cg-security

21.04.2021 16:34:55

Операторы REvil требуют 50 млн. долларов у Apple.

Им удалось взломать тайваньскую компанию, отвечающую за сборку продукции техногиганта.

Операторы вымогателя REvil шантажируют компанию Apple. Ранее они взломали тайваньскую компанию Quanta Computer, которая занимается сборкой «яблочной» продукции на основе схем и предварительного дизайна. Эту информацию удалось украсть злоумышленникам. Так как Quanta Computer отказалась заплатить выкуп, хакеры переключились на Apple.

Злоумышленники уже опубликовали на своей странице в даркнете 21 скриншот со схемами MacBook. Они угрожают ежедневно дополнять эти сведения до тех пор, пока им заплатят выкуп в размере 50 млн. долларов.

Услугами Quanta Computer пользуется не только Apple. Тайваньская компания собирает устройства для HP, Dell, Microsoft, Toshiba, LG, Lenovo и ряда других фирм, чья информация также могла пострадать в результате атаке злоумышленников. Правда подтверждения этому на данный момент нет.

Подробнее

21.04.2021 16:27:56

Троян Ficker распространяется через поддельные сайты Microsoft Store.

Вредоносные приложения занимаются кражей финансовых и учетных данных.

Специалисты компании ESET сообщают об обнаружении поддельных страниц Microsoft Store, Spotify и online-конвертера документов. Под видом легитимного ПО, злоумышленники занимаются распространением трояна Ficker, основной задачей которого является кража данных банковских карт и паролей, сохраненных в браузерах.

Распространяемый вредонос представляет собой zip-файл. Он загружается автоматически при переходе на зараженные страницы и при нажатии на рекламу. После распаковки и запуска исполняемого файла начинает сбор данных. Затем украденная информация компилируется в zip-файл и передается обратно злоумышленнику.

Ficker появился на русскоязычных хакерских форумах в начале этого года. Его создатель позволяет не покупать, а арендовать вредонос на срок до полугода. Кроме кражи паролей и данных банковских карт в его функционал входит возможность похищать адреса криптовалютных кошельков, документы и делать снимки экрана активных приложений.

Подробнее

21.04.2021 16:07:32

Хакеры на службе правительства Северной Кореи обвиняются во взломах по всему миру.

Для этих целей созданы группы военно-разведывательного подразделения Разведывательного Управления Генштаба КНДР.

Издание The New Yorker сообщает об использовании различных преступных схем силами хакерской армии Северной Кореи. Это позволило заработать во благо страны миллиарды долларов, которые направляются преимущественно на совершенствование военных разработок.

Группы военно-разведывательного подразделения Разведывательного Управления Генштаба КНДР и так называемое Подразделение 180 обвиняются в осуществлении откровенно преступных взломов. Чаще всего их жертвы находятся в Южной Корее. Однако киберпреступники Северной Кореи не берут на себя ответственность за взломы, а правительство отрицает причастность к подобным преступлениям.

Согласно отчету экспертов ООН, за 2019 год Северная Корея заработала более двух млрд. долларов с помощью кибератак. Это же позволяет эффективно обходить жесткие санкции, которые уже давно введены в отношении страны. Наиболее известной северокорейской группировкой является Lazarus Group. При этом тактика хакеров за последние два года стала более осторожной. Не всегда их целью является крупные организации. Теперь в их поле зрения попали небольшие финансовые учреждения и обычные граждане.

Подробнее

20.04.2021 16:38:57

Хакеры получили доступ к учетным данным клиентов Codecov.

Взлом инструмента для разработки ПО открыл им доступ во внутренние сети компаний.

Неизвестные киберпреступники взломали инструмент для разработки и аудита программного обеспечения, разработанный компанией Codecov. В результате этого злоумышленники получили доступ во внутренние сети сотен ее клиентов.

Предназначенный для тестирования кода инструмент имеет доступ к сохраненным учетным данным для различных внутренних учетных записей. Именно их удалось скопировать хакерам. Среди жертв отмечаются IT-фирмы, производители других инструментов для разработчиков ПО, а также компании, предоставляющих различные технологические сервисы, в том числе IBM.

Правоохранительные органы США занимаются расследованием инцидента. На данный момент неизвестно кто стоял за взломом и удалось ли киберпреступникам похитить дополнительные сведения в сетях других скомпрометированных компаний.

Подробнее

20.04.2021 16:11:29

Поддельные обновления Facebook Messenger угрожают пользователям.

Кампания злоумышленников охватила 84 страны, в том числе и Россию.

Новая фишинговая кампания нацелена на миллионы пользователей Facebook Messenger по всему миру. Злоумышленники предлагают установить поддельные обновления, целью которых является кража учетных и личных данных.

Первые подобные атаки были обнаружены еще в середине прошлого года. Пользователю приходит сообщение, якобы от сотрудников службы поддержки, с предложением установить последние обновления, которые предоставят новые функции и даже определенные привилегии. Переход по короткой ссылке открывает поддельную страницу регистрации в Facebook Messenger, где нужно ввести учетные данные, номер телефона и адрес электронной почты. Разумеется, после этого они попадают в руки киберпреступников.

Сообщения злоумышленников стараются максимально походить на легитимные, равно как и аккаунты, с которых они приходят. Несмотря на это, различия есть. Следует внимательно проверять источник ссылки и саму страницу регистрации. Также рекомендуется устанавливать любые обновления только из официальных магазинов.

Подробнее

20.04.2021 15:52:34

Корпоративные данные с досок Trello оказались в открытом доступе.

Сведения нескольких тысяч российских компаний были скомпрометированы.

В публичном доступе оказались данные нескольких сотен крупных и тысяч средних российских компаний. Речь идет об утечке австралийского бесплатного онлайн-менеджера проектов Trello. В числе прочего, специалисты ИБ-фирмы Infosecurity обнаружили среди скомпрометированных данных списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов.

Судя по всему, инцидент произошел в результате халатности создателей. Киберпреступники не взламывали сервис, однако в будущем могут использовать скомпрометированные сведения для организации атак. По данным специалистов, досками Trello в России пользуется в основном малый и средний бизнес, хотя встречаются и представители крупных компаний и банков.

Это самая масштабная, но не единственная утечка с Trello. За последние три года через доски сервиса удавалось найти данные «Ростелекома», Acronis, МТС и Uber. Напомним, что хранение персональной информации клиентов и сотрудников на публичном и размещенном за рубежом ресурсе противоречит закону «О персональных данных». Компаниям, которые нарушили этот закон могут грозить штрафы.

Подробнее

19.04.2021 16:14:28

МИД России сообщает об увеличении количества кибератак на свои системы.

Нередко злоумышленники используют в своих операциях подсети американских и даже европейских хостеров.

Представители Министерства иностранных дел России сообщили СМИ, что их ведомство сталкивается с увеличившимся количеством кибератак. Несмотря на это, используемые средства защиты позволили отразить все внешние нападения.

Основной целью злоумышленников называют вывод из строя официального сайта МИДа. На данный момент все официальные сайты и представительства работают в штатном режиме.

В ведомстве также отметили, что в своих операциях киберпреступники используют подсети американских и даже европейских хостеров. По словам представителей МИД, их системы регулярно подвергаются нападениям.

Подробнее

19.04.2021 16:02:01

Новый шифровальщик требует подарочный код Discord Nitro в качестве выкупа.

Расшифровать свои документы, на самом деле, можно бесплатно, так как ключ дешифровки является статическим и содержится исполняемом файле вымогателя.

Исследователи безопасности рассказали о новом вымогательском ПО, получившем название NitroRansomware. Вместо тысяч и миллионов долларов, операторы вредоноса требуют подписку Discord Nitro в качестве выкупа. Стоимость такой подписки составляет 9,99 долларов.

NitroRansomware распространяется как поддельный инструмент, якобы способный генерировать бесплатные подарочные коды. Когда программа-вымогатель будет выполнена, она зашифрует файлы и добавит расширение .givemenitro к файлам. Затем в течение трех часов появится экран с требованием подарочного кода Nitro, или зашифрованные файлы будут удалены. Судя по всему, это является пустой угрозой, так как проанализированные образцы ничего не удаляют. NitroRansomware также включает в себя рудиментарные возможности бэкдора, которые позволяют злоумышленникам удаленно выполнять команды.

Хорошая новость заключается в том, что эта программа-вымогатель не очень хорошо скрывает свой статический ключ дешифровки, и пользователи могут восстановить свои файлы бесплатно. Однако возможность удаленно выполнять команды все равно ставит скомпрометированную систему в опасность. Пользователи, зараженные этим вымогателем, должны немедленно изменить свой пароль Discord и выполнить антивирусное сканирование для обнаружения других вредоносных программ, добавленных на компьютер. Также рекомендуется, чтобы пользователи проверяли наличие новых учетных записей в Windows и удаляли их, если они были найдены.

Подробнее

19.04.2021 15:46:00

Операторы Ryuk используют новые методы взлома.

В их числе инструменты KeeThief и CrackMapExec, предназначенные для кражи учетных данных.

Специалисты компании Advanced Intelligence рассказали о новых методах взлома, используемых операторами шифровальщика Ryuk. Например, инструмент с открытым исходным кодом KeeThief позволяет злоумышленникам обходить EDR и другие средства защиты путем кражи учетных данных локального IT-администратора. Другой инструмент, получивший название CrackMapExec, также использовался для хищения учетных данных администратора и дальнейшего перемещения по сети жертвы.

Попав во внутреннюю сеть компании, операторы Ryuk определяют ресурсы, представляющие максимальную ценность. Затем они ищут информацию о доходах для определения максимальной суммы, которую сможет заплатить жертва.

Ранее сообщалось об увеличении количества атак вымогателей на системы с включенным Remote Desktop Protocol. Позже злоумышленники добавили в свой инструментарий технику BazaCall для осуществления целевого фишинга и распространения вредоносного ПО через колл-центры, которые перенаправляли пользователей на вредоносные ресурсы и обманом заставляли скачать зараженный документ Microsoft Excel.

Подробнее

16.04.2021 15:54:42

Российский хакер задержан при попытке сбежать в Киргизию.

Вместе с сообщниками он похитил 15 млн. рублей со счетов коммерческих организаций.

Официальный представитель МВД России Ирина Волк сообщила о задержании киберпреступника. Вместе с сообщниками он похитил 15 млн. рублей со счетов коммерческих организаций, а затем попытался уехать в Киргизию.

С марта по декабрь 2018 года киберпреступная группировка, состоящая из пяти жителей Орловской области, Кургана, Новосибирска и Санкт-Петербурга, занималась распространением вредоносного ПО. В результате этого им удалось получить доступ к внутренним системам нескольких коммерческих организаций страны и украсть порядка 15 млн. рублей. На текущий момент задержаны четверо из пяти фигурантов дела.

Предварительное расследование преступления продолжается. В отношении задержанного была избрана мера пресечения в виде заключения под стражу.

Подробнее

16.04.2021 15:49:50

Поддельные страницы продажи NFT-токенов обнаружены в Интернете.

Ресурсы злоумышленников распространяют вредоносное ПО и крадут данные пользователей.

Специалисты компании Bolster обнаружили в Интернете поддельные страницы продажи NFT-токенов (Non-Fungible Token). Последние представляют собой своеобразную криптовалюту, каждая единица которой является уникальной. Используется она преимущественно для подтверждения права на владение предметами цифрового искусства, не имеющего физического воплощения: музыка, картинки, анимация и т.д.

Киберпреступники используют тактику тайпсквоттинга (typosquatting), то есть создают поддельные ресурсы, URL-адреса которых максимально похожи на легитимные площадки по продаже NFT. В одном из обнаруженных случаев фейковая страница предлагала установить обновление для браузера, которое внедряет рекламу и отслеживает действия пользователей в интернете. В другом – перенаправляет на другие вредоносные страницы, предназначенные для хищения данных. Также был обнаружен ресурс, который устанавливает на устройство жертвы майнер криптовалюты.

Судя по всему, злоумышленники начали обращать внимание на возрастающую популярность NFT. По последним данным этот рынок насчитывает 250 млн. долларов. В марте стало известно о взломе учетных записей пользователей торговой площадки Nifty Gateway. В итоге инцидента жертвы взлома лишись как денег, так и права владения предметами цифрового искусства.

Подробнее

15.04.2021 16:13:42

Специалисты отмечают рост количества хакерских атак на российские НИИ.

Целью злоумышленников является политический шпионаж и нанесение ущерба критической инфраструктуре.

В 2020 году выросло количество хакерских атак на российские научно-исследовательские институты. В группе риска оказались те учреждения, которые занимаются созданием вакцины от COVID-19, а также военными разработками.

Само направление атак не является чем-то новым. Отрасли, представляющие критическое значение для страны и раньше подвергались регулярным нападениям. Целью злоумышленников в этом случае обычно являлся политический шпионаж.

Теперь же, как сообщают ИБ-специалисты, злоумышленники стремятся нанести как можно больший ущерб критической инфраструктуре. Зачастую они внедряют сразу несколько вредоносов для достижения своих целей и сохранения своего присутствия в скомпрометированной системе. В сентябре прошлого года было обнаружено, что внутренняя сеть одного из российских НИИ была взломана еще в 2017 году и целых три года киберпреступники оставались незамеченными.

Подробнее

15.04.2021 15:57:49

Кибератака привела к закрытию половины тасманских казино.

В руки злоумышленников могли попасть личные и платежные данные клиентов игорных заведений.

Компания Federal Group, управляющая казино в Тасмании, стала жертвой вымогательского ПО. Злоумышленники зашифровали системы фирмы, из-за чего два из четырех игорных заведений страны были закрыты.

Federal Group начала расследование инцидента: уведомила австралийский центр кибербезопасности (Cyber Security Centre), а также наняла независимых экспертов. Подробности атаки, а также сумма требуемого выкупа не разглашаются.

Бывшие сотрудники компании отмечают, что в руки злоумышленников могли попасть личные и платежные данные клиентов игорных заведений. Вероятность этого также сейчас проверяется специалистами.

Подробнее

15.04.2021 15:36:04

Более 100 тыс. вредоносных Google-сайтов используется для распространения SolarMarket RAT.

Вредоносные страницы содержат популярные ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме».

Специалисты подразделения реагирования на инциденты безопасности eSentire (TRU) опубликовали отчет, согласно которому хакеры используют механизмы поисковой оптимизации (SEO) для заманивания пользователей на более чем 100 тыс. вредоносных Google-сайтов. Кажущиеся легитимными ресурсы в свою очередь устанавливают троян удаленного доступа SolarMarket RAT, целью которого является загрузка вымогательского ПО и кража банковских данных.

Уникальные вредоносные страницы содержат популярные ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме». Общие бизнес-термины убеждают поисковик Google в том, что контент злоумышленников соответствует условиям высокого рейтинга страницы. Это означает, что вредоносные сайты будут появляться в верхней части поисковых запросов пользователей. На странице жертва просто запускает двоичный файл, замаскированный под требуемый PDF-файл, и таким образом заражает свою машину.

Как только троян установлен на компьютер жертвы, киберпреступники могут загрузить на устройство дополнительное вредоносное ПО. Потенциальная мошенническая активность ограничена только навыками самих преступников. Как пример, они могут установить средство кражи учетных данных электронной почты сотрудников и скомпрометировать деловую электронную переписку (BEC).

Подробнее

14.04.2021 16:35:13

В 2020 году мошенники украли у клиентов банков почти 10 млрд. рублей.

Средняя кража у физлиц составила 11,4 тыс. руб., у юрлиц — 347,8 тыс. рублей.

Банк России опубликовал «Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 год». Согласно ему, граждане страны в прошлом году лишились 9,8 млрд. рублей по вине мошенников.

Физлица в результате одной мошеннической транзакции в среднем теряли 11,4 тыс. руб., а юрлица — 347,8 тыс. рублей. Большинство несанкционированных транзакций совершалось с использованием элементов социальной инженерии, но их процент, по данным аналитиков, удалось немного снизить: с 68,6 в 2019 году до 61,8% в 2020-м.

Больше всего краж пришлось на операции при оплате товаров и услуг в интернете. Также существенно вырос объем краж через системы дистанционного банковского обслуживания, а именно на 70%. Это обусловлено высокой прибылью для злоумышленников. В 80% таких инцидентов, по данным Центробанка, мошенники использовали социальную инженерию.

Подробнее

14.04.2021 16:17:30

Киберпреступники чередуют трояны Qbot и IcedID в своих вредоносных кампаниях.

Дальнейшей стадией в их операциях является заражение устройств вымогательским ПО.

Исследователи безопасности рассказали о том, как киберпреступники используют банковские трояны Qbot и IcedID для заражения своих жертв вымогательским ПО. Причем вредоносы используются поочередно, на смену одному приходит другой и так раз за разом.

Ранее в этом году наблюдалась вредоносная кампания, целью которой было распространение по электронной почте зараженных офисных документов. Они доставляли QBot только для того, чтобы с его помощью загрузить вымогательское ПО. В феврале ему на смену пришел IcedID, который при этом поступал с тех же URL-адресов. Он использовался для заражения шифровальщиками RansomExx, Maze и Egregor. Теперь же полезная нагрузка была обратно переключена на QBot, который в прошлом поставлял программы-вымогатели ProLock, Egregor и DoppelPaymer.

Для заражения злоумышленники используют вредоносный файл Office, который выдает себя за документ DocuSign, чтобы обманом заставить пользователей включить поддержку макросов. Судя по всему, киберпреступники используют EtterSilent, вредоносный конструктор документов, который набирает все большую популярность благодаря своему постоянному развитию и способности обходить некоторые из механизмов безопасности. По данным Intel 471, им начали пользоваться уже несколько группировок, включая IcedID, QakBot, Ursnif и Trickbot.

Подробнее

14.04.2021 15:46:25

Злоумышленники распространяют вредоносное ПО через пиратские версии Microsoft Office и Photoshop.

Устанавливаемый бэкдор предоставляет злоумышленникам полный контроль над системой жертвы.

Специалисты ИБ-фирмы Bitdefender рассказали о вредоносном ПО, распространяемом через пиратские версии Microsoft Office и Adobe Photoshop. По словам исследователей, киберпреступники занимаются этим, как минимум, последние три года. Их жертвы могут лишиться криптовалюты Monero, но и это еще не все.

После установки взломанных пакетов в систему пользователя также попадают ncat.exe, служащий для передачи необработанных данных, прокси TOR и пакетный файл chknap.bat, содержащий последовательность команд. Вместе они образуют мощный бэкдор, предоставляющий широкие возможности для злоумышленников.

