьезно повлиять на нашу жизнь», — сказал он.
Это связано с тем, что в прошлом году Национальный центр кибербезопасности зарегистрировал 777 попыток взлома критической инфраструктуры, поскольку Россия, Китай, Северная Корея и Иран якобы пытались проникнуть в 40% предприятий КИИ на территории Великобритании.
Малый бизнес и люди, не разбирающиеся в киберзащите, подвергаются наибольшему риску. Дэнни Лопес, глава отдела кибербезопасности в Glasswall, сказал, что современный взаимосвязанный цифровой мир упростил выполнение изнурительных атак.
Ранее Российские хакеры Кillnet объявили кибервойну 10 странам , в т.ч. Великобритании, после неудачной DDoS-атаки на Евровидение
Россия якобы работала над вредоносной программой в течение двух десятилетий, и если вирус будет выпущен, он потенциально может нанести ущерб миллионам британских устройств. Эксперты опасаются, что атака также может иметь катастрофические последствия для британской экономики.
Утверждается , что Россия разработала и может выпустить «Ковид для компьютеров» для атаки на телефоны и ноутбуки через порносайты.
Вредоносное ПО, над которым, по утверждениям экспертов, Россия работала последние два десятилетия, может заразить миллионы британских устройств.
По словам бывшего кибершпиона, российские спецслужбы ФСБ и ГРУ готовы развернуть волну кибератак против любителей клюбнички.
По сообщениям The Mirror: «Одного клика по заманчивому видео достаточно, чтобы внедрить вредоносное ПО на ваш компьютер или мобильный телефон. «Совет для безопасного киберсекса тот же, что и для настоящего секса — используйте защиту». После новостей пользователей призывают обновить программное обеспечение безопасности на своих устройствах для защиты от разрушительных атак мифических русских хакеров.
Также эксперты рекомендуют хранить всю конфиденциальную информацию на ноутбуках, не подключенных к Интернету. Так как эксперты опасаются, что атака может иметь разрушительные последствия для британской экономики.
Вредоносная программа потенциально может привести к отключению банкоматов от сети и полному отключению компьютеров, в результате чего люди не смогут проверить банковские счета.
По мнению экспертов, также могут быть отключены водоснабжение и электросети.
«Основная цель кибератаки — вызвать максимальные разрушения, замешательство, страх и хаос», — сказал он Sunday Times.
Эксперт считает , что любые такие атаки будут нацелены на «критическую инфраструктуру», такую как энергоснабжение, электричество, газ, вода и транспорт.
«Отключение электроэнергии или, скажем, потеря доступа к важным записям в больнице, к сожалению, может серьезно повлиять на нашу жизнь», — сказал он.
Это связано с тем, что в прошлом году Национальный центр кибербезопасности зарегистрировал 777 попыток взлома критической инфраструктуры, поскольку Россия, Китай, Северная Корея и Иран якобы пытались проникнуть в 40% предприятий КИИ на территории Великобритании.
Малый бизнес и люди, не разбирающиеся в киберзащите, подвергаются наибольшему риску. Дэнни Лопес, глава отдела кибербезопасности в Glasswall, сказал, что современный взаимосвязанный цифровой мир упростил выполнение изнурительных атак.
Ранее Российские хакеры Кillnet объявили кибервойну 10 странам , в т.ч. Великобритании, после неудачной DDoS-атаки на Евровидение
Сейчас сложилась ситуация, когда «взрослые люди ушли из иностранных сетей, а дети там остались».
Замглавы Роскомнадзора Вадим Субботин заявил о высокой эффективности блокировок иностранных соцсетей Facebook и Instagram (экстремисты, запрещены в РФ).
«По поводу довести до конца блокировки. Смотрите, эффективность самих блокировок на сетях операторов связи с нашим оборудованием стремится к 100%», — сообщил он.
Глава комиссии по защите материнства, детства и поддержке семьи Анна Кузнецова попросила ведомство найти решение по доведению блокировок этих соцсетей «до конца». Она рассказала, что сейчас сложилась ситуация, когда «взрослые люди ушли из иностранных сетей, а дети там остались».