В его функционал входит возможность хищения информации, в частности, истории браузера, учетных данных и cookie-файлов сеанса, отключение межсетевого экрана, а также кража кошельков Monero. Но и этим, по словам специалистов, возможности бэкдора не заканчиваются. Так как он предоставляет полный контроль над зараженной системой, злоумышленники могут скорректировать его деятельность под любые потребности.

Подробнее

14.04.2021 15:37:05

База данных израильских избирателей утекла в Сеть.

Источником утечки стало мобильное приложение Elector, содержащее опасные уязвимости.

Личные данные 6,5 млн. израильских избирателей оказались в открытом доступе. Это полная база данных мобильного приложения Elector, которое использовалось для регистрации на парламентских выборах, прошедших в стране 23 марта.

Утекшие сведения включают имена и фамилии, номера удостоверений личности, адреса, номера телефонов, электронные адреса, даты рождения и сведения о половой принадлежности. Некоторые избиратели не указали при регистрации полный объем данных.

Приложение Elector уже становилось причиной массовой утечки в прошлом году. Тогда одна из израильских партий загрузила в него данные избирателей и политиков. Из-за ряда уязвимостей они также оказались в открытом доступе, а доступ к ним можно было получить без каких-либо сторонних инструментов.

Подробнее

13.04.2021 16:16:36

Вымогатели атаковали крупнейшую логистическую компанию Нидерландов.

Это привело к дефициту продуктов в магазинах, в особенности сыра.

Крупнейшая в Нидерландах логистическая компания Bakker Logistiek стала жертвой вымогательского ПО. Все устройства в ее внутренней сети оказались зашифрованы, из-за чего фирма не смогла принимать заказы от клиентов, управлять отгрузками и планировать маршруты.

Это привело к дефициту продуктов в магазинах. Крупнейшая нидерландская сеть Albert Heijn, к примеру, лишилась сыра на полках. На официальном сайте было опубликовано сообщение, поставщик логистических услуг делает все возможное для скорейшего восстановления поставок.

Bakker Logistiek планирует восстанавливать свои системы из резервных копий. Компания постепенно начинает согласовывать будущие поставки. На данный момент неизвестно, какая группировка стоит за нападением на логистическую фирму. Однако глава Bakker Logistiek сообщил, что киберпреступники использовали уязвимости ProxyLogon в Microsoft Exchange.

Подробнее

13.04.2021 16:09:09

NVIDIA использует ИИ для защиты от кибератак.

Платформа Morpheus проверяет пакеты данных в реальном времени и устраняет угрозы по мере их возникновения.

Компания NVIDIA сообщает о начале работы своей облачной инфраструктуры для защиты от кибератак. Фреймворк получил название NVIDIA Morpheus. Он использует машинное обучение для выявления и устранения угроз, обнаружить которые ранее не представлялось возможным.

Как пояснил основатель и генеральный директор NVIDIA Дженсен Хуанг (Jensen Huang), отслеживание каждой транзакции в центре обработки данных в режиме реального времени – это серьезная техническая проблема. Платформа Morpheus должна помочь решить ее. Она сочетает в себе внутрисерверную сеть Mellanox и ИИ, что позволит немедленно обнаруживать угрозы и работать с высокой скоростью передачи данных.

Блок обработки данных NVIDIA DPU BlueField, который также работает в связке с Morpheus, позволяет анализировать пакеты без дополнительного копирования. В сочетании с ИИ эта система проверяет поступающую информацию без дополнительных затрат производительности.

Подробнее

13.04.2021 15:51:40

Недавно обнаруженные уязвимости ставят под угрозу миллионы IoT-устройств.

Потребительские, корпоративные и промышленные устройства могут управляться удаленно и служить шлюзом для проникновения в остальную сеть.

Специалисты кибербезопасности из компании Forescout опубликовали отчет о девяти уязвимостях, обнаруженных в результате исследования IoT-устройств. Они влияют на четыре стека TCP/IP – протоколы связи, обычно используемые в устройствах IoT, и относятся к реализациям системы доменных имен (DNS). Это может привести к отказу в обслуживании (DoS) или удаленному выполнению кода (RCE) злоумышленниками. Потенциально затронуты более 100 млн. потребительских, корпоративных и промышленных «умных» устройств.

Набор уязвимостей, получивших название Name:Wreck, также может помочь киберпреступникам получить доступ к корпоративным сетям и украсть конфиденциальную информацию. Более того, потенциально злоумышленники в состоянии повлиять на промышленную среду, вмешаться в операционную технологию или отключить ее. Уязвимости были обнаружены в популярных стеках, включая Nucleus NET, FreeBSD и NetX. Специалисты рекомендуют как можно быстрее установить последние обновления.

В некоторых случаях может быть невозможно применить патчи к устройствам IoT. Тогда организации должны предпринять дополнительные шаги для защиты сетей от эксплуатации. Среди них: сегментация и мониторинг сетевого трафика. Исследователи надеятся, что разработчики стеков TCP/IP прислушаются ко всем отчетам, что поможет повысить безопасность устройств и предотвратить обнаружение подобных уязвимостей в будущем.

Подробнее

12.04.2021 17:08:27

Житель Техаса планировал взорвать дата-центр Amazon Web Services.

В случае успеха, по оценкам специалистов, он бы вывел из строя порядка 70% Интернета.

Сотрудники Федерального бюро расследований задержали 28-летнего жителя Техаса, который планировал совершить нападение на дата-центр Amazon Web Services. Для этого Сэт Пендли приобрел взрывчатку C-4 и еще в январе рассказал о своих намерениях на форуме MyMilitia.

С тех пор правоохранительные органы наблюдали за пользователем под ником Dionysus. Позже он использовал мессенджер Signal для связи с одним из поставщиков взрывчатки. Им оказался информатор бюро. Поэтому после того, как подозреваемый заплатил за взрывчатое вещество и положил его к себе в автомобиль, он сразу был задержан.

Основной целью злоумышленника, судя по всему, была война с олигархами и спецслужбами, которые, по его мнению, их покрывают. Подрыв выбранного дата-центра в Ашберне, штат Вирджиния, по оценкам специалистов, привел бы к выводу из строя 70% Интернета.

Подробнее

12.04.2021 16:26:26

Доход операторов вымогательского ПО Maze и Egregor превысил 75 млн. долларов.

При этом они заняли лишь третье место среди других злоумышленников, использующих шифровальщики.

Специалисты ИБ-фирмы Analyst1 поделились своими выводами о доходах от незаконной деятельности операторов вымогательского ПО Maze и Egregor. По их подсчетам, злоумышленники «заработали», как минимум, 75 млн. долларов в биткойнах. Вывод о такой сумме можно сделать исходя из официально подтвержденных выплатах киберпреступникам, неизвестно сколько еще их жертв предпочли не сообщать о нападениях.

Исследователи из компании Chainalysis подтвердили эту информацию в собственном отчете. Причем исходя из него, операторы Maze и Egregor заняли только третье место среди других злоумышленников, использующих шифровальщики. На первом месте стоят операторы вымогателя Ryuk с доходом в 150 млн. долларов, а на втором – операторы DoppelPaymer, информация о которых отсутствует.

Напомним, что перечисленные группировки предоставляют свое вредоносное ПО в аренду по принципу «вымогатель как услуга», зарабатывая на каждой успешной атаке своих партнеров от 20% до 30% выкупа. Maze стала первой группировкой, которая придумала создать сайт, на котором будут публиковаться украденные данные компаний, которые откажутся заплатить злоумышленникам выкуп. Осенью 2020 года группировка заявила о прекращении своей деятельности, однако многое указывает на ее дальнейшую связь с шифровальщиком Egregor. Деятельность последнего была приостановлена уже правоохранительными органами в рамках совместной операции спецслужб Франции и Украины.

Подробнее

12.04.2021 16:09:21

В России набирает популярность страхование от киберпреступлений.

В 2020 году количество купленных полисов составило 955, что в пять раз больше, чем годом ранее.

Всероссийский союз страховщиков сообщает о росте популярности страхования от киберпреступлений. Спрос на такие полисы в 2020 году вырос в пять раз по сравнению с предыдущим, и на сегодняшний день их было приобретено 955.

Основным фактором роста считается массовый переход на удаленный режим работы. Чаще всего к подобным услугам прибегают компании из финансового и IT-сектора. При этом предоставляют подобные услуги в России менее 10 организаций.

Киберстрахование остается достаточно дорогим удовольствием. Это связано с тем, что страховые компании не могут точно определить потенциальные убытки, которые могут грозить жертвам кибератак. Стоимость такого полиса начинается с 5 до 600 тыс. рублей, что позволит покрыть от 1 до 150 млн. рублей ущерба.

Подробнее

12.04.2021 15:52:02

На хакерском форуме опубликованы данные 1,3 млн. пользователей Clubhouse.

Эти сведения являются открытыми, однако могут быть использованы для дальнейших атак.

В бесплатном доступе на одном из хакерских форумов опубликованы данные 1,3 млн. пользователей социальной сети Clubhouse. Они включают имя учетной записи, имя пользователя, привязанные аккаунты в Twitter и Instagram, количество подписчиков и подписок, дату создания аккаунта, а также список лиц, приглашенных в беседу.

Все эти сведения не являются конфиденциальными. Доступ к ним можно получить через API, чем видимо и воспользовались злоумышленники, объединив и опубликовав эту базу данных. Несмотря на это, по мнению ИБ-специалистов, подобный набор сведений может быть использован для дальнейших мошеннических атак на пользователей.

Напомним, что в этом году социальная сеть уже фигурировала в инциденте с безопасностью. В результате хакерской атаки злоумышленники получили доступ к разговорам пользователей в закрытой комнате. «Clubhouse не может давать никаких обещаний о конфиденциальности разговоров, проводимых в любой точке мира», – прокомментировал тогда инцидент директор ИБ-фирмы Stanford Internet Observatory и бывший руководитель безопасности Facebook Алекс Стамос.

Подробнее

09.04.2021 15:44:14

В даркнете было продан доступ к коммутатору одного из сотовых операторов.

Это может привести к массовым атакам на счета россиян в период майских праздников.

В начале марта неизвестные злоумышленники приобрели доступ к коммутатору одного из операторов мобильной связи. Его название не разглашается. Благодаря этому злоумышленники могут перехватить контроль над системой сигнализации SS7, а значит звонки и SMS-сообщения всех операторов, подключенных к нему. Как сообщают исследователи безопасности, существует большая вероятность того, что этот оператор имеет договор о сотрудничестве с одним или несколькими российскими провайдерами. Также существует вероятность, что доступ был продан именно злоумышленникам из СНГ. Они проявляли наибольший интерес к этому предложению. В конечном итоге это грозит масштабными атаками на пользователей с подключенным онлайн-банкингом.

Организация такой атаки считается достаточно трудозатратной, поэтому эксперты ожидают увидеть всплеск активности злоумышленников именно в период майских праздников. Если для доступа к счету достаточно SMS-кода, его владелец с большой долей вероятности может стать жертвой злоумышленников. Обычно же, для этого требуется знать логин и пароль пользователя, но и эту информацию киберпреступники могут узнать при помощи целевого пробива или из других БД, продаваемых в даркнете.

Чтобы защитить себя от подобных атак рекомендуется переключить двухфакторную защиту критических сервисов на push-уведомления вместо SMS. Можно использовать специальные приложения-аутентификаторы, генерирующие одноразовые коды непосредственно на самом устройстве Нелишним будет установить лимиты на переводы и запрет операций за рубежом.

Подробнее

09.04.2021 15:37:16

Операторы вымогательского ПО Cring остановили работу на двух предприятиях.

Проникнуть во внутреннюю инфраструктуру компании им помогла уязвимость в Fortinet Fortigate VPN.

Операторам шифровальщика Cring удалось нарушить работу двух предприятий неназванного немецкого производителя. В результате атаки на серверы компании, содержащие базы данных, необходимых для производственной линии, им удалось временно приостановить работу двух объектов в Италии.

Попасть во внутреннюю сеть компании им удалось благодаря эксплуатации уязвимости CVE-2018-13379 в Fortinet Fortigate VPN. Она позволяет неавторизованным пользователям получить файл сеанса, в котором содержится логин и пароль для VPN открытым текстом. Затем при помощи дополнительных инструментов они зашифровали серверы и потребовали от компании выкуп в размере двух биткойнов (около 116 тыс. долларов).

Производитель отказался заплатить злоумышленникам. Вместо этого, компания самостоятельно восстанавливала данные из резервных копий. Исследователи безопасности отметили, что киберпреступники провели серьезную разведку перед непосредственной атакой, разработали собственный инструментарий исходя из полученных данных и вывели из строя именно те ресурсы, потеря которых должна была нанести максимальный ущерб.

Подробнее

09.04.2021 15:24:33

Данные 500 млн. пользователей LinkedIn продаются в даркнете.

Компания не считает инцидент утечкой, так как представленные в БД сведения являются открытыми.

На популярном хакерском форуме выставлены на продажу данные 500 млн. пользователей LinkedIn. Посетители этого ресурса за небольшую сумму могут просматривать сведения 2 млн. пользователей и удостовериться в подлинности информации.

Среди продаваемых данных содержатся полные имена, данные о половой принадлежности, адреса электронной почты, телефонные номера, сведения о работе, а также ссылки на страницу пользователя в LinkedIn и других социальных сетях. Собраны эти сведения, судя по всему, были с помощью веб-скрепинга, то есть они были изъяты с общедоступных страниц вручную или с помощью автоматизированных средств и объединены в общую базу.

Сама компания не считает инцидент утечкой. Это связано с тем, что в продаже оказались именно общедоступные сведения, которые мог просмотреть любой желающий. Злоумышленники только собрали и объединили эту информацию, но не получали доступа к закрытым системам и службам. Несмотря на это, следует помнить, что, обладая таким массивом данных, мошенники могут осуществлять целенаправленные фишинговые атаки, рассылать спам на 500 млн. пользователей и попытаться подобрать пароли к учетным записям.

Подробнее

08.04.2021 16:20:15

Европейская комиссия стала жертвой взлома.

Также от кибератаки пострадали системы нескольких организаций ЕС.

В марте этого года системы Еврокомиссии и нескольких организаций ЕС подверглись атаке со стороны неизвестных хакеров. На данный момент неизвестно удалось ли злоумышленникам получить доступ к конфиденциальным данным, однако расследование инцидента находится только на начальной стадии.

По словам представителя Европейской комиссии, они сотрудничают с командой компьютерной безопасности по реагированию на инциденты (CERT-EU), а также поставщиком затронутого решения. О характере инцидента он также не дал комментариев, отметив только, что на этом этапе серьезных утечек безопасности не выявлено.

Неизвестно также связан ли мартовский инцидент с атаками на Microsoft Exchange. Напомним, что из-за уязвимостей в этих почтовых серверах именно в прошлом месяце Европейскому банковскому управлению пришлось отключить все свои почтовые системы. Всего же, по оценкам специалистов, от подобных атак могли пострадать порядка 60 тыс. организаций.

Подробнее

08.04.2021 16:01:46

Киберпреступники используют Telegram и Google Формы для вывода украденных данных.

Специалисты безопасности предполагают рост популярности подобных альтернативных способов.

ИБ-специалисты отмечают рост популярности альтернативных способов вывода украденных данных. В большинстве случаев для этого используется электронная почта: украденная на фишинговых страницах информация пересылается злоумышленникам чаще всего именно так. Однако теперь, они начинают пользоваться легитимными сервисами, например, Telegram или Google Формами. Их использование позволяет обеспечить сохранность данных и оперативность использования.

Поддержка таких каналов все чаще встречается в специализированных фишинговых пакетах. Они предоставляется в пользование как услуга. Нередко злоумышленники встраивают в такие пакеты бэкдоры, чтобы и самим получить доступ ко взломанным устройствам или украденной информации.

В 2020 году такие фишинговые пакеты использовались для создания поддельных страниц популярных компаний и сервисов. Чаще всего встречались фейковые ресурсы Microsoft, Google, PayPal и Yahoo. По итогам года на альтернативные способы вывода краденных данных пришлось 6%, остальное – электронная почта. Однако специалисты безопасности предполагают рост популярности вывода, например, через Telegram.

Подробнее

08.04.2021 15:44:48

Группировка Lazarus использует новый бэкдор для атак на грузовую отрасль.

Vyveva способен собирать данные с зараженной машины и ее дисков, удаленно подключаться к серверу управления и запускать произвольный код.

В ходе недавней атаки на южноафриканскую логистическую и грузовую компанию специалисты ESET обнаружили новый бэкдор. Исследователям удалось связать его с деятельностью продвинутой хакерской группировки Lazarus. Программа получила название Vyveva.

Бэкдор способен эксфильтрировать файлы, собирать данные с зараженной машины и ее дисков, удаленно подключаться к серверу управления и запускать произвольный код. Кроме того, он использует поддельные TLS-соединения для сетевой связи и цепочки выполнения командной строки, используемые группировкой в прошлых кампаниях. Vyveva также включает в себя опцию "timestomping", которая позволяет копировать время создания/записи/доступа, а также возможность отфильтровывать определенные расширения и фокусироваться только на определенных типах файлов.

Lazarus связывают с деятельностью северокорейских хакеров. Группировку считают ответственной за глобальную вспышку вымогателей WannaCry, ограбление банка Бангладеш на 80 млн. долларов, атаки на южнокорейские цепочки поставок, кражу криптовалют, взлом Sony в 2014 году и различные другие нападения на американские организации.

Подробнее

07.04.2021 16:01:50

Защитить от «подозрительного брокера» предлагают мошенники.

Таким образом они выуживают личные данные, а иногда и денежные средства россиян, интересующихся биржевыми инвестициями.

Киберпреступники придумали новую схему для атак на россиян, интересующихся биржевыми инвестициями. Суть ее кроется в предоставлении услуги по типу «проверить брокера». На специально созданных веб-сайтах злоумышленники предлагают юридическую поддержку, реальная цель которой – получение личных данных и дальнейшая кража денежных средств.

На таком сайте пользователю предлагают ввести название интересующей его компании. Ему сообщают, что брокер находится в «международном черном списке». Для дальнейшей консультации злоумышленники запрашивают имя и номер телефона для связи. Затем целью злоумышленников будет убеждение пользователя перевести денежные средства на «безопасные счета», подконтрольные мошенникам.

ИБ-специалисты напоминают, что даже переход по ссылке злоумышленников может заразить устройство вредоносным ПО. Попытка оказать психологическое давление с целью скорейшего перевода денег, якобы для их безопасности, на какие-то сторонние счета – также зачастую свидетельствует о мошеннических махинациях.

Подробнее

07.04.2021 15:42:12

Израильская страховая компания лишилась годовой прибыли из-за хакеров.

Против Shirbit также было подано четыре коллективных иска на сумму 360 млн. долларов.

Страховая компания Shirbit, расположенная в Израиле, из-за кибератаки лишилась своей годовой прибыли. Об этом стало известно из финансового отчета, опубликованного фирмой. Инцидент был признан самой серьезной кибератакой в истории страны.

В ноябре 2020 года Shirbit стала жертвой вымогателей BlackShadows. Злоумышленники украли конфиденциальные данные, зашифровали серверы и потребовали выкуп. Из-за того, что компания не смогла продлить страховые полисы в декабре, она лишилась 2,4 млн. долларов. Годовая выручка при этом составила всего 240 тыс. долларов, при прошлогодних 7,8 млн. долларов.

Киберпреступники опубликовали украденные конфиденциальные данные, из-за чего к прямым убыткам Shirbit добавились четыре коллективных иска на общую сумму 360 млн. долларов. Клиенты посчитали, что компания не предприняла достаточных мер для решения проблем с безопасностью. Судебные процессы по искам пока находятся на начальной стадии.

Подробнее

07.04.2021 15:37:52

Смартфоны Gigaset вместе с обновлением загрузили вредоносные приложения.

Киберпреступники взломали сервер немецкого производителя.

Немецкий производитель смартфонов Gigaset подтвердил взлом одного из своих серверов. Инцидент произошел 2 апреля 2021 года, в результате чего на устройства клиентов вместе с обновлением попали вредоносные приложения.

В Twitter-аккаунтах появляются сообщения, что после обновления у устройств быстрее заканчивается заряд батареи, а в браузере постоянно открываются страницы онлайн-казино. Некоторые лишились своих аккаунтов в Facebook, кто-то заметил рассылку спама в мессенджерах. Удалить вредоносные приложения не представляется возможным, так как они самостоятельно переустанавливаются.

Как сообщили в Gigaset, от взлома пострадал только один сервер, с которого и рассылались вредоносные обновления. Пострадали, в основном, старые устройства. Компания работает над решением проблемы и рассчитывает на ее исправление в течение 48 часов.

Подробнее

06.04.2021 16:08:02

27 месяцев лишения свободы получил житель Нидерландов за взлом учетных записей.

Он использовал аккаунты на торговых площадках для покупки дорогостоящих товаров на свой адрес.

В Нидерландах за взлом учетных записей осужден 27-летний житель города Арнема. Он будет отбывать 27 месяцев в местах лишения свободы. Помимо этого, ему необходимо выплатить штраф в размере 118 тыс. долларов. На данный момент, это один из самых строгих приговоров в стране по подобному делу.

Издание The Record сообщает, что ранее злоумышленник приобрел базу данных с учетными данными 3,7 млн. пользователей онлайн-магазинов. После проверки данных выяснилось, что он может получить доступ к более чем 13 тыс. аккаунтов. Злоумышленник использовал этот доступ, а также финансовые данные, указанные в профилях, для покупки дорогостоящих товаров и доставки на свой адрес.

Захват аккаунта – это достаточно распространенная техника киберпреступников. В даркнете регулярно продаются, а иногда и публикуются бесплатно утечки данных, включая логины и пароли. В прошлом году из-за массового перехода на удаленную работу и роста популярности онлайн-сервисов этот рынок только расширился.

Подробнее

06.04.2021 15:52:28

Китайская группировка Cycldek разработала новое вредоносное ПО.

FoundCore RAT предоставляет хакерам полный контроль над устройством.

Специалисты Лаборатории Касперского опубликовали новый отчет о деятельности китайской киберпреступной группы Cycldek. Злоумышленники усовершенствовали свои инструменты и разработали новый троян удаленного доступа FoundCore RAT, который предоставляет полный контроль над устройством.

В отчете рассматривается кампания злоумышленников, направленная против правительственных и военных организаций стран Юго-Восточной Азии, проводимая с июня 2020-го по январь 2021 года. Для развертывания вредоноса и загрузки DLL злоумышленники использовали легитимный компонент Microsoft Outlook. Функционал FoundCore RAT предполагает запуск четырех процессов: для сохранения постоянства в системе, для сокрытия первого процесса, для предотвращения доступа к вредоносу и для связи с командным сервером.

После успешного развертывания троян предоставляет полный контроль над системой. Например, он позволяет манипулировать файловой системой и процессами, выполнять произвольные команды и делать скриншоты. Как сообщается в отчете, больше всего от этой вредоносной кампании пострадали учреждения Вьетнама.

Подробнее

06.04.2021 15:45:32

Серверы GitHub пытаются использовать для криптомайнинга.

Злоумышленники используют GitHub Actions для внедрения и запуска майнеров.

Облачная инфраструктура веб-сервиса GitHub с осени прошлого года подвергается атакам, целью которых является добыча криптовалюты. Злоумышленники используют GitHub Actions для внедрения и запуска майнера. Сейчас администрация сервиса занимается расследованием инцидентов.

На данный момент известно об одной киберпреступной группе, осуществляющей атаки. На начальной стадии злоумышленники ищут репозитории с активным GitHub Actions. Затем они добавляют в код вредоносное действие и создают пул-запрос на включение внесенных изменений в исходник. Причем самого запроса достаточно для загрузки и запуска криптомайнера. Все входящие запросы автоматически принимаются и включаются в программу тестирования. Положительный ответ от владельца репозитория при этом не требуется.

Блокировка аккаунтов злоумышленников в данном случае не помогает. Они тут же создают новые. В рамках вредоносной кампании был зафиксирован одновременный запуск порядка 100 майнеров в облачной инфраструктуре GitHub. Других незаконных вмешательств в проекты пользователей выявлено не было.

Подробнее

05.04.2021 15:49:27

Данные потенциальных клиентов компании Дом.РФ выставлены на продажу.

База данных, содержащая 104,8 тыс. записей, оценена в 100 тыс. рублей.

В продаже обнаружена база данных потенциальных клиентов компании Дом.РФ. Представители организации подтвердили утечку и отметили, что ее причиной стала уязвимость в системе дистанционной подачи заявки. На данный момент она была устранена.

По словам продавца, в руках злоумышленников оказались 104,8 тыс. записей, собранных в период с февраля 2020-го по март 2021 года. Среди сведений, указанных в БД: суммы желаемого кредита, телефонные номера заявителей и адреса электронной почты. В случае, если клиент заполнял заявку на кредит полностью, в базе будет полное имя, дата рождения, сумма и вид кредита, паспортные данные, номера ИНН и СНИЛС, а также адрес проживания, должность и размер дохода.

Полную базу данных злоумышленники оценили в 100 тыс. рублей. Однако у покупателей есть возможность приобрести сведения построчно. Так, сведения за текущий год обойдутся в 15 рублей за строку, 10 рублей - за вторую половину 2020-го, за первую – 7 рублей.

Подробнее

05.04.2021 15:46:16

Компания Asteelflash стала жертвой вымогателей REvil.

Злоумышленники требуют выкуп в размере 24 млн. долларов.

Французский производитель электроники Asteelflash стал жертвой операторов вымогательского ПО REvil. Подробности инцидента не разглашаются, компания не делала официального заявления.

Об атаке сообщает специализированное издание BleepingComputer. Его специалистам удалось обнаружить страницу в даркнете, созданную для переговоров между сторонами. Сообщается, что злоумышленники сначала потребовали 12 млн. долларов в качестве выкупа, а после того, как компания не заплатила в указанный срок, эта сумма выросла вдвое.

Судя по всему, перед шифрованием злоумышленники украли часть данных Asteelflash для оказания давления. Об этом свидетельствует файл asteelflash_data_part1.7z, который киберпреступники отправили жертве и метаданные которого указывают на то, что создан он был именно в стенах пострадавшей компании. Asteelflash занимается расследованием инцидента.

Подробнее

05.04.2021 15:37:03

В Сеть утекли данные 533 млн. пользователей Facebook.

На хакерском форуме можно приобрести даже личные данные основателя социальной сети Марка Цукерберга.

Специалисты ИБ-фирмы Hudson Rock обнаружили утечку личных данных 533 млн. пользователей Facebook. Эти сведения касаются граждан из 106 стран. Больше всего жертв сосредоточено в Египте: там от утеки пострадало 44 млн. пользователей. В России эта цифра несколько меньше – 10 млн.

Утечка была обнаружена еще в январе этого года, однако известно о ней стало лишь недавно. В руках злоумышленников оказались адреса электронной почты, номера телефонов, полные имена пользователей, даты их рождения, биографические сведения и уникальные идентификаторы. Эти сведения можно приобрести на специализированных форумах и Telegram-каналах.

Известно также, что в результате инцидента пострадали личные данные основателя Facebook Марка Цукерберга. Один из пользователей Twitter обнаружил и сделал скриншот сведений, продаваемых на одном из хакерских форумов. Исследователи безопасности полагают, что такая утечка непременно приведет к всплеску киберпреступной активности.

Подробнее

02.04.2021 15:54:03

Компонент Windows позволяет устанавливать вредоносное ПО.

Злоумышленники используют BITS для распространения вымогателя Ryuk.

Специалисты FireEye Mandiant обнаружили механизм, позволяющий при помощи легитимного компонента Windows, известного как Background Intelligent Transfer Service (BITS), скрытно доставлять вредоносное ПО в систему.

BITS представляет собой службу передачи файлов между клиентом и HTTP-сервером. Обычно она используется для доставки обновлений операционной системы. Этот сервис может использоваться и сторонними приложениями для обновления в фоновом режиме.

Исследователи рассказали, что в прошлом году медицинские учреждения страдали от фишинговых атак, целью которых было распространение бэкдора KEGTAP. Сервис BITS позволяет вредоносу сохранять постоянство в системе. На скомпрометированном устройстве создается новое задание System update. После попытки загрузить недействительный URL-адрес запускается исполняемый файл mail.exe, который в свою очередь запускает бэкдор KEGTAP. В Указанных атаках злоумышленники использовали его для распространения вымогателя Ryuk.

Подробнее

02.04.2021 15:43:44

Booking.com оштрафован за несвоевременное оповещение о компрометации данных.

В конце 2018 года хакеры смогли украсть персональные данные 4109 пользователей сервиса.

Популярный сервис бронирования жилья Booking.com оштрафован Нидерландским управлением по защите данных. Сумма штрафа составила 475 тыс. евро, что равно примерно 560 тыс. долларов. Компании вменяется нарушение регламента GDPR, а именно – несвоевременное оповещение о компрометации информации.

Инцидент, за который был наложен штраф, произошел в конце 2018 года. Тогда киберпреступники смогли получить доступ к учетным данным 40 сотрудников отелей в ОАЭ на Booking.com. В результате этого злоумышленники смогли украсть персональные данные 4109 человек, забронировавших номера, а также сведения платежных карт 293 клиентов и 97 CVV-кодов.

Самой компании об инциденте стало известно 13 января 2019 года. Регламент GDRP предписывает уведомить власти в течение трех дней, однако сделано это было только 7 февраля. Представители Booking.com утверждают, что в первую очередь уведомили пострадавших клиентов, однако не планируют оспаривать наложенный штраф.

Подробнее

02.04.2021 15:36:28

Вымогательские DDoS-атаки достигли очередного рекорда.

Количество нападений мощностью свыше 50 Гбит/с. в период с января по март превысило показатель за весь 2019 год.

Специалисты Akamai рассказывают о существенном росте количества DDoS-атак мощностью свыше 50 Гбит/с. с начала этого года. Анализ данных за I квартал говорит об увеличившихся агрессии злоумышленников и географии атак.

Основная цель киберпреступников – получение выкупа от жертв за прекращение нападений. В феврале от их действий пострадали европейские игорные заведения, мощность атак на которые превысила 800 Гбит/с. В целом же, количество нападений мощностью свыше 50 Гбит/с. в период с января по март превысило показатель за весь 2019 год.

Также специалисты Akamai рассказывают о новом векторе атак, а именно сервисе DCCP. Несмотря на то, что он мало пригоден для отражения и усиления мусорного потока, подмена IP-адреса источника запроса при этом все равно возможна. По мнению экспертов, злоумышленники решили таким образом обойти традиционные средства защиты, ориентированные на TCP и UDP. Однако вряд ли DCCP будет использоваться для организации мощных атак.

Подробнее

01.04.2021 16:34:02

Операторы вымогателя Ragnarok атаковали компанию Boggi Milano.

Злоумышленники утверждают, что им удалось похитить 40 ГБ данных.

Издание Bloomberg сообщает о кибератаке на итальянский премиум-бренд мужской одежды Boggi Milano. За нападением стоят операторы вымогательского ПО Ragnarok. Компания подтвердила факт атаки. На данный момент ведется расследование.

На своей странице в даркнете злоумышленники утверждают, что в ходе нападения им удалось украсть 40 ГБ внутренних данных, включая документы из отдела кадров и информацию о зарплате сотрудников. Это также подтвердили источники Bloomberg.

Boggi Milano – один из самых известных итальянских брендов мужской одежды премиум-класса. Основанная в 1939 году компания владеет 200 магазинами в 38 странах мира.

Подробнее

01.04.2021 16:17:06

Северокорейские хакеры выдают себя за ИБ-фирму SecuriElite.

Их целью являются атаки на специалистов по кибербезопасности.

Киберпреступная группировка ZINC из Северной Кореи возобновила свои атаки на ИБ-специалистов. Ранее они использовали социальные сети для привлечения экспертов в области кибербезопасности якобы для совместного исследования уязвимостей. На деле же их целью было заражение устройств вредоносным ПО.

Специалисты Threat Analysis Group компании Google зафиксировали возобновление активности ZINC. Члены группировки создали сайт, принадлежащий фиктивной ИБ-фирме SecuriElite, а также учетные записи в Twitter и LinkedIn. Как сообщили в Google, злоумышленники планировали использовать цепочки уязвимостей нулевого дня в Google Chrome, Microsoft Internet Explorer и Windows 10.

Связать эти две кампании удалось благодаря использованию открытого ключа PGP, который киберпреступники использовали ранее. Предположительно, никто не успел пострадать от действий злоумышленников. Google добавила сайт подставной фирмы в API безопасного просмотра, а также уведомила администрации социальных сетей, которые заблокировали учетные записи хакеров.

Подробнее

01.04.2021 16:07:02

Вредонос BazarCall использует колл-центры для атак на Windows-устройства.

Фишинговые письма предлагают пользователям позвонить по номеру телефона, который затем направляет жертву на специально созданный веб-сайт.

В течение последних двух месяцев исследователи безопасности отслеживают деятельность новой вредоносной программы BazarCall. Она использует колл-центры для распространения других вредоносов под Windows. Обнаружена BazarCall была в конце января и получила свое название, поскольку злоумышленники изначально использовали ее для установки вредоносного ПО BazarLoader.

Все атаки BazarCall начинаются с фишингового письма, адресованного корпоративным пользователям. В нем говорится, что бесплатная пробная версия получателя скоро закончится, причем не уточняется, о чем конкретно идет речь. Эти электронные письма предлагают пользователю связаться с указанным номером телефона, чтобы отменить подписку, прежде чем будут списаны от 69,99 до 89,99 долларов за продление. Когда получатель звонит по указанному номеру телефона, его связывают с живым человеком, который запрашивает уникальный идентификатор клиента, вложенный в электронное письмо. Затем агент колл-центра направит пользователя на поддельный веб-сайт, который предложит загрузить вредоносный Excel-файл.

Когда макросы Excel включены, вредоносная программа BazarCall будет загружена и запущена на компьютере жертвы. Изначально она использовалась для распространения вредоносного ПО BazarLoader. Теперь исследователями были обнаружены загрузки TrickBot, IcedID, Gozi IFSB и других вредоносных программ. Опасность их заключается в том, что они обеспечивают удаленный доступ к скомпрометированным корпоративным сетям, где злоумышленники могут свободно распространяться, чтобы украсть данные или развернуть вымогателей.

Подробнее

31.03.2021 16:33:42

Число атак со стороны шифровальщиков ежемесячно растет на 9%.

За последние полгода количество организаций, пострадавших от вымогательского ПО, выросло на 57%.

Специалисты Check Point о возросшей активности программ-вымогателей. За последние полгода количество организаций, пострадавших от шифровальщиков, выросло на 57%. В среднем же, количество атак вымогательского ПО с начала этого года растет на 9%.

Среди жертв злоумышленников отмечаются организации в США, Израиле, Индии и Японии. Россия на седьмом месте в мире по количеству атак. Операторов вымогательского ПО, в первую очередь, интересуют государственные, оборонные и промышленные предприятия. Всего в период с января по март 2021 года, специалисты Check Point зафиксировали 3868 организаций, пострадавших от вымогательского ПО.

Также специалистов беспокоит возобновление активности вымогателя WannaCry. Четыре года назад он стал причиной настоящей эпидемии. Если большинство популярных шифровальщиков на данный момент должны обслуживаться операторами, то WannaCry этого не требует и распространяется самостоятельно. Вредонос использует эксплойт EternalBlue. Успешные заражения говорят о том, что патч четырехлетней давности для уязвимости в SMB-протоколе Windows до сих пор отсутствует на некоторых машинах.

Подробнее

31.03.2021 16:15:19

Электронные письма Госдепартамента США украдены хакерами.

Подробности и масштабы инцидента не разглашаются из соображений безопасности.

Американские СМИ сообщают о краже тысяч официальных электронных писем Государственного департамента США. Об инциденте широкой общественности стало известно только сейчас, хотя инцидент произошел еще в прошлом году.

Источники издания Politico отметили, что злоумышленникам удалось получить доступ к письмам Бюро по делам Европы и Евразии, а также Бюро по делам Восточной Азии. Содержание писем, а также информация о том, содержали ли они засекреченную информацию, остается неизвестным. Подробности кибератаки и возможные причины взлома также не раскрываются.

В пресс-службе Госдепартамента США заявили, что их ведомство серьезно относится к ответственности по охране информации. Сейчас они принимают меры по обеспечению ее защиты. Из этих соображений они не могут обсуждать природу или масштабы каких-либо инцидентов в области кибербезопасности.

Подробнее

31.03.2021 15:59:26

В прошлом году количество бесфайловых вредоносов выросло почти на 900%.