«Если раньше там были зарегистрированы мои дети, я видела, что они там делают — публикуют контент, я была подписана на их странички, они — на мои, мы переписывались, иногда даже по каким-то делам. А сейчас я не вижу. И также другие родители — мы ушли сознательно по понятным причинам, но наши дети там. И мы не имеем сейчас возможности смотреть за тем, что сейчас происходит», — пояснила Кузнецова.
4 мая Роскомнадзор принял решение о блокировке соцсети Facebook в качестве ответной меры на блокировку аккаунтов российских СМИ, сообщили в ведомстве. 11 марта Генпрокуратура РФ Генпрокуратура потребовала признать компанию Meta «экстремистской организацией», так как накануне Meta изменила свою политику модерации, перестав удалять в некоторых странах угрозы и призывы к насилию в отношении российских военных, высказанные в Facebook и Instagram.
Ранее SecurityLab.ru провел опрос , в котором приняло участие более 5000 пользователей. 57% пользователей принципиально перестали пользоваться заблокированными соцсетями, а четверть продолжает использовать использовать запрещенные соцсети через VPN. И только 1% перестали пользоваться из-за страха понести наказание.
Замглавы Роскомнадзора Вадим Субботин заявил о высокой эффективности блокировок иностранных соцсетей Facebook и Instagram (экстремисты, запрещены в РФ).
«По поводу довести до конца блокировки. Смотрите, эффективность самих блокировок на сетях операторов связи с нашим оборудованием стремится к 100%», — сообщил он.
Глава комиссии по защите материнства, детства и поддержке семьи Анна Кузнецова попросила ведомство найти решение по доведению блокировок этих соцсетей «до конца». Она рассказала, что сейчас сложилась ситуация, когда «взрослые люди ушли из иностранных сетей, а дети там остались».
«Если раньше там были зарегистрированы мои дети, я видела, что они там делают — публикуют контент, я была подписана на их странички, они — на мои, мы переписывались, иногда даже по каким-то делам. А сейчас я не вижу. И также другие родители — мы ушли сознательно по понятным причинам, но наши дети там. И мы не имеем сейчас возможности смотреть за тем, что сейчас происходит», — пояснила Кузнецова.
4 мая Роскомнадзор принял решение о блокировке соцсети Facebook в качестве ответной меры на блокировку аккаунтов российских СМИ, сообщили в ведомстве. 11 марта Генпрокуратура РФ Генпрокуратура потребовала признать компанию Meta «экстремистской организацией», так как накануне Meta изменила свою политику модерации, перестав удалять в некоторых странах угрозы и призывы к насилию в отношении российских военных, высказанные в Facebook и Instagram.
Ранее SecurityLab.ru провел опрос , в котором приняло участие более 5000 пользователей. 57% пользователей принципиально перестали пользоваться заблокированными соцсетями, а четверть продолжает использовать использовать запрещенные соцсети через VPN. И только 1% перестали пользоваться из-за страха понести наказание.
Власти США предупредили компании о риске найма на работу фрилансеров из Северной Кореи.
Правительство США призвало компании внимательнее относиться к приему сотрудников на работу, чтобы случайно не нанять IT-сотрудников из КНДР. По их словам, недобросовестные фрилансеры пользуются возможностью работать удаленно, чтобы скрыть свою настоящую личность и зарабатывать деньги для Пхеньяна, пишет Reuters.
Как сообщается в совместном уведомлении безопасности Госдепартамента, Министерства финансов и ФБР, северокорейские айтишники нанимаются на работу в американские компании, чтобы обходить санкции, введенные США и ООН в отношении КНДР, и пополнять государственную казну для финансирования ядерной и оружейной программ. Ведомства предупредили, что компаниям, нанявшим и выплачивающим зарплату таким работникам, грозят юридические последствия за нарушение санкций.
«Тысячи IT-работников из КНДР находятся как за границей, так и в самой КНДР и получают доход, отправляемый назад северокорейскому правительству. Эти IT-работники пользуются наличием спроса на определенные навыки в сфере IT, такие как разработка ПО и мобильных приложений, для подписания фрилансерских контрактов с клиентами по всему миру, включая Северную Америку, Европу и Азию», - говорится в уведомлении.
Ведомства предупредили, что северокорейские соискатели выдают себя за граждан Южной Кореи, Японии и других азиатских стран. Поэтому работодателям следует обращать внимание на такие «красные флажки», как отказ участвовать в видеозвонках и просьба получать зарплату в виртуальной валюте.