Самыми популярными наборами инструментов у злоумышленников стали PowerSploit и CobaltStrike.

ИБ-фирма Watchguard Technologies опубликовала отчет, согласно которому в 2020 году количество бесфайловых вредоносов выросло на 888%. Данный метод, не предполагающий загрузку вредоносного кода в систему, позволяет злоумышленникам оставаться незамеченными для защитных решений.

Отмечается также рост количества криптовалютных майнеров на 25% и вредоносного ПО, поставляемого через HTTPS, на 41%. Почти половина из всех обнаруженных Watchguard Technologies атак были зашифрованы.

Самыми популярными наборами инструментов у злоумышленников стали PowerSploit и CobaltStrike. Они встраивают вредоносный код в запущенные процессы таким образом, чтобы даже в случае обнаружения и удаления оставаться активными.

Подробнее

30.03.2021 16:57:24

Киберпреступники добавили бэкдор в исходники PHP в Git-репозитории.

Инцидент может привести к взлому огромного количества онлайн-ресурсов.

Сервер git.php.net был взломан киберпреступниками при помощи ошибки переполнения буфера в стеке. Хакеры от лица разработчиков ядра PHP опубликовали поправки в исходном коде, которые на деле добавляют бэкдор. В перспективе он может позволить злоумышленникам выполнить любой код на сайте, который использует их версию PHP.

Установку бэкдора обеспечивает функция zend_eval_string, вызов которой и добавили хакеры. По мнению исследователей безопасности, данный инцидент может привести к взлому огромного количества онлайн-ресурсов. Сейчас именно PHP используют порядка 80% сайтов.

Участники проекта приняли решение перенести исходники с собственного сервера, который они отключат, на GitHub. Теперь изменения в код смогут вносить только зарегистрированные на сайте участники проекта.

Подробнее

30.03.2021 16:06:45

Вымогатели нашли новый рычаг давления на своих жертв.

Теперь они просят клиентов пострадавших компаний уговорить их заплатить выкуп.

Операторы вымогательского ПО Clop используют новую тактику, чтобы заставить пострадавшие компании заплатить выкуп. Если раньше они просто угрожали публикацией украденных перед шифрованием данных, сообщали об этом журналистам, то теперь они начали напрямую обращаться к клиентам таких фирм.

Злоумышленники сообщают лицам, чьи данные им удалось украсть, об инциденте и просят написать скомпрометированной компании. Обычно в руках злоумышленников оказывается достаточно чувствительная личная информация: имена, номера телефонов, адреса, а в некоторых случаях даже финансовая информация. По задумке злоумышленников, если в компанию-жертву обратится достаточно большое количество возмущенных клиентов, то ей придется пойти на условия вымогателей.

Впервые операторы Clop применили эту тактику после атаки на Flagstar Bank. Подобным же образом обошлись с пострадавшими в результате взлома Университета Колорадо и неназванного магазина одежды для беременных. Среди других способов давления – непрекращающиеся DDoS-атаки и угрозы сообщить бизнес-партнерам об инцидентах безопасности.

Подробнее

30.03.2021 15:59:01

Компании АТР сообщают о росте количества кибератак.

По сравнению с 2019 годом количество инцидентов безопасности выросло вдвое.

Специалисты ИБ-фирмы Sophos сообщают о росте количества кибератак, направленных на компании в Азиатско-Тихоокеанском регионе. Около 68% респондентов заявили, что они были успешно взломаны в прошлом году, по сравнению с 32% в 2019 году. Представители пострадавших компаний ссылаются на нехватку бюджета и навыков.

Исследователи из Tech Research Asia также опросили порядка 900 предприятий в Сингапуре, Индии, Японии, Малайзии, Австралии и Филиппинах. Более половины из тех, кто признал инциденты безопасности, отметили «очень серьезную» потерю данных. При этом 17% опрошенных сталкивались с более чем 50 кибератаками каждую неделю.

Вымогательство, вредоносное ПО и фишинг были названы тремя главными угрозами безопасности в регионе. Около 53% признали, что они были плохо подготовлены к требованиям безопасности, вызванным резкой необходимостью поддерживать удаленную работу в условиях пандемии COVID-19. Несмотря на это, 54% опрошенных еще не обновили свою стратегию кибербезопасности в прошлом году.

Подробнее

29.03.2021 16:54:27

Атака вымогателей может стоить CompuCom более 20 млн. долларов.

Компания все еще работает над восстановлением предоставления услуг клиентам.

Американский поставщик IT-управляемых услуг CompuCom ожидает потерь в размере более 20 млн. долларов после атаки операторов вымогателя DarkSide, которая вывела из строя большинство его систем. Штат фирмы, насчитывающий более 8000 сотрудников, обеспечивает ремонт оборудования и программного обеспечения, удаленную поддержку и другие технические услуги для крупных компаний, включая Citibank, Home Depot, Wells Fargo, Target, Trust Bank и Lowe's.

Компания оценивает потерю дохода в размере от 5 до 8 млн. долларов в первую очередь из-за необходимости CompuCom временно приостановить предоставление услуг для ряда клиентов. Дополнительные расходы связаны с текущими усилиями по восстановлению поврежденных систем и сервисов. CompuCom ожидает, что часть расходов, понесенных после атаки вымогателей, будет покрыта киберстрахованием.

Обнаружив атаку операторов DarkSide, CompuCom отключила свой доступ к системам некоторых клиентов, чтобы заблокировать распространение вредоносного ПО. Позже скомпрометированные клиенты были проинформированы об инциденте. Как сообщается, злоумышленники использовали элементы Cobalt Strike на нескольких системах в среде CompuCom, которые позволили им украсть данные, распространиться на другие сетевые устройства и в конечном итоге развернуть полезную нагрузку вымогателей 28 февраля.

Подробнее

29.03.2021 16:48:23

Данные клиентов FatFace были скомпрометированы после атаки вымогателей в начале этого года.

Злоумышленники получили доступ к именам, адресам электронной почты, почтовым адресам и частичной информации о кредитных картах.

Британский бренд одежды FatFace разослал своим клиентам уведомление о компрометации их данных спустя несколько месяцев после атаки вымогателей. Причем данное сообщение компания попросила оставить в секрете, чем вызвала негодование со стороны пострадавших.

Как сообщается, 17 января 2021 года FatFace стала жертвой операторов шифровальщика Conti. В руках злоумышленников оказались имена клиентов, адреса электронной почты, почтовые адреса и частичная информация о кредитной карте, такие как последние четыре цифры и дата истечения срока действия. За ключ дешифровки и обещание не сливать 200 ГБ украденных данных злоумышленники первоначально потребовали выкуп в размере 8,5 млн. долларов, однако в ходе переговоров эту сумму удалось сократить до 2 млн. долларов.

Киберпреступники заявили, что они получили доступ к внутренней рабочей станции FatFace с помощью фишинг-атаки 10 января 2021 года, а затем смогли распространиться в сети. Операторы Conti смогли получить общие административные права, идентифицировать установки кибербезопасности ритейлера, резервные серверы Veeam и хранилище Nimble. Злоумышленники также предоставила жертве отчет о том, как лучше защитить свою сеть, включая фильтрацию электронной почты, тесты на осведомленность о фишинге, лучшую политику паролей Active Directory, технологию EDR и стратегию автономного резервного копирования.

Подробнее

29.03.2021 16:34:35

Московские компании стали жертвами киберпреступника.

Правоохранительные органы оценивают нанесенный им ущерб в десятки миллионов рублей.

В Москве задержан киберпреступник, который в составе группы лиц занимался распространением вредоносного ПО. Его жертвами стали столичные коммерческие организации, а нанесенный ущерб оценивается в десятки миллионов рублей.

Задержанный злоумышленник, которого зовут Полманис Ритварс Оскарович, обвиняется сразу по нескольким статья УК РФ. В их числе: «Создание, использование и распространение вредоносных компьютерных программ» (ч. 2 ст. 273), «Неправомерный доступ к компьютерной информации, причинивший крупный ущерб, совершенный организованной группой» (ч. 3 ст. 272) и «Мошенничество, совершенное организованной группой в особо крупном размере» (ч. 4. ст. 159).

Подробности о других фигурантах дела на данный момент отсутствуют. Известно, что для поимки киберпреступника, правоохранительные органы сотрудничали со специалистами в области компьютерной безопасности.

Подробнее

26.03.2021 13:28:28

Компания Spectra Logic отказалась платить вымогателям 3,6 млн. долларов.

При поддержке команды ФБР ей удалось самостоятельно восстановить свою инфраструктуру.

Старший IT-директор компании Spectra Logic Тони Мендоза (Tony Mendoza) рассказал о прошлогодней атаке вымогателей NetWalker и как им удалось восстановить свои системы. В мае прошлого года их инфраструктура оказалась заражены шифровальщикам, операторы которого потребовали выкуп в размере 3,6 млн. долларов. Компания приняла решение не платить.

Вместо этого сотрудники Spectra Logic обратились в ФБР. Там за ними закрепили группу специалистов и оказали всестороннюю поддержку. Через неделю круглосуточной работы IT-специалистам удалось частично восстановить работу корпоративной сети при помощи резервных копий. На возврат к работе критических бизнес-систем ушло еще несколько недель. Еще месяц сотрудники отслеживали всю активность в сети, чтобы быть уверенными в том, что никаких следов присутствия злоумышленников не осталось.

Этот эпизод иллюстрирует какими сложностями может обернуться для бизнеса атака вымогательского ПО. Несмотря на то, что страховка Spectra Logic покрыла бы выкуп, руководство приняло решение не спонсировать киберпреступников и ценой круглосуточной работы сотрудников восстанавливать все самостоятельно.

Подробнее

26.03.2021 13:18:43

Группировка Evil Corp использует вымогатель Hades.

Переход на новый вредонос связан с санкциями, введенными Министерством финансов США.

Хакерская группировка Evil Corp была активна по крайней мере с 2007 года и известна распространением вредоносного ПО Dridex. Позже они использовали вымогатель Locky, а затем свой собственный штамм, известный как BitPaymer. В 2019 году Министерство финансов США наложило санкции на членов банды за причинение более 100 млн. долларов ущерба. Это подразумевает опасность попасть под штрафы и жертвам группировки, которые захотят заплатить вымогателям выкуп. На короткое время это позволило приостановить финансирование злоумышленников.

Теперь же ИБ-фирма CrowdStrike сообщает, что киберпреступники переключились на использование вредоноса Hades, чтобы обойти эти санкции и монетизировать свои атаки. Hades – это 64-битный вариант другого вымогателя, известного под названием WastedLocker, модернизированный дополнительным запутыванием кода и несколькими незначительными изменениями функций. При шифровании систем жертвы вредонос создает записку с требованием выкупа под названием «HOW-TO-DECRYPT-[extension].txt».

В декабре 2020 года программа-вымогатель Hades была использована для шифрования систем грузового гиганта Forward Air. Атака привела к нарушению работы бизнеса, поскольку документы, необходимые для выпуска груза с таможни, хранились в отключенных системах.

Подробнее

26.03.2021 13:12:47

Количество хакерских атак через подрядчиков выросло вдвое.

Целями злоумышленников становились госсектор, нефтегазовая отрасль, энергетика, телекоммуникации и крупный ретейл.

Специалисты Ростелеком-Солар представили отчет Solar JSOC Security Report, согласно которому число атак на крупные предприятия и организации через подрядчиков в 2020 году выросло вдвое, по сравнению с предыдущим. В исследовании отмечаются нападения на объекты критической информационной инфраструктуры, к которой относятся сети связи и IT-системы госорганов, банков, объектов оборонной, энергетической и нефтегазовой отраслей.

Проанализированы были прошлогодние кибератаки на 130 организаций. При этом в отчете не раскрываются названия жертв и число успешных атак через подрядчиков. Отмечается, что счет идет на десятки и именно эта тактика является наиболее успешной для проникновения во внутренние сети государственных органов и крупных предприятий.

С выводами Ростелеком-Солар согласились и другие ИБ-специалисты. В силу того, что многие организации предпочитают отдавать часть внутренних процессов на аутсорсинг, да и просто из-за банальной необходимости взаимодействовать с партнерами, хакерские атаки на подрядчиков становятся все более популярны. Инцидент со взломом разработчика ПО SolarWind, о котором мы писали ранее и в результате которого пострадали системы Microsoft, ключевых министерств и ведомств США, а также ряда других компаний, наглядно показывает на сколько разрушительны могут быть подобные нападения. Причем даже аттестованный на соответствие нормам информационной безопасности подрядчик может стать жертвой злоумышленников, поставив тем самым под угрозу системы своих партнеров.

Подробнее

25.03.2021 16:50:57

Windows-системы атакованы новой вариацией вредоноса Purple Fox.

Его новый модуль осуществляет брутфорс атаку через протокол Server Message Block.

Исследователи безопасности из Guardicore Labs поделились результатами анализа активности новой версии вредоносного ПО Purple Fox. Зловред, ранее распространявшийся с помощью наборов эксплойтов и фишинговых писем, теперь получил червеобразный модуль, который позволяет сканировать и атаковать системы под управлением Windows, доступные в Сети.

Активное использование Purple Fox началось в конце прошлого года. Его новый модуль осуществляет брутфорс атаку через протокол Server Message Block. По данным исследователей, на текущий момент вредонос развернут на 2 тыс. устройств, среди которых систему под управлением Windows Server, серверы с Microsoft RPC, Microsoft Server SQL Server 2008 R2 и Microsoft HTTPAPI httpd 2.0 и Microsoft Terminal Service.

Впервые вредоносное ПО Purple Fox было замечено в 2018 году. Тогда ему удалось заразить более 30 тыс. устройств. Обычно оно используется для заражения дополнительными вредоносными программами. С мая прошлого года, по оценке специалистов, число атак вредоноса возросло на 600%.

Подробнее

25.03.2021 16:34:55

В УК РФ могут быть внесены изменения для борьбы с телефонным мошенничеством.

В случае принятия поправок подобные инциденты будут подпадать под часть 6 статьи 159, предполагающую до 6 лет лишения свободы.

Центральный Банк России предложил внести изменения в действующий уголовный кодекс для борьбы с телефонным мошенничеством. Эта мера, по мнению ведомства, необходима в связи с увеличением активности злоумышленников. Согласно приведенной статистике, количество инцидентов, связанных с телефонным мошенничеством, в 2020 году выросло на 88%.

Сейчас такие действия могут подпадать сразу под несколько статей, из-за чего реальное доведение до судебного решения остается проблематичным. ЦБ предлагает сделать так, чтобы все случаи телефонного мошенничества подпадали под часть 6 статьи 159, предполагающую до 6 лет лишения свободы.

Мнения экспертов в отрасли разошлись по этому вопросу. Несмотря на низкую раскрываемость подобных преступлений, они не считают, что для решения проблемы необходимо вносить изменения в действующий уголовный кодекс.

Подробнее

25.03.2021 16:21:20

Антирейтинг по количеству фишинговых атак возглавила Бразилия.

В 2020 году каждый пятый интернет-пользователь страны становился целью киберпреступников.

Специалисты Лаборатории Касперского представили отчет, согласно которому Бразилия является мировым лидером по количеству фишинговых атак. В 2020 году каждый пятый интернет-пользователь страны становился целью киберпреступников. Она возглавила список из пяти стран с самым высоким уровнем попыток краж пользовательских данных за весь прошлый год. Среди других упомянутых стран оказались Португалия, Франция, Тунис и Французская Гвиана.

Согласно исследованию, только с февраля по март 2020 года количество фишинговых атак на мобильные устройства выросло более чем на 120%. Факторы, стоящие за ростом числа мошенников, включают рост использования интернета и доступа к онлайн-услугам, а также развитие онлайн-торговли и широкомасштабное внедрение удаленной работы. Пандемия Covid-19 была повторяющейся темой фишинговых сообщений. Методы, используемые для получения учетных данных, варьировались от веб-сайтов, предлагающих дезинфицирующие средства для рук во времена дефицита, до поддельных страниц регистрации в программах социальной помощи.

С другой стороны, в исследовании компании отмечается улучшение уровня осведомленности пользователей об угрозах безопасности в интернете. Несмотря на общий рост числа фишинговых атак, количество реальных переходов по вредоносным ссылкам снизилось до 20%, по сравнению с 30% в 2019 году. Несмотря на это процент жертв фишинговых атак в Бразилии все еще выше среднемировых значений на 7%.

Подробнее

24.03.2021 17:05:42

Взломана система передачи данных нефтяной компании Shell.

В ходе нападения оказалась скомпрометирована информация крупных акционеров и дочерних компаний.

Представители многонациональной нефтяной и энергетической компании Shell сообщили о взломе системы передачи файлов, построенной на базе Accellion File Transfer Appliance (FTA). При этом уточняется, что внутренняя сеть корпорации не пострадала, так как пострадавший сервис изолирован от основной инфраструктуры.

Несмотря на это, в результате атаки были скомпрометированы данные крупных акционеров и дочерних компаний. В официальном заявлении утверждается, что все пострадавшие были уведомлены, и им оказывается всесторонняя поддержка в вопросе предотвращения дополнительных рисков. Shell совместно с правоохранительными органами и ИБ-специалистами занимается расследованием, чтобы установить реальные масштабы инцидента.

Напомним, что это уже не первый взлом, связанный с Accellion FTA. Атаки на пользователей сервиса начались в декабре прошлого года. Специалисты FireEye Mandiant установили, что за нападениями стояла хакерская группировка FIN11. Уязвимости в FTA, по заверениям компании, были срочным образом исправлены, в результате чего число пострадавших удалось сократить до 100 из 300 клиентов, однако в компании отмечают, что взломанные фирмы использовали устаревшие версии ПО. Из-за инцидента производитель высказал намерение прекратить поддержку FTA 30 апреля 2021 года.

Подробнее

24.03.2021 16:01:28

Количество утечек информации в российских компаниях снижается.

Специалисты отметили 22% спад числа инцидентов во втором полугодии 2020 года.

События прошлого года вынудили компании массово переводить сотрудников на удаленную работу. В силу срочности перехода, организации стали страдать от утечек данных и увеличения количества хакерских атак. В первом полугодии 2020 году ущерб от инцидентов безопасности, связанных с утечками данных составил 1,8 млрд. рублей.

Однако ко второму полугодию ситуация начала исправляться. По данным аналитиков компании «Крок», во второй половине 2020 года ущерб составил 1,2 млрд. рублей. Бизнесу удалось устранить наиболее грубые ошибки в организации удаленных рабочих мест. Специалисты InfoWatch отметили 22% спад числа утечек данных по вине сотрудников во втором полугодии 2020 года.

Несмотря на это, общая сумма ущерба за прошлый год превысила 3 млрд. рублей. Зачастую проблема заключается в том, что компании слишком поздно узнают об утечке, например, когда данные уже выставлены на продажу. Это несет не только прямые финансовые, но и репутационные потери, которые в период восстановления экономики не может себе позволить ни одна организация.

Подробнее

24.03.2021 15:49:35

Компенсировать моральный ущерб за компрометацию ПДн предложили в Госдуме.

Операторы персональных данных должны будут возместить ущерб, нанесенный гражданам в результате утечки информации.

На заседании межфракционной рабочей группы Государственной Думы РФ заместитель руководителя Роскомнадзора Владимир Логунов предложил обязать операторов ПДн возмещать моральный ущерб, нанесенный гражданам в результате компрометации их данных. Речь идет о случаях, когда злоумышленники воспользовались украденной информацией для мошеннических действий.

По его словам, большинство граждан не обращается в правоохранительные органы, когда им становится известно о компрометации данных. Предложенная стратегия должна стать профилактической мерой, которая будет мотивировать операторов ПДн серьезнее относиться к вопросам обеспечения сохранности информации. Предполагается, что компенсация должна быть соразмерна нанесенному ущербу. В том числе, когда гражданин стал жертвой онлайн-мошенничества по причине утечки его данных.

Подробнее

23.03.2021 16:46:34

Количество поддельных сайтов банков в прошлом году выросло вдвое.

В целом отмечается смещение фокуса внимания злоумышленников с атак непосредственно на банки в сторону граждан и мобильных сервисов.

Банк России сообщает, что количество хакерских атак непосредственно на кредитные организации в прошлом году снизилось, однако злоумышленники переключились на клиентов. Основными каналами нападений стали телефон и интернет. Прежде всего, это связывают с пандемией и переходом экономической деятельности в онлайн.

Так, в 2020 году Банк России инициировал блокировку порядка 26,4 тыс. телефонных номеров мошенников. Это почти вдвое больше, чем годом ранее. Похожая ситуация обстоит с поддельными сайтами банков. Если в 2019 году регулятору удалось обнаружить 561 подобный ресурс, то в прошлом году их количество составило 1034. В целом же по инициативе Банка России в 2020 году было заблокировано около 7,7 тыс. мошеннических сайтов.

Заместитель Председателя Банка России Герман Зубарев отметил, что для противодействия телефонному мошенничеству необходимо взаимодействие всех заинтересованных. Кредитные организации, операторы мобильной связи и государственные структуры должны вместе противодействовать росту активности киберпреступников. Физическим лицам также следует соблюдать повышенную внимательность, чтобы не стать жертвой поддельных ресурсов.

Подробнее

23.03.2021 16:27:47

Операторы вымогателя REvil атаковали компанию Acer.

Злоумышленники запросили рекордный выкуп в размере 50 млн. долларов.

Операторы вымогательского ПО REvil успешно атаковали компанию Acer. Нападение, судя по всему, пришлось на почтовый сервер техногиганта Acer Exchange. Перед шифрованием злоумышленникам удалось украсть конфиденциальные данные.

Киберпреступники потребовали выкуп в размере 50 млн. долларов. Более того, если компания не заплатит до среды, сумма вырастет вдвое. На данный момент, это максимальный требуемый выкуп. Предыдущий «рекорд» также принадлежал операторам REvil и составлял 30 млн. долларов.

Копания уже проинформировала правоохранительные органы и занимается расследованием инцидента. В это время злоумышленники готовятся к аукциону, на котором выставят украденные данные Acer на продажу, в случае отказа компании заплатить.

Подробнее

23.03.2021 16:06:25

Серверы Microsoft Exchange атакованы вымогателем Black Kingdom.

Жертвы находятся в России, США, Канаде, Австрии, Швейцарии, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии.

Операторы вымогателя Black Kingdom используют уязвимости ProxyLogon для шифрования серверов Microsoft Exchange. Об этом в своем Twitter-аккаунте сообщил исследователь безопасности Маркус Хатчинс (Marcus Hutchins), он же MalwareTechBlog. Он утверждает, что злоумышленники использовали уязвимости для выполнения сценария PowerShell, который загружает исполняемый файл программы-вымогателя с сервера yuuuuu44.com, а затем распространяет его на другие компьютеры в сети.

Во время атаки Black Kingdom шифрует файлы с помощью случайных расширений, а затем создает записку о выкупе с именем decrypt_file.TxT. Текущий исполняемый файл программы-вымогателя представляет собой скрипт Python, скомпилированный в исполняемый файл Windows.

Все обнаруженные на данный момент записки требуют 10 тыс. долларов в биткоинах и используют один и тот же биткоин-адрес для оплаты. В марте по нему был выполнен только один платеж. Жертвы злоумышленников находятся в России, США, Канаде, Австрии, Швейцарии, Франции, Израиле, Великобритании, Италии, Германии, Греции, Австралии и Хорватии.

Подробнее

19.03.2021 16:02:11

Разработчики iOS-приложений становятся жертвами macOS-бэкдора.

Злоумышленники получают доступ к устройствам с помощью Run Script, встроенного в Xcode-проекты.

Исследователи ИБ-фирмы SentinelOne поделились информацией о новом macOS-бэкдоре, направленном против разработчиков iOS-приложений. Вредонос получил название XcodeSpy. Он представляет собой Run Script, встроенный в проект Xcode, а именно TabBarInteraction.

Скрипт запускается во время начала работы над проектом. Он устанавливает LaunchAgent, которые обеспечит постоянство после перезагрузки системы, а затем загружает непосредственно бэкдор под названием EggShell. В числе его функций: запись аудио, видео и набранного текста на клавиатуре, а также загрузка и скачивание файлов.

Ранее EggShell был обнаружен в ходе проверок на присутствие северокорейских хакеров. Однако SentinelOne пока не может однозначно связать вредонос с хакерами из КНДР. Как считают специалисты, основные атаки с использованием XcodeSpy были направлены на разработчиков из Азии в период с июля по октябрь прошлого года.

Подробнее

19.03.2021 15:56:21

Неизвестные хакеры атаковали пользователей Android, iOS и Windows.

Злоумышленники использовали уязвимости нулевого дня в связке с другими.

Специалисты Google Project Zero рассказали о двух хакерских кампаниях, направленных на пользователей Android, iOS и Windows. Сходство методов указывает, что за атаками стояла одна и та же неустановленная хакерская группа. Нападения произошли в феврале и октябре прошлого года, однако окончательный анализ был предоставлен только сейчас.

Жертвы злоумышленников заманивались на сайты, которые переадресовывали на серверы с эксплойтами уязвимостей. Они позволяли получить первоначальный доступ к атакуемому устройству, обойти песочницу браузера и повысить привилегии в ОС. Эксперты отметили высокий профессионализм хакеров, которые смогли обнаружить и проэксплуатировать как ранее неизвестные уязвимости, так и те, о которых уже было известно.

Большинство из ошибок было исправлено в октябре-ноябре прошлого года. Это и переполнение буфера в библиотеке рендеринга шрифтов FreeType, и несоответствие типов вводимых данных (type confusion) в движке TurboFan браузера Chrome, и раскрытие данных в памяти iOS XNU в трейлерах сообщений mach. Всего злоумышленники использовали 11 уязвимостей нулевого дня. Пользователям настоятельно рекомендуется обновить свои операционные системы и ПО до актуального состояния.

Подробнее

19.03.2021 15:44:47

Приложение Zoom может скомпрометировать конфиденциальные данные.

В актуальной версии программы баг все еще присутствует, однако целенаправленно использовать его достаточно сложно.

Исследователи компании SySS продемонстрировали процесс эксплуатации уязвимости в приложении для видеоконференций Zoom. В результате этой ошибки, пользователь может непреднамеренно скомпрометировать собственные данные.

Суть проблемы кроется в процессе демонстрации изображения с пользовательского рабочего стола собеседнику. Zoom предоставляет возможность поделиться всем содержимым на экране, выбрать конкретные приложения, или же обозначить конкретную область, которую увидят зрители. При выборе одного приложения для трансляции, Zoom может добавить туда содержимое других окон. Это происходит, например, во время открытия и закрытия других программ. Изображения с них появляются на экране на очень короткий срок, однако, если собеседник использует программу для записи, позже он сможет увидеть содержимое появившегося окна.

Ошибка содержится и в актуальной на текущей момент версии Zoom (5.5.4). В то же время, исследователи говорят, что реальная эксплуатация данной уязвимости видится им маловероятной.

Подробнее

18.03.2021 15:59:59

Потенциал северокорейских хакеров сравнили с ядерными ракетами.

Во многом именно их деятельность финансирует программу вооружения КНДР.

Ряд экспертов оценили деятельность северокорейских хакеров. Ущерб от их действий, по мнению специалистов, сравним с последствиями ядерной атаки. Смещение акцента на кражу денежных средств позволяет поддерживать программу вооружения КНДР даже в условиях санкций.

Саймон Чой (Simon Choi), основатель некоммерческой организации IssueMakersLab, отслеживающей северокорейские хакерские группировки, заявил, что эти злоумышленники представляют даже большую опасность, чем ядерные ракеты. «Они готовы использовать свои ракеты, но пока этого не делают. А хакинг, как мы видим, происходит каждый день повсеместно», - сообщил он в интервью изданию Foreign Policy.

Бывший заместитель начальника корейского подразделения ЦРУ Брюс Клингнер (Bruce Klingner) отметил, что эксперты поначалу недооценивали киберпотенциал Северной Кореи, и были больше сосредоточены на ее ядерных и ракетных программах. Передовые технологии же, которые КНДР взяла на вооружение, ставят ее в один ряд с крупнейшими угрозами, противостоять которым могут лишь несколько стран.

Подробнее

18.03.2021 15:56:57

Жертвы вымогателя LockBit могли бесплатно расшифровать свои файлы.

Злоумышленники взялись за доработку вредоноса, которая займет несколько дней.

Член киберпреступного сообщества под ником 3xp0rt рассказал об ошибке в популярном вымогателе LockBit. Из-за нее жертвы вредоносного ПО могли бесплатно расшифровать свои файлы, не выплачивая выкуп киберпреступникам.

Дело в том, что пострадавшие от рук операторов шифровальщика должны были перейти на сайт группировки, где помимо обсуждения выкупа предлагалась возможность пробной расшифровки нескольких файлов. Как выяснилось, это система имела баг, который не ограничивал количество попыток для расшифровки. Фактически, жертва могла по очереди вернуть все свои файлы к исходному состоянию.

После того, как киберпреступники обратили внимание на эту ошибку, тот самый сайт был переведен в офлайн режим. Обычно это свидетельствует о доработке, на которую злоумышленникам потребуется несколько дней.

Подробнее

18.03.2021 15:18:28

Китайские хакеры крадут данные о 5G.

Злоумышленники используют фишинговые рассылки для атак на телекоммуникационные компании.

Специалисты McAfee сообщают о фишинговых атаках на сотрудников телекоммуникационных компаний по всему миру. Цель злоумышленников – закрепиться во внутренней сети и похититить информацию о 5G. Подозрение экспертов пало на две китайские группировки Red Delta и Mustang Panda, которые могут являться одним и тем же.

Фишинговые сообщения содержат ссылку на поддельный сайт с вакансиями компании Huawei. Там пользователей просят установить обновление для Adobe Flash, которое на деле оказывается бэкдором на .NET. Также эксперты обнаружили использование элементов инструментария Cobalt Strike, которые используются для связи с командным сервером.

Цели зарегистрированных атак находятся в Юго-Восточной Азии, Европе и США. По словам McAfee, злоумышленники также проявляют «большой интерес к телекоммуникационным компаниям в Германии, Вьетнаме и Индии».

Подробнее

17.03.2021 16:43:41

На базе Mirai создан новый ботнет для атак на устройства сетевой безопасности.

Авторы вредоноса интегрировали в него эксплойты порядка десяти критических уязвимостей в разных устройствах.

Исследователи безопасности из Palo Alto Networks’ Unit 42 сообщают о появления нового ботнета на базе Mirai, нацеленного на устройства сетевой безопасности. Авторы вредоноса интегрировали в него эксплойты критических уязвимостей. Причем иногда это происходит в течение нескольких часов после того, как о них становится известно.

На успешно скомпрометированных устройствах создается вариант ботнета Mirai, специфичного для архитектуры конкретного устройства. На данный момент вредонос включает возможность эксплуатации критических уязвимостей в устройствах SonicWall, Vertica, D-Link, Yealink и Netgear. Исследователи из Unit 42 говорят, что три уязвимости, которые используют злоумышленники, еще предстоит идентифицировать, поскольку их цели остаются неизвестными.

После подключения к устройству злоумышленник сбрасывает двоичные файлы, которые позволяют ему планировать задания, создавать правила фильтрации, запускать атаки методом перебора или распространять дополнительные файлы ботнета. Они используются для блокирования входящего соединения через общие порты, сканирования сети, подбора учетных данных и распространения вредоноса.

Подробнее

17.03.2021 16:19:59

Увеличилось количество атак с использованием вымогателя PYSA.

Операторы шифровальщика предварительно крадут данные жертв, угрожая опубликовать их на сайтах утечек информации.

Правоохранительные органы на этой неделе сообщили о всплеске активности операторов вымогателя PYSA. В совместном отчете ФБР и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США, сообщается об участившихся атаках на учреждения высшего образования и школы.

Вымогатель PYSA был впервые замечен в 2019 году. Вредонос распространяется по модели «вымогатель как услуга» (RaaS) и доступен для покупки на хакерских площадках. Для проникновения в систему злоумышленники используют фишинговые сообщения, методы социальной инженерии и подбор учетных данных протокола удаленного рабочего стола (RDP).

Операторы вредоноса используют тактику двойного вымогательства, ставшую популярной среди злоумышленников в прошлом году. Они крадут конфиденциальные данные перед непосредственным шифрованием, а затем угрожают опубликовать их на сайтах утечек информации. В рамках текущего всплеска активности PYSA, основные жертвы сосредоточены в США и Великобритании.

Подробнее

17.03.2021 16:03:47

SMS-сообщения мошенников угрожают уголовной ответственностью.

Жертвам сообщают о получении неких бонусов от правительства, законность которых необходимо подтвердить по ссылке.

Проект ОНФ «За права заемщиков» сообщает о новой мошеннической схеме. Злоумышленники через SMS-сообщения информируют человека о получении бонусов или выплат от государства. Подтвердить их законность необходимо перейдя по предложенной ссылке. В противном случае мошенники угрожают уголовным преследованием.

Основная цель злоумышленников – сбор персональных данных и реквизитов банковских карт. Перейдя по ссылке, пользователь увидит поддельную страницу того или иного государственного ведомства с формой для заполнения данных. Введенные сведения попадают в руки мошенников.

Следует помнить, что если Вы не запрашивали в официальном обращении те или иные бонусы, то ждать их начисления в принципе не стоит. В противном же случае, лучше самостоятельно перейти на официальный ресурс ведомства или позвонить для уточнения информации. Переход по ссылкам из SMS-сообщений – это верный способ стать жертвой мошенников.

Подробнее

16.03.2021 16:06:04

Украденные данные банковских карт хранятся в JPG-файлах.

Это позволяет уменьшить подозрительный след трафика и помогает избежать обнаружения.

Исследователи безопасности из компании Sucuri нашли новый метод сокрытия украденных данных при исследовании скомпрометированного интернет-магазина. Вместо того, чтобы отправить информацию о карте на сервер, контролируемый злоумышленниками, они скрывают ее в изображении JPG и хранят на зараженном веб-сайте. Это позволяет уменьшить подозрительный след трафика и помогает избежать обнаружения.

Проанализированный интернет-магазин находится под управлением платформы электронной коммерции с открытым исходным кодом Magento второй версии. Используя уязвимость платформы, злоумышленники модифицировали PHP-файл для загрузки вредоносного кода. Это позволило создать в публичном месте зараженного магазина JPG-изображение, которое будет использоваться для хранения данных платежных карт клиентов в закодированном виде.

Украденные сведения включают данные платежной карты, номер телефона и почтовый адрес. Если клиент, предоставляющий данные, был зарегистрирован на сайте, код также крал их адрес электронной почты. Исследователи отметили, что этот метод достаточно скрытен для владельцев веб-сайтов и может быть пропущен при проверке на наличие инфекций.

Подробнее

16.03.2021 15:43:59

JavaScript помогает злоумышленникам обнаружить виртуальные машины.

Если фишинговый сайт обнаруживает попытки анализа со стороны исследователей безопасности, то он отображает пустую страницу.

Создатели фишинговых сайтов научились детектировать виртуальные машины исследователей безопасности. В этом им помогает JavaScript-код, встроенный во вредоносные ресурсы. Если фишинговый сайт обнаруживает попытки анализа, то он отображает пустую страницу.

JavaScript проверяет ширину, высоту и глубину цвета дисплея устройства посетителя. Исследователи безопасности обычно не используют мониторы в устройствах, целью которых является обнаружение вредоносного ресурса. Помимо этого, код использует API WebGL для обращения к движку браузера и определяет используются ли такие рендеры, как SwiftShader, LLVMpipe или VirtualBox, которые обычно выдают виртуальную машину.

Интересно, что подобный метод обнаружения устройств исследователей были описаны в 2019 году ими самими. Теперь на фишинговых сайтах, использующих подобную проверку, специалисты зафиксируют только пустую страницу, в то время как обычному пользователю будет предоставлен весь вредоносный контент.

Подробнее

16.03.2021 15:33:03

Пользователи платформы цифрового искусства стали жертвами хакеров.

Злоумышленникам удалось взломать учетные записи и украсть предметы искусства, не имеющие физического воплощения.

Пользователи торговой площадки Nifty Gateway, которая предназначена для купли/продажи невзаимозаменяемых токенов (NFT), стали жертвами киберпреступников. NFT – это фактически цифровая валюта, где каждая единица является уникальной. Благодаря этому она является удобной для подтверждения факта владения цифровыми активами и права их использования. В настоящее время рынок NFT насчитывает 250 млн. долларов.

Злоумышленники взломали действительные учетные записи пользователей Nifty Gateway и бесплатно передавали NFT, а следственно и права на предметы цифрового искусства, другим пользователям. В некоторых случаях пострадали привязанные к учетным записям кредитные карты. В своих Twitter-аккаунтах жертвы сообщают, что лишились тысяч долларов.