По словам американских властей, многие северокорейцы проживают в Китае и России, некоторая их часть также находится в Африке и странах Юго-Восточной Азии. Большинство получаемых ими денег уходит правительству КНДР.
Помимо получения иностранной валюты или доступа к обменным пунктам виртуальной валюты, некоторые работники помогают Пхеньяну в поддерживаемых правительством хакерских операциях. Они могут похищать данные клиентов американских и международных банков, чтобы с их помощью подтверждать свою личность на фрилансерских платформах, в платежных системах и даже компаниях-нанимателях.
Прием на работу северокорейских сотрудников «представляет много угроз, начиная от кражи интеллектуальной собственности, данных и денежных средств и заканчивая ущербом репутации и юридическими последствиями, включая санкции США и ООН», предупредили власти США.
Правительство США призвало компании внимательнее относиться к приему сотрудников на работу, чтобы случайно не нанять IT-сотрудников из КНДР. По их словам, недобросовестные фрилансеры пользуются возможностью работать удаленно, чтобы скрыть свою настоящую личность и зарабатывать деньги для Пхеньяна, пишет Reuters.
Как сообщается в совместном уведомлении безопасности Госдепартамента, Министерства финансов и ФБР, северокорейские айтишники нанимаются на работу в американские компании, чтобы обходить санкции, введенные США и ООН в отношении КНДР, и пополнять государственную казну для финансирования ядерной и оружейной программ. Ведомства предупредили, что компаниям, нанявшим и выплачивающим зарплату таким работникам, грозят юридические последствия за нарушение санкций.
«Тысячи IT-работников из КНДР находятся как за границей, так и в самой КНДР и получают доход, отправляемый назад северокорейскому правительству. Эти IT-работники пользуются наличием спроса на определенные навыки в сфере IT, такие как разработка ПО и мобильных приложений, для подписания фрилансерских контрактов с клиентами по всему миру, включая Северную Америку, Европу и Азию», - говорится в уведомлении.
Ведомства предупредили, что северокорейские соискатели выдают себя за граждан Южной Кореи, Японии и других азиатских стран. Поэтому работодателям следует обращать внимание на такие «красные флажки», как отказ участвовать в видеозвонках и просьба получать зарплату в виртуальной валюте.
По словам американских властей, многие северокорейцы проживают в Китае и России, некоторая их часть также находится в Африке и странах Юго-Восточной Азии. Большинство получаемых ими денег уходит правительству КНДР.
Помимо получения иностранной валюты или доступа к обменным пунктам виртуальной валюты, некоторые работники помогают Пхеньяну в поддерживаемых правительством хакерских операциях. Они могут похищать данные клиентов американских и международных банков, чтобы с их помощью подтверждать свою личность на фрилансерских платформах, в платежных системах и даже компаниях-нанимателях.
Прием на работу северокорейских сотрудников «представляет много угроз, начиная от кражи интеллектуальной собственности, данных и денежных средств и заканчивая ущербом репутации и юридическими последствиями, включая санкции США и ООН», предупредили власти США.
Кампания проводилась с помощью фишингового новостного сайта
Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.
Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.
Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.
.png)
Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.
.png)
Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.
.png)
В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.
.png)
В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.
PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.
.png)
Основные возможности RAT заключаются в следующем:
Malwarebytes не приводит конкретных примеров использования RAT на практике, поэтому цели кампании остаются неизвестными.
«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - в отчете.
Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно
Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.
Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.
Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.
Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.
Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.
В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.
В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.
PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.
Основные возможности RAT заключаются в следующем:
- Загрузка файлов с C2 сервера (Command and Control, C&C);
- Загрузка файлов на C2 сервер;
- Загрузка и выполнение скрипта PowerShell;
- Выполнение определенных команд;
Malwarebytes не приводит конкретных примеров использования RAT на практике, поэтому цели кампании остаются неизвестными.
«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - в отчете.
Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно
Последнее редактирование:
для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая. Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года. Сбои авторизации на стороне сервера или клиента наблюдались у служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). Проблема была связана с тем, как сопоставление сертификатов с учетными данными устройств обрабатывалось контроллером домена.
.png)
.png)
.png)
.png)
.png)
.png)