Чтобы замести следы, киберпреступники и посредники быстро перепродавали NFT, а затем отмывали через цепочки транзакций. В итоге жертвы взлома лишись как денег, так и права владения предметами цифрового искусства, не имеющими физического воплощения.

Подробнее

15.03.2021 16:18:32

Обнаружен новый вредонос, написанный на редком языке программирования.

С помощью NimzaLoader злоумышленники получают доступ к компьютерам на Windows и могут исполнять на них команды.

Исследователи Proofpoint обнаружили новую вредоносную программу, которую назвали NimzaLoader. Вредонос написан на языке Nim, которые редко используется в подобных целях. Целью NimzaLoader является предоставление доступа к устройствам под управлением Windows и выполнение произвольных команд.

Распространяется вредонос достаточно стандартными методами. В основном это фишинговые сообщения, которые содержат ссылки на скачивание фейкового PDF-документа. Исследователи также уже отметили случаи целевого фишинга, когда сообщения злоумышленников для придания правдоподобности содержат детали персональной информации жертвы.

Ответственными за разработку называют группировку TA800. Об этом говорит сходство с новой угрозой их предыдущего вредоноса BazarLoader. С его помощью злоумышленники также создавали бэкдор на Windows-устройствах и доставляли вымогательское ПО. Способ распространения NimzaLoader также говорит о связи с TA800.

Подробнее

15.03.2021 16:10:53

Опубликованные в Интернете PDF-файлы содержат конфиденциальные сведения.

Это открывает возможность для киберпреступников красть закрытые данные и на их основе осуществлять подготовку к будущим атакам.

Сотрудники французского института исследований в информатике и автоматике (Institut national de recherche en informatique et en automatique, INRIA) поделились результатами исследования 39 664 PDF-файлов, опубликованных на сайтах различных служб безопасности. Всего ими были проанализированы порталы 75 организаций из 47 стран мира. Выводы оказались неутешительны.

В 76% случаев исследователям удалось восстановить конфиденциальные сведения из проанализированных документов. В большинстве своем, это различные метаданные: имя и адрес электронной почты автора, название используемого PDF-приложения, название операционной системы, подробности об устройстве, информация о пути к файлу, а также различные комментарии и аннотации. Опасность этих данных заключается в том, что с ними киберпреступники могут осуществлять подготовку к будущим атакам.

Например, ученым удалось выяснить, что один из сотрудников службы безопасности за 5 лет ни разу не менял и не обновлял используемое ПО, что уже ставит его под угрозу нападения. В 19 компаниях ПО не обновлялось более двух лет. Исследователи обнаружили, что только 3 из 74 служб безопасности действительно полностью удаляли конфиденциальные сведения из публикуемых PDF-файлов.

Подробнее

15.03.2021 15:41:52

Шифровальщик DearCry атакует преимущественно небольшие компании.

Его создатели разработали собственный эксплойт уязвимостей ProxyLogon в Microsoft Exchange.

С 9 марта 2021 года были зафиксированы атаки нового вымогательского ПО, получившего название DearCry. Именно в это день одна из пострадавших фирм загрузила записку с требованием выкупа на портал для идентификации вредоносов ID Ransomware.

Шифровальщик эксплуатирует уязвимости ProxyLogon в Microsoft Exchange и используется для заражения почтовых серверов. Причем атаки с использование DearCry начались до появления в открытом доступе соответствующего эксплойта. Это говорит о том, что создатели вымогателя сами придумали способ использования уязвимостей. Так, CVE-2021-26855 помогает получить первоначальный доступ к серверу, CVE-2021-26857 используется для повышения привилегий, а CVE-2021-27065 – для сохранения постоянства в системе. Зашифрованные файлы получают расширение «.crypt».

Создатель ID Ransomware отметил, что на данный момент известно о шести жертвах вымогателей. Среди них только одну компанию можно назвать крупной, остальные относятся к сектору малого бизнеса. Жертвы находятся в Австрии, Австралии, Дании, Канаде и США. За расшифровку файлов злоумышленники требуют от 50 до 110 тыс. долларов.

Подробнее

12.03.2021 17:00:57

Злоумышленники распространяют ПО для майнинга под видом блокировщиков рекламы.

При запуске вредонос изменяет настройки DNS и скачивает модуль XMRig под видом легитимной утилиты.

Специалисты Лаборатории Касперского рассказали о новой вредоносной кампании, направленной на заражение устройств под управлением Windows майнером криптовалюты. Злоумышленники маскируют свои инструменты под блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS. Распространяются фейковые программы на специально созданных сайтах, продвигаемых в поисковой выдаче.

При запуске вредонос изменяет настройки DNS и перенаправляет запросы на NS-сервер злоумышленников, чтобы защитные решения не смогли идентифицировать и сообщить о заражении. После этого он подключается к командному серверу, чтобы оправить данные зараженной системы и проверить наличие обновлений. Затем программа скачивает модуль для майнинга, причем набор файлов является уникальным для каждой зараженной машины. Это приводит к запуску криптомайнера XMRig под видом легитимной утилиты.

В рамках этой кампании защитные решения Лаборатории Касперского зафиксировали более 7 тыс. уникальных попыток установки вредоноса. Целями злоумышленников преимущественно являются российские пользователи, а также жители стран бывшего СНГ.

Подробнее

12.03.2021 16:51:59

Китайские ученые разрабатывают новые методы хакерских атак.

Как минимум шесть университетов Поднебесной связаны с правительственными APT-группами.

Специалисты аналитического центра Center for Security and Emerging Technology (CSET) Джорджтаунского университета (США) подготовили отчет об участии китайских ученых в исследованиях в области кибербезопасности и машинного обучения. По мнению CSET, наработки этих исследований могут быть включены в атаки правительственных хакерских групп Поднебесной.

По словам специалистов, как минимум шесть китайских университетов связаны с APT-группами: Хайнаньский университет, Юго-Восточный университет, Шанхайский университет Цзяо Тонг, Сидянский университет, Чжэцзянский университет и Харбинский технологический институт. В отчете приводятся примеры связи исследовательских заведений с группировками APT1, APT3, APT40 и Deep Panda APT, а также участие ученых в реальных атаках на американские организации.

Среди текущих исследований упомянутых университетов числится использование методов машинного обучения для создания системы раннего предупреждения для распределенных атак типа «отказ в обслуживании»; использование машинного обучения для обнаружения уязвимостей в ПО, обнаружения трафика Tor и повышения точности атак с подборами пароля; использовании ИИ и машинного обучения для «умного» анализа данных, обнаружения и эксплуатации уязвимостей, а также автоматического исправления уязвимостей в ПО. По данным CSET, университеты также являются центрами для набора специалистов в департамент электронной разведки китайской армии.

Подробнее

12.03.2021 16:17:09

Пивоварни Molson Coors пострадали от действий вымогателей.

Производство таких брендов пива как Coors, Miller, Molson, Bergenbier, Staropramen и Redd’s было частично приостановлено.

Компания Molson Coors сообщает об атаке хакеров. В результате инцидента была приостановлена работа части предприятий. Пивоварни Molson Coors известны производством таких брендов как Coors, Miller, Molson, Bergenbier, Staropramen и Redd’s.

По данным издания The Record, злоумышленники использовали вымогательское ПО. Сотрудники компании не имеют доступа к своим рабочим станциям, а производство было частично приостановлено для восстановления систем. Представители Molson Coors отметили, что инцидент «может вызвать задержку или нарушение части бизнеса компании, включая ее пивоваренные операции, производство и отгрузку».

Для восстановления систем и расследования инцидента компания привлекла сторонних ИБ-специалистов. Подробности нападения, а также масштабы нанесенного ущерба остаются неизвестными.

Подробнее

11.03.2021 16:44:23

Новый бэкдор атакует системы под управлением Linux.

В числе его способностей сбор системной информации, операции с файлами, выполнение произвольных команд и удаленное обновление.

Исследователи из компании Intezer рассказали о новом сложном Linux-бэкдоре. Угрозу, названную RedXOR, связывают с деятельностью китайских киберпреступников из группировки Winnti Umbrella.

На данный момент обнаружено две версии вредоноса. Бэкдор собран с помощью устаревшего компилятора GCC, из-за чего эксперты полагают, что его основной целью являются старые версии Linux. Сетевые данные вредонос шифрует с помощью алгоритма XOR.

Для хранения своих файлов в целевой системе RedXOR создаёт скрытую директорию. Взаимодействие с командным сервером осуществляется с помощью IP-адреса, порта и пароля, необходимого для аутентификации. В числе способностей бэкдора сбор системной информации, такой как MAC-адрес, имя пользователя, версия дистрибутива и ядра, а также операции с файлами, выполнение произвольных команд и удаленное обновление.

Подробнее

11.03.2021 16:25:07

Серверы Microsoft Exchange подверглись массовым атакам.

В нападениях участвуют как правительственные хакеры, так и финансово ориентированные киберпреступники.

Серверы Microsoft Exchange по всему миру стали целью киберпреступников разного уровня. Они используют четыре уязвимости в ProxyLogon, которые в экстренном порядке были исправленны на прошлой неделе. Их эксплуатация позволяет авторизоваться на сервере с правами администратора и устанавливать вредоносное ПО.

Как сообщает Microsoft, первые атаки осуществлялись группировкой Hafnium, по мнению экспертов связанной с правительством Китая. Начавшись в январе, эти нападения носили избирательный и целенаправленный характер. К 5 марта директор ИБ-фирмы FireEye сравнил волну массовых атак с пулеметным обстрелом.

К нападениям присоединились APT-группировки, такие как LuckyMouse, Tick и Calypso, хакеры, отслеживаемые как UNC2639, UNC2640 и UNC2643, а также ряд неидентифицированных злоумышленников. Одна из группировок устанавливает на серверы Microsoft Exchange майнер криптовалюты DLTminer.

Подробнее

11.03.2021 16:08:22

Сети промышленных и государственных компаний содержат вредоносные программы.

Исследователи выявили 36 семейств вредоносов, в том числе WannaCry, RTM, Ursnif и Dridex.

Специалисты компании Positive Technologies поделились результатами мониторинга сетевой активности в 41 компании. Подозрительная деятельность была выявлена в 90% из них, что неудивительно, ведь нарушить регламент информационной безопасности умудрились все.

Эксперты обнаружили использование инструментов для сканирования, несанкционированные попытки запуска процессов и сокрытие трафика. Использование незащищенных протоколов передачи данных стало самой частой из обнаруженных ошибок.

Анализ выявил 36 семейств вредоносных программ, в том числе WannaCry, RTM, Ursnif и Dridex. Причем во всех исследуемых государственных и промышленных организациях было обнаружено вредоносное ПО. Попытки эксплуатации уязвимостей в ПО было обнаружено в каждой третьей компании.

Подробнее

10.03.2021 16:40:14

Мошенники размещают ссылки на зараженные архивы в обсуждениях на форумах.

Для продвижения взломанных сайтов используются приемы поисковой оптимизации SEO.

ИБ-специалисты сообщают, что до российского сегмента добралась относительно новая мошенническая схема. Суть ее заключается в распространении ссылок на вредоносное ПО в обсуждениях на взломанных форумах. Причем, благодаря использованию приемов поисковой оптимизации SEO (Search Engine Optimization) подобные ссылки будут предлагаться пользователям практически на любой запрос.

При запросе в поисковике пользователь получает в топе ссылки на взломанные ресурсы или на обсуждения того или иного вопроса на форуме. Уже там, для получения информации, предлагается скачать вредоносный архив. Для того, чтобы обнаружить и идентифицировать вредоносный сайт было сложнее, страница настраивается так, чтобы вирусная ссылка отображалась на одном устройстве только один раз. Оказавшись на этой странице повторно, пользователь увидит другой текст сообщения.

Для взлома злоумышленники преимущественно выбирают форумы, работающие под управлением бесплатных систем управления контентом, например, WordPress. По словам специалистов, новая схема основана на уже известных элементах, однако отличается существенным расширением тематики запросов и использованием приемов поисковой оптимизации.

Подробнее

10.03.2021 16:16:30

Хакеры получили доступ к камерам видеонаблюдения нескольких крупных организациях.

Среди них Tesla, Equinox, CloudFlare, медицинские клиники, тюрьмы и банки.

Киберпреступная группировка получила доступ к камерам видеонаблюдения в таких компаниях как Tesla, Equinox и CloudFlare. Для этого они использовали учетную запись администратора Verkada, компании по наблюдению, которая работает со всеми этими организациями. Также злоумышленники смогли получить доступ к камерам в медицинских клиниках, тюрьмах и банках.

Verkada производит корпоративные системы безопасности. В компании сообщили, что все внутренние учетные записи администраторов были отключены, чтобы предотвратить любой несанкционированный доступ. Внутренняя служба безопасности и привлеченная охранная фирма расследуют масштабы инцидента.

Американская ИБ-фирма CloudFlare также прокомментировала ситуацию: «Как только нам стало известно о проблеме, мы отключили камеры от офисных сетей. Инцидент не влияет на продукты CloudFlare, и у нас нет оснований полагать, что инцидент с камерами безопасности офиса затронет клиентов».

Подробнее

10.03.2021 16:11:42

Горят центры обработки данных OVHcloud.

Клиентам настоятельно рекомендуется запустить собственные планы аварийного восстановления данных.

Основатель и председатель совета директоров OVHcloud Октав Клаба (Octave Klaba) сообщил сегодня, 10 марта, о пожаре, который охватил некоторые из центров обработки данных фирмы. Среди пострадавших дата-центров, расположенных в Страсбурге, он отметил SBG2, который был полностью разрушен. Часть SBG1 также была уничтожена.

В настоящее время пожар потушен, но оценка общего ущерба, нанесенного дата-центрам OVHcloud, может занять некоторое время. Затронутым клиентам было настоятельно рекомендовано обратиться к резервным копиям, чтобы свести к минимуму время простоя и сбои.

OVHcloud – хостинговая компания и поставщик облачных решений, обслуживающая более 1,5 млн. клиентов. Она управляет 27 центрами обработки данных в таких странах, как США, Великобритания, Франция и Австралия.

Подробнее

09.03.2021 16:56:59

Процессоры Intel с кольцевой шиной уязвимы для атаки по сторонним каналам.

Исследователям удалось извлечь ключевые биты из реализаций EdDSA и RSA, а также определить точное время нажатия клавиш пользователем-жертвой.

Ученые Иллинойского университета в Урбане-Шампейне рассказали о новой разновидности атаки по сторонним каналам на внутреннюю архитектуру центральных процессоров Intel. Это первая в истории атака подобного типа, направленная на кольцевую шину, отвечающую за связь между всеми ядрами и компонентами процессора и обеспечивающую передачу данных между ядрами и другими элементами.

Атаки по сторонним каналам, при помощи изменения некоторых параметров системы, позволяют получить доступ к обрабатываемым в ней данным. Благодаря углубленному реверс-инжинирингу сложных протоколов исследователи обнаружили возможность создания связи между операциями кольцевой шины. В ходе разработанной атаки по сторонним каналам им удалось извлечь ключевые биты из реализаций EdDSA и RSA, а также определить точное время нажатия клавиш пользователем-жертвой.

В Intel атаку посчитали неопасной. Последние модели их серверов и процессоров высокоуровневой обработки (HCP) не уязвимы для подобного нападения, так как кольцевая шина в них попросту не используется. Процессоры AMD также используют другую проприетарную технологию (Infinity Fabric) для связи между ядрами.

Подробнее

09.03.2021 16:28:44

Вымогатели предлагают новые услуги для оказания дополнительного давления на своих жертв.

Они будут сообщать СМИ и бизнес-партнерам пострадавших о компрометации данных, а также осуществлять DDoS-атаки пока им не заплатят выкуп.

Исследователь безопасности под ником 3xp0rt обнаружил, что вымогательская группировка REvil намерена использовать новые инструменты для оказания дополнительного воздействия на своих жертв. Речь идет об информировании СМИ и бизнес-партнеров пострадавших об инцидентах. Злоумышленники предполагают, что риск придания огласке будет мотивировать их жертв быстро заплатить выкуп.

Данную услугу разработчики вредоноса предлагают своим партнерам на бесплатной основе. Уже за деньги злоумышленники готовы осуществлять DDoS-атаки сетевого уровня 3 и 7. Их результатом станет либо отключение интернет-соединения компании-жертвы, либо отключение web-сервера.

Напомним, что в 2020 году стратегия двойного вымогательства, которая тоже появилась как метод оказания дополнительного давления, в итоге была перенята всеми крупными вымогательскими группировками. Сейчас, прежде чем зашифровать данные жертвы, злоумышленники крадут конфиденциальные сведения, угрожая опубликовать или перепродать их в случае отказа от уплаты выкупа. Поэтому есть все основания полагать, что новые тактики в дальнейшем также будут переняты другими хакерами.

Подробнее

09.03.2021 15:37:02

Киберпреступники украли данные пассажиров авиакомпаний.

Злоумышленникам удалось похитить сведения, хранящиеся на серверах SITA Passenger Service System.

Компания SITA, обеспечивающая авиационную отрасль телекоммуникационными и ИТ-услугами, стала жертвой кибератаки. Об этом она сообщила на своем сайте.

В ходе инцидента неизвестные злоумышленники похитили данные, хранящиеся на серверах SITA Passenger Service System, которые управляют обработкой информации о пассажирах для авиакомпаний. Компания проинформировала своих клиентов и организации, которые могли быть затронуты атакой.

Представители SITA охарактеризовали инцидент как «сложную целевую атаку». В данный момент проводится расследование. По заверениям компании, специалисты уже приняли необходимые меры, чтобы в будущем исключить вероятность подобных утечек.

Подробнее

08.03.2021 14:26:52

Дорогие женщины, от лица коллектива Cyber Generation поздравляем вас с Международным женским днём!

Желаем вам крепкого здоровья, счастья, успехов и удачи. Пусть каждый день вас окружают красивые слова и поступки, любовь и радостные события.

Спасибо за ваше тепло и поддержку. Спасибо, что вдохновляете лучше и упорнее вас защищать, ведь вы - самое дорогое, что у нас есть.
С праздником!

Подробнее

05.03.2021 16:28:44

Ошибка в приложении WiFi Mouse открывает ПК для атаки.

Она позволяет злоумышленнику, совместно использующему ту же сеть Wi-Fi, получить полный доступ к системе через коммуникационный порт.

Исследователь безопасности Кристофер Ле Ру (Christopher Le Roux) обнаружил уязвимость в мобильном приложении WiFi Mouse. Утилита создана для управления движениями мыши на ПК или Mac с помощью смартфона или планшета. Ошибка же позволяет злоумышленнику, совместно использующему ту же сеть Wi-Fi, получить полный доступ к ПК под управлением Windows через коммуникационный порт, открытый программным обеспечением.

По словам специалиста, утилита должным образом не запрашивает у пользователей мобильных приложений ввод пароля или PIN-кода для сопряжения мобильного устройства Android, работающего под управлением WiFi Mouse, с сопутствующим ПО на компьютере. Это отсутствие аутентификации открывает возможность для потенциального пользователя-мошенника, чтобы использовать открытый порт данных.

В мобильном приложении есть опция сенсорной панели мыши, а также проводник файлов. Последний позволяет пользователю открыть любой файл в системе, в том числе и исполняемые файлы, такие как cmd.exe или powershell.exe. Потенциальный злоумышленник также может запустить простую команду на целевой системе Windows, чтобы загрузить уже любую исполняемую программу с сервера. Хотя исследователь сказал, что его тесты были ограничены компьютерами под управлением Windows, он подозревает, что эта проблема может также повлиять на другие платформы.

Подробнее

05.03.2021 16:22:22

Украдены данные пользователей русскоязычного хакерского форума.

Ресурс Maza связан с куплей-продажей похищенной финансовой информации и данных кредитных карт.

Русскоязычный хакерский форум Maza, он же Mazafaka, стал жертвой утечки данных. Неизвестным злоумышленникам удалось украсть базу данных пользователей, включая их ID, имена, электронные адреса, ссылки на мессенджеры, такие как Skype, MSN и Aim.

Утечку обнаружили специалисты компании Flashpoint. Им неизвестно кто стоит за атакой, однако есть основания полагать, что это могли быть зарубежные хакеры. В частности, сообщение, которое опубликовали киберпреступники, написано с ошибками, как будто было переведено с другого языка. В то же время, это может быть попыткой запутать следы.

Ресурс Maza существует с 2003 года. Он связан с куплей-продажей похищенной финансовой информации и данных кредитных карт. Также темами для обсуждения на форуме являются эксплоиты, вредоносное ПО, спам и отмывание денег. Часть пользователей выразили намерение найти другой форум из-за допущенной утечки.

Подробнее

05.03.2021 16:12:27

Трафик windows.com может быть перехвачен при помощи битсквоттинга.

Специалист представил список из 14 адресов, которые могут оказаться в памяти компьютера пользователей.

Блогеру и специалисту по информационной безопасности, известному под ником Реми (Remy), удалось перенаправить реальный трафик windows.com на свои домены благодаря битсквоттингу. Эта техника представляет собой подмену нулей и единиц (битов), в которых хранятся домены в памяти компьютера. При ее эксплуатации пользователя можно перенаправить с легитимного домена на похожий.

Как объясняет исследователь, в случае если компьютер в процессе работы перегрелся или на Солнце происходят нежелательные вспышки, один из битов может случайно подмениться. В памяти компьютера сохранится уже не windows.com, а whndows.com. Если пользователь запросит подменённый домен, он просто не сможет преобразоваться в реальный IP-адрес.

Реми представил список из 14 доменных имен, на которые может быть перенаправлен трафик, предназначенный реальному домену Microsoft. Это может быть использовано киберпреступниками, если они поспешат с регистрацией.

Список «неправильных» доменов:
•    windnws.com
•    windo7s.com
•    windkws.com
•    windmws.com
•    winlows.com
•    windgws.com
•    wildows.com
•    wintows.com
•    wijdows.com
•    wiodows.com
•    wifdows.com
•    whndows.com
•    wkndows.com
•    wmndows.com

Подробнее

04.03.2021 16:53:13

Российские финансовые и транспортные компании стали жертвами вымогательского ПО.

От действий злоумышленников пострадали уже около 10 компаний, а средняя сумма требуемого выкупа составляет миллион долларов.

Лаборатория Касперского сообщает, что российские финансовые и транспортные компании стали жертвами русскоговорящей группы RTM. Злоумышленники используют фишинговые письма, банковский троян и ранее неизвестную программу-шифровальщик Quoter. От действий злоумышленников пострадали уже около 10 компаний.

Атака начинается с рассылки фишинговых писем. Для привлечения внимания хакеры используют такие темы как «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Открытие вложения или переход по ссылке приводит к заражению банковским трояном. С его помощью злоумышленники пытались перевести денежные средства через бухгалтерские программы посредством автоматической подмены реквизитов в платёжных поручениях или вручную с использованием средств удалённого доступа. Если им это не удавалось, в дело вступал шифровальщик Quoter.

Предварительно члены RTM крали внутренние данные взломанных компаний для оказания воздействия. Вымогатель шифрует данные с помощью криптографического алгоритма AES и оставляет контакты для связи с атакующими. Если жертва не реагирует, злоумышленники угрожают выложить в открытый доступ украденные конфиденциальные сведения. Средняя сумма требуемого выкупа составляет миллион долларов.

Подробнее

04.03.2021 16:48:24

Киберпреступники получили доступ к файлам ИБ-компании Qualys.

На сайте операторов вымогателя Clop были опубликованы документы, связанные с клиентами фирмы.

Операторы вымогательского ПО Clop опубликовали на своем сайте утечек документы, связанные с клиентами крупного поставщика средств обеспечения безопасности облачных вычислений – компании Qualys. Данные были украдены в результате эксплуатации уязвимости нулевого дня в сервере Accellion FTA.

Директор по информационной безопасности Qualys подтвердил, что злоумышленники получили доступ к файлам, размещенным на сервере Accellion. При этом инцидент не затронул внутренние среды компании, кодовую базу или данные клиентов. По заверениям же самих злоумышленников, в их руках оказались заказы на покупку, счета-фактуры, налоговые документы и отчеты о сканировании. ИБ-фирма уведомила затронутых клиентов и начала расследование.

Напомним, что в декабре прошлого года пользователи ПО для обмена файлами производства Accellion стали жертвами киберпреступников. Это стало возможным благодаря уязвимостям в FTA, которые, по заверениям компании, были срочным образом исправлены, в результате чего число пострадавших удалось сократить до 100 из 300 клиентов. Из-за инцидента производитель высказал намерение прекратить поддержку FTA 30 апреля 2021 года.

Подробнее

04.03.2021 16:22:33

Инвесторы становятся жертвами новой схемы BEC-атак.

Злоумышленники маскируются под фирму, требующую перевода средств в соответствии с инвестиционным обязательством.

В новом отчете ИБ-фирмы Agari сообщается о новой схеме BEC-атак, направленной на различных инвесторов. В электронных письмах, адресованных целям, злоумышленники маскируются под фирму, требующую перевода средств в соответствии с инвестиционным обязательством. Из-за характера таких транзакций запрашиваемые платежи значительно выше, чем те, которые запрашиваются в большинстве мошеннических операций с банковскими переводами.

По данным Agari, средняя выплата при мошенничестве с банковским переводом в результате BEC-атаки составляет 72 тыс. долларов. Например, когда злоумышленники выдают себя за поставщика и просят жертву перевести денежные средства на банковский счет, находящийся под их контролем. С поддельными уведомлениями о вызове капитала, имеющими среднюю выплату в размере 809 тыс. долларов, киберпреступники в семь раз увеличивают свой возможный «доход».

Электронные письма злоумышленников в этом случае отправляются при помощи различных почтовых сервисов, чаще всего от centrum.cz. К этим письмам прилагается документ, выдающий себя за уведомление о вызове капитала и требующий оплаты за поддельные инвестиции. Если мошенникам удастся убедить жертву перевести деньги, то они быстро переводят средства на другие счета, с которых затем их снимают так называемые «обнальщики».

Подробнее

03.03.2021 16:08:58

В 2020 году мобильные устройства ежемесячно подвергались до 8 млн. атак.

Многие вредоносные приложения содержали в названии слова «covid» и «corona».

Среднемесячное количество атак на мобильные устройства в 2020 года снизилось на 865 тыс., - гласит статистика Лаборатории Касперского. В первую очередь, снижение пришлось на первое полугодие. В целом же количество атак ежемесячно варьировалось от 4,5 млн. до 8 млн. нападений.

Со второй половины года количество атак начало расти. Под видом приложений, связанных с информацией о пандемии, распространялись шпионы, программы для принудительного отображения рекламы и загрузки дополнительного вредоносного ПО, а также банковские трояны. Количество последних за 2020 год выросло в два раза, по сравнению с предыдущим.

Вредоносное ПО традиционно попадает на устройства пользователей под видом легитимного ПО, зачастую скачанного из Google Play. Исследователи особенно отметили банковский троян Knobot, который в состоянии перехватывать коды 2FA при помощи «Специальных возможностей» (Accessibility Services) Android. На троян Asacub пришлась четверть всех атак с использованием банкеров. А у 30 тыс. пользователей был обнаружен загрузчик Hqwar, ориентированный на приложения российских банков.

Подробнее

03.03.2021 15:42:56

Киберпреступники прячут ObliqueRAT в изображениях на скомпрометированных сайтах.

Троян удаленного доступа собирает различную информацию, включая системные данные, список дисков и список запущенных процессов.

Исследователи компании Cisco Talos сообщают об усовершенствовании тактики операторов вредоноса ObliqueRAT. Злоумышленники теперь используют стенографию, маскируя свои полезные нагрузки в файлах изображений на скомпрометированных веб-сайтах. Данная методика позволяет избежать обнаружения стандартными средствами защиты, так как многие фильтры и шлюзы позволяют файлам изображений проходить без пристального внимания.

ObliqueRAT распространяется при помощи электронных писем, к которым прикреплены вредоносные документы Microsoft Office. Ранее полезные нагрузки были встроены в сами документы. Теперь, если пользователи нажимают на вложение, они перенаправляются на вредоносные URL-адреса, где полезные данные скрыты с помощью стеганографии. Исследователи предупреждают, что эта новая тактика помогает операторам трояна избежать обнаружения во время атак вредоносного ПО на различные организации в Южной Азии.

Атаки с использованием ObliqueRAT начались в ноябре 2019 года. Его операторы всегда использовали электронные письма с вредоносными вложениями в качестве исходного вектора заражения. Как только вредонос попадает в систему, он начинает собирать и передавать злоумышленникам различную информацию, включая системные данные, список дисков и список запущенных процессов. Некоторые новые версии трояна включают дополнительные возможности, такие как кража файлов, возможность делать скриншоты, а также записи веб-камеры и рабочего стола.

Подробнее

03.03.2021 15:07:55

Пользователям Госуслуг приходят новые мошеннические письма.

Под предлогом социальных компенсаций злоумышленники выуживают персональные и банковские данные.

Пользователям Госуслуг, якобы от лица сервиса, приходят электронные письма о начислении социальных компенсаций. В теле письма мошенники имитируют типовое оформление уведомлений портала: логотипы и похожий шрифт. Для получения выплаты пользователям рекомендуется обратиться к ведущему юристу, перейдя по ссылке.

На деле же у жертв данной кампании просто выуживают учетные данные для доступа к личному кабинету, номер СНИЛС и банковские реквизиты. В долгосрочной перспективе эти сведения позволяют расширить базу данных мошенников для собственного использования в будущих атаках или на продажу.

На поддельное письмо указывает, в первую очередь, адрес отправителя. Существуют уже несколько вариаций, не имеющих ничего общего с официальным адресом портала. ИБ-специалисты рекомендуют всегда проверять адрес отправителя и не переходить ни по каким ссылкам в подозрительных электронных письмах. Если же вы стали жертвой подобной атаки, рекомендуется сменить пароль учетной записи обратиться в техническую поддержку сервиса.

Подробнее

02.03.2021 16:32:23

Хакеры используют методы поисковой оптимизации для распространения вредоносных программ.

Gootloader контролирует около 400 активных в любое время серверов, на которых размещаются взломанные веб-сайты.

Специалисты ИБ-фирмы Sophos опубликовали технический анализ цепочки заражения Gootloader. Она представляет собой сложную структуру для распространения широкого спектра вредоносных программ через взломанные сайты WordPress и вредоносные методы поисковой оптимизации Google.

Согласно отчету Sophos, Gootloader контролирует около 400 активных в любое время серверов, на которых размещаются взломанные веб-сайты. Злоумышленники модифицировали их систему управления контентом (CMS), чтобы показывать поддельные доски объявлений или форумы посетителям из определенных мест. Целью злоумышленников становятся пользователи США, Германии, Франции и Южной Кореи.

На практике это выглядит следующим образом. Пользователь вводит поисковой запрос, на который в топе видит ссылку на взломанную страницу. На ней присутствует другая ссылка, которая якобы как-то связана с запросом, но на деле ведет к ZIP-архиву файла JavaScript. В Sophos отмечают, что это единственный этап, на котором файл записывается на диск, а все другие вредоносные программы развертываются в системной памяти, поэтому традиционные средства безопасности не могут их обнаружить. В конечном итоге это приводит к заражению устройства вредоносами Gootkit, REvil, Kronos и элементами Cobalt Strike. Уберечь пользователей, по словам исследователей, могут блокировщики скриптов.

Подробнее

02.03.2021 16:14:12

Вымогатель Ryuk способен самостоятельно распространяться в локальной сети.

Запуск копий вредоноса осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe.

Исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI) в начале этого года обнаружили новую версию шифровальщика Ryuk. Отличительной его особенностью является способность к самостоятельному распространению в локальной сети.

Согласно анализу ANSSI, копии вредоноса распространяются на все устройства, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Помимо этого, он постарается заразить системы, находящиеся в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. Запуск копий Ryuk осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe.

Остановить распространение шифровальщика можно при помощи смены пароля или отключения аккаунта привилегированного пользователя домена, с которого началось заражение. По данным ANSSI, данная мера приведет к нарушению работы служб KDC (Kerberos Distribution Center) в домене и многих устройств, однако распространение вымогателя будет прекращено.

Подробнее

02.03.2021 16:02:11

Более 5 млрд. паролей было скомпрометировано за 2020 год.

Самым популярным среди них с 2017 года остается 1234567.

Специалисты DLBI проанализировали порядка 5,1 млрд. паролей, скомпрометированных с начала 2020 года. Данные для анализа были собраны из различных сообществ, занимающихся восстановлением паролей из хешей, и теневых форумов, где время от времени публикуются массовые утечки. За все время наблюдений с 2017 года исследователи проанализировали более 33,3 млрд. пар логин/пароль.

В 2020 году стала доступна информация об утечках с neopets.com (68 млн.), netlog.com (53 млн.), wattpad.com (48 млн.), fotolog.com (42 млн.) и livejournal.com (33 млн.). Расшифрованные пароли были проанализированы в последнем исследовании.

Основные выводы:
•    1,091,415,435 паролей содержат менее 7 символов;
•    самым популярным в 2020 году был пароль 123456, за все время наблюдений – 1234567;
•    среди паролей, содержащих только буквы – qwerty;
•    среди тех, что набраны кириллицей – йцукен;
•    среди содержащих буквы, цифры и спецсимволы – 1qaz@WSX
•    наибольшее количество скомпрометированных логинов (адресов электронной почты) принадлежит yahoo.com;
•    самое популярное имя – info.

Подробнее

26.02.2021 17:02:39

Linux-системы в 2021 году будут атаковать чаще.

От этого могут пострадать в первую очередь государственные учреждения и организации, озабоченные вопросами импортозамещения.

Специалисты компании IBM опубликовали отчет, согласно которому кибератаки на операционные системы, основанные на Linux, в 2021 году будут происходить чаще. Тенденция к этому прослеживается уже сейчас: в 2020 году количество вредоносных программ, написанных специально под Linux-системы увеличилось на 40% по сравнению с предыдущим.

Согласно все тому же отчету, облачная инфраструктура также станет чаще атаковаться киберпреступниками. Взламывая такие облака, злоумышленники могут майнить криптовалюту за счёт организации, что делает их очень желанной целью, особенно после роста курса электронной валюты.

Пострадать от этого могут в первую очередь государственные учреждения и организации, озабоченные вопросами импортозамещения и использующие отечественные дистрибутивы на базе Linux. Для противодействия новым атакам ФСТЭК России планирует создать специальный исследовательский центр, в задачи которого который будет входить проверка безопасности операционных систем на базе Linux. Проект обойдется государству в 300 млн. рублей.

Подробнее

26.02.2021 16:08:23

Великобритания намерена использовать ИИ для повышения национальной безопасности.

Это позволит спецслужбам управлять огромными объемами данных и улучшить процесс принятия решений.

Директор Центра правительственной связи (Government Communications Headquarters, GCHQ) Великобритании Джереми Флеминг (Jeremy Fleming) заявил о намерении использовать ИИ для повышения национальной безопасности. Это позволит сократить регулярно возрастающую нагрузку на сотрудников спецслужб, помочь им в управлении огромными объемами сложных данных и улучшить процесс принятия решений.

По его словам, GCHQ же оказывает бесценную помощь во многих задачах ведомства. Флеминг видит в этой технологии большие перспективы для общества, процветания и безопасности. К примеру, ИИ может помочь быстрее выявлять вредоносное ПО, эффективнее бороться с дезинформацией и дипфейками при помощи автоматической проверки фактов.

Для скорейшего внедрения технологий искусственного интеллекта в работу GCHQ поддерживает различные партнерские отношения со стартапами в этой сфере. Также ведомство сотрудничает с Научно-исследовательским институтом Алана Тьюринга, который и был основан для продвижения исследований в этой области.

Подробнее

26.02.2021 15:52:07

Сразу четыре новые группировки атаковали АСУ ТП в 2020 году.

Злоумышленники используют вредоносное ПО и фишинговые письма для кражи данных и захвата контроля над системами.

Отчет о кибербезопасности АСУ ТП в 2020 году опубликовала исследовательская компания Dragos. В нем, в частности, рассказывается о четырех новых преступных группировках, которые использовали вредоносное ПО и фишинговые письма для кражи данных и захвата контроля над системами.
Злоумышленники из STIBNITE преимущественно были нацелены на электроэнергетические организации Азербайджана, однако у специалистов Dragos есть основания полагать, что теперь киберпреступники нацелились оператора ветряных электростанций в Украине. Для кражи данных они использовали вредонос PoetRAT.

Жертвами группировки VANADINITE стали компании в энергетическом, производственном и транспортном секторах в Северной Америке, Азии, Европе и Австралии. Целью злоумышленников также стала кража информации, в частности, связанная с процессами и дизайном АСУ ТП. Члены VANADINITE могут быть связаны с группировками Winnti и LEAD, а также вымогательским ПО ColdLock.

Хакеры из TALONITE используют фишинговые письма и трояны удаленного доступа, такие как LookBack и FlowCloud, для атак на организации в электроэнергетическом секторе США.
А члены группировки KAMACITE помимо того, что также нацелены на американские энергетические компании, еще и помогают другим злоумышленникам.

Подробнее

25.02.2021 16:52:36

VPN-серверы Powerhouse Management используются для усиления DDoS-атак.

Пока максимальная мощность обнаруженных атак составляет 22 Гбит/с.

Исследователь безопасности под ником Phenomite рассказал изданию ZDNet о возможности использования серверов американского VPN-провайдера Powerhouse Management для усиления DDoS-атак в 40 раз. Несмотря на то, что ему не удалось найти ни одного открытого сервера, на пробный запрос в 1 байт некоторые из них ответили усилением трафика.

Причиной этого, по словам исследователя, является доступный из интернета UDP-порт 20811, который используют службы Outfox и VyprVPN. Поскольку протокол UDP и источник запроса можно сфальсифицировать, подставив IP-адрес мишени, он может быть использован для усиления DDoS-атак. Злоумышленники также уже обнаружили эту возможность и, на текущий момент, максимальная мощность обнаруженных атак составляет 22 Гбит/с.

Провайдер пока не ответила на сообщения экспертов. Всего выявлено 1520 серверов Powerhouse, которые могут быть использованы киберпреступниками. Сетевым администраторам рекомендуется заблокировать входящий трафик из сетей VPN-провайдера (AS21926 и AS22363) или отсеивать UDP-пакеты с портом отправителя 20811.

Подробнее

25.02.2021 16:48:14

Пользователи Accellion FTA стали жертвами хакерской группировки FIN11.

Из-за инцидента производитель планирует прекратить поддержку FTA 30 апреля 2021 года.

В декабре прошлого года пользователи ПО для обмена файлами производства Accellion стали жертвами киберпреступников. Это стало возможным благодаря уязвимостям в FTA, которые, по заверениям компании, были срочным образом исправлены, в результате чего число пострадавших удалось сократить до 100 из 300 клиентов. Из-за инцидента производитель высказал намерение прекратить поддержку FTA 30 апреля 2021 года.

Теперь специалисты FireEye Mandiant установили, что за нападениями стояла хакерская группировка FIN11. Она считается ответвлением другой группы TA505. Сами же члены FIN11, в основном, занимаются атаками с использованием вымогательского ПО.

Эксперты установили, что первоначальный доступ к сетям клиентов Accellion злоумышленникам удалось получить с помощью SQL-инъекции через уязвимость в FTA. В конечном итоге они разворачивали web-оболочку DEWMODE, которая позволяла хакерам получать список доступных файлов и соответствующие им метаданные из базы данных MySQL, а также загружать сами файлы. Спустя несколько недель появились первые попытки вымогательства.

Подробнее

25.02.2021 16:41:32

Киберпреступники научились прятать IP-адреса командных серверов с помощью блокчейна.

По словам специалистов, это простой, но эффективный способ избежать отключения резервных серверов правоохранительными органами.

Эксперты ИБ-фирмы Akamai рассказали о длительной вредоносной кампании по добыче криптовалюты, в которой биткойн-транзакции используются для маскировки адресов резервных C&C-серверов. Такой метод затрудняет отключение командных серверов ботнета правоохранительными органами. Сама методика сокрытия IP-адресов в блокчейне характеризуется специалистами простой, но эффективной.

Новые варианты вредоносного ПО для майнинга криптовалюты были обнаружены в декабре прошлого года. В них полученные API данные кошелька использовались для расчета IP-адреса, цель которого – сохранения постоянства в системе. Таким образом, злоумышленники смогли обфусцировать и хранить данные конфигурации в блокчейне.

Данные кошелька преобразовываются в IP-адрес при помощи четырех bash-скриптов. Они отправляют HTTP-запрос API проводника блокчейна для данного кошелька. Затем наименьшее заранее определенное значение биткойна из двух последних транзакций конвертируются в IP-адрес резервного командного сервера.

Подробнее

24.02.2021 16:30:46

Агентству по защите окружающей среды потребуется больше года на устранение последствий атаки вымогателей.

В декабре прошлого года операторы вредоноса Conti зашифровали системы SEPA и похитили 1,2 ГБ данных.

Директор шотландского Агентства по защите окружающей среды (Scottish Environmental Protection Agency, SEPA) сообщил, что на восстановление систем организации после атаки киберпреступников потребуется больше года. В лучшем случае все сможет полноценно заработать в 2022 году.

Расследование инцидента продолжается. Напомним, что накануне католического Рождества системы SEPA были атакованы с использованием вымогательского ПО Conti. Злоумышленникам удалось зашифровать системы организации и выкрасть 1,2 ГБ файлов, включая базы данных, договоры и стратегические документы. После того, как Агентство отказалось сотрудничать со злоумышленниками, они опубликовали украденные сведения в даркнете.

Инцидент оказал огромное влияние на инфраструктуру SEPA, на его внутренние системы и сервисы. Организация работает над восстановлением и параллельным расследованием инцидента при поддержке правительства Шотландии, шотландской полиции и национального центра кибербезопасности.

Подробнее

24.02.2021 16:16:57

В России создан цифровой сервис для отслеживания криптовалютных операций.

Работы по его созданию были запущены в рамках борьбы с оборотом наркотиков.

Директор Федеральной службы по финансовому мониторингу Юрий Чиханчин в рамках встречи с Президентом России отчитался о создании в стране цифрового сервиса для отслеживания криптовалютных операций. Основная его цель – выявление движения средств, инициированного преступниками, и борьба с оборотом наркотиков.

Преступники предпочитают использовать электронные системы платежей и криптовалюту, из-за чего обнаружить их транзакции бывает проблематично. Механизм «Прозрачный блокчейн» позволяет увидеть такие операции с криптовалютой и сейчас ведомство активно занимается разработкой признаков и критериев для определения факта правонарушения по одному только движению средств.

Глава Росфинмониторинга отметил содействие коллег за рубежом: Финляндии, Люксембурга, Лихтенштейна, Белоруссии, Мальты и других. Данный проект находится на контроле у Правительства и при поддержке Минцифры должен быть окончательно доработан в этом году.

Подробнее

24.02.2021 16:00:31

Хакерская группировка APT32 атакует вьетнамских правозащитников.

Киберпреступники могли читать и писать документы в скомпрометированных системах, запускать вредоносные инструменты и программы, а также отслеживать действия своих жертв.

Лаборатория безопасности Amnesty International представила отчет, согласно которому хакерская группа APT32 координировала несколько шпионских атак на вьетнамских правозащитников в период с февраля 2018 года по ноябрь 2020 года. Программы, используемые хакерами APT32, позволяли им читать и писать документы в скомпрометированных системах, запускать вредоносные инструменты и отслеживать действия своих жертв.

Злоумышленники загрузили и развернули элементы Cobalt Strike, чтобы получить постоянный удаленный доступ к скомпрометированным системам. В случае жертв, которые использовали Mac, операторы APT32 использовали бэкдор macOS, обнаруженный TrendMicro в предыдущих атаках на вьетнамские цели. Он предназначен для предоставления злоумышленникам возможности загружать, выгружать и выполнять произвольные файлы и команды. Основную же угрозу в кампании представляли фишинговые письма, а окончательная полезная нагрузка была установлена на компьютерах под управлением Windows с помощью загрузчика KERRDOWN.

APT32 (OceanLotus, SeaLotus) – это поддерживаемая вьетнамским правительством передовая группа постоянной угрозы, нацеленная на иностранные компании, вьетнамские правозащитные организации и активистов, а также Всемирные научно-исследовательские институты и СМИ. Совсем недавно APT32 попыталась собрать разведданные о продолжающемся кризисе COVID-19 с помощью фишинговых атак, нацеленных на Министерство по чрезвычайным ситуациям Китая и правительство провинции Ухань. FireEye также описывает эту группу как "поддерживающую интересы Вьетнамского государства", поскольку ее целенаправленные операции против журналистов и членов вьетнамской диаспоры угрожают свободе слова и политической активности.

Подробнее

20.02.2021 15:51:27

Количество атак с использованием искаженного префикса URL выросло на 6000%.

Этот метод позволяет злоумышленникам обходить стандартные средства защиты.

Исследователи из GreatHorn сообщают о почти 6000% скачке в атаках, использующих искаженные префиксы URL. Резкий рост начался с января по начало февраля этого года. В этом случае фишинговым письмам удается обойти средства защиты и при этом выглядеть достаточно правдоподобно. Чтобы обнаружить такую атаку, нужно быть предельно внимательным. Вместо стандартных протоколов, таких как «http://» или «https://», злоумышленники используют «http:/\».

Данный тип атак фактически является вариацией тайпсквоттинга – распространенной фишинговой тактики, когда общеизвестные названия компаний и сервисов пишутся неправильно, например, «amozon.com». Конечная цель таких атак – обман невнимательных пользователей. Сейчас такая явная подмена, скорее всего, будет замечена, поэтому злоумышленники придумывают новые вариации. На косые же черты в URL-адресах, как правило, не обращают внимание ни браузеры, ни сканеры, ни пользователи.

В отчете GreatHorn ИБ-отделам рекомендуется искать в своей электронной почте сообщения, содержащие URL-адреса, которые соответствуют шаблону угроз (http:/\), и удалять все совпадения. Сделать это можно при помощи сторонних решений, способных выполнять более детальный анализ.

Подробнее

20.02.2021 15:29:08

Underwriters Laboratories стала жертвой вымогательского ПО.

Сертификационной компании пришлось отключить свои системы.

Неизвестные злоумышленники атаковали компанию Underwriters Laboratories, которая специализируется на стандартизации и сертификации в области техники безопасности. Нападение с использованием вымогательского ПО затронуло устройства в центре обработки данных.

В компании приняли решение не платить выкуп злоумышленникам и восстанавливать зашифрованные данные из резервных копий. В то же время, Underwriters Laboratories пришлось отключить свои системы, что привело к приостановлению работы.

На данный момент проводится расследование инцидента. Специалисты пытаются точно определить какие данные были затронуты. Если будет установлено, что перед шифрованием чьи-либо сведения были украдены, компания обязуется уведомить об этом всех заинтересованных.

Подробнее

20.02.2021 15:25:23

Учетные записи RIPE NCC Access попытались взломать.

Специалисты организации предотвратили атаку, однако посоветовали ее членам включить двухфакторную аутентификацию.

Специалистам некоммерческой организации RIPE NCC удалось предотвратить атаку на свой SSO-сервис RIPE NCC Access. Деятельность фирмы заключается в управлении и назначении адресов IPv4 и IPv6 для Европы, Среднего Востока и некоторых стран Центральной Азии.

Представители организации сообщили, что их сервис единого входа (SSO) подвергся попытке взлома с использованием подстановки учетных данных (credential stuffing). По их же словам, ни одна учетная запись в итоге не была скомпрометирована.

Расследование инцидента продолжается. Членам организации рекомендовано включить двухфакторную аутентификацию в учетных записях RIPE NCC Access, чтобы обезопасить аккаунты от вероятных нападений.

Подробнее

19.02.2021 17:06:25

Домен Google используется для кражи данных банковских карт.

Он позволяет злоумышленникам обойти сканеры вредоносных программ и Content Security Policy.

Киберпреступники используют платформу Google Apps Script для внедрения вредоносных скриптов на страницы интернет-магазинов. Их цель – кража банковских и любых других конфиденциальных сведений, вводимых пользователями на страницах заказов.

Злоумышленники используют домен script.google.com, который автоматически добавляется торговыми площадками в белые списки, как и другие поддомены Google. Таким образом хакерам удается обойти сканеры вредоносных программ и Content Security Policy, чтобы внедрить на сайты веб-скиммер для кражи данных. Как правило, это обычный JavaScript, встроенный непосредственно в страницы торговых площадок.

Сначала украденные данные отправляются в приложение Google Apps Script через домен script.google.com. Затем перенаправляются на подконтрольный злоумышленникам analit.tech, расположенный в Израиле.

Подробнее

19.02.2021 16:05:21

Американские города стали жертвами хакеров после атаки на платежный процессор AFTS.

Уведомления о компрометации данных выпустили Киркленд, Линнвуд, Монро, Сиэтл и Редмонд.

Атака вымогателей на широко используемый платежный процессор ATFS вызвала компрометацию данных в многочисленных городах и агентствах Калифорнии и Вашингтона (США). Automatic Funds Transfer Services используется ими также в качестве службы проверки адресов. Поскольку данные, используемые для выставления счетов и проверки клиентов широки и разнообразны, эта атака может иметь массовые и широко распространенные последствия.

Нападение произошло примерно 3 февраля, когда киберпреступная группа, известная как Cuba Ransomware, украла незашифрованные файлы и внедрила программу-вымогателя. Это привело к значительному нарушению бизнес-операций AFTS. На данный момент веб-сайт AFTS и все связанные с ним обработки платежей недоступны из-за технических проблем. На своей странице утечки данных, кубинские хакеры утверждают, что похитили финансовые документы, переписку с банковскими служащими, информацию о движениях счетов, балансовые отчеты и налоговые документы.

Из-за большого количества данных, предположительно украденных группировкой Cuba Ransomware, города, использующие AFTS в качестве своего платежного процессора или службы проверки адресов, начали сообщать о компрометации данных. Потенциально украденные сведения варьируются в зависимости от города или агентства, но могут включать имена, адреса, номера телефонов, номерные знаки автомобилей, VIN, информацию о кредитных картах, отсканированные бумажные чеки и платежные реквизиты. Подобные уведомления уже выпустили города Киркленд, Линнвуд, Монро, Сиэтл и Редмонд, а также Калифорнийский департамент автотранспортных средств и Лейквудский Водный округ.

Подробнее

19.02.2021 15:42:47

Российские ученые обновили мировой рекорд эффективности систем квантовой криптографии.

Два их открытия окажут влияние на отрасли, где требуется высокий уровень информационной безопасности.

Российские ученые сделали два открытия в области квантовой криптографии, которые позволили обновить мировой рекорд эффективности классических алгоритмов постобработки для квантового распределения ключей. В исследованиях приняли участие специалисты центра компетенций НТИ «Квантовые коммуникации» НИТУ «МИСиС», Российского квантового центра и ИБ-компании QRate.

Конечная цель обоих открытий – обеспечение безопасной связи. Ученые разработали новый алгоритм синхронизации информации, основанный на полярных кодах. Он более устойчив к шумам окружающей среды и может стабильно работать в реальных условиях. Во втором исследовании ученым удалось уменьшить часть генерируемых квантами закрытых ключей до значений ниже 1%. Подробнее с первым открытием можно ознакомиться в издании IEEE Communication Letters, со вторым – в IEEE Transactions on Information Theory.

С помощью квантового распределения ключей две стороны, соединенные по открытому каналу связи, могут создавать общий, известный только им, случайный ключ шифрования. Оба открытия в перспективе окажут влияние на отрасли, где требуется высокий уровень информационной безопасности. Благодаря им скорость генерации ключей увеличится, а стоимость интеграции оборудования уменьшится.

Подробнее

18.02.2021 15:54:05

Банковский троян Javali использует легитимный файл антивируса Avira.

Благодаря ему злоумышленникам удается загрузить вредоносную библиотеку в память устройства.

Исследователи безопасности сообщают о новых функциях, полученных банковским трояном Javali. Вредонос начал задействовать компоненты легитимных антивирусных продуктов, в частности, Avira. Файл Avira.exe позволяет злоумышленникам загрузить в память библиотеку Avira.OE.NativeCore.dll, которая является вредоносной копией стандартного элемента системы.

Троян распространяется преимущественно при помощи фишинговых писем. Они доставляют на устройство жертвы файлы в форматах VBS, JScript и MSI, которые в дальнейшем загружают из облака сам троян. Javali внедряется непосредственно в память системы. Для обеспечения автозапуска троян иногда создает ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Javali – это банковский троян, активный по крайней мере с 2017 года. Разработан киберпреступниками из Латинской Америки и похож на другие вредоносы из этого региона. Основными целями Javali являются организации банковского и финансового сектора.

Подробнее

18.02.2021 15:02:06

Microsoft предупреждает о росте количества атак с использованием веб-оболочек.

По сравнению с прошлым годом компания фиксирует вдвое больше подобных угроз на серверах.

Компания Microsoft сообщает, что количество ежемесячных атак с использованием веб-оболочек (web shell) практически удвоилось с прошлого года. Каждый месяц на взломанных серверах обнаруживается в среднем 140 тыс. подобных вредоносных инструментов. Эта тенденция началась в августе 2020 года, а до того момента команда Microsoft Defender Advanced Threat Protecrion сообщала об ежемесячном обнаружении 77 тыс. оболочек.

Web shell – это инструменты, которые злоумышленники развертывают на взломанных серверах для получения или поддержания доступа. Они же позволяют удаленно выполнять произвольный код, перемещаться в сети или загружать дополнительное вредоносное ПО. Разворачиваются они в самых разных форматах: от плагинов приложений и фрагментов кода, встраиваемых в веб-приложения, до полноценных программ и сценариев.

В качестве превентивных мер, которые должны предотвратить подобные атаки, в компании посоветовали обратить внимание на устранение уязвимостей и неправильных настроек в веб-приложениях, развернуть последние обновления безопасности, реализовать надлежащую сегментацию сети периметра, исключить доступ к внутренним службам через нестандартные порты и чаще проверять журналы с веб-серверов.

Подробнее

18.02.2021 14:29:47

Операторы вымогателя DoppelPaymer сообщают об успешной атаке на Hyundai Motor America.

Последние несколько дней ее дочерняя фирма Kia Motors America испытывает проблемы с работой сервисов, однако опровергает факт вмешательства хакеров.

Kia Motors America – американское подразделение южнокорейского автопроизводителя в последние несколько дней испытывает продолжительный сбой в работе систем. Он затронул портал Kia Owners, мобильные приложения UVO и ресурс для работы с клиентами.

В распоряжение издания BleepingComputer попала записка с требованием выкупа от группировки DoppelPaymer. В ней злоумышленники берут на себя ответственность за случившиеся сбои. Они утверждают, что им удалось взломать материнскую компанию Kia - Hyundai Motor America и похитить «огромный объем» данных. Злоумышленники угрожают опубликовать эти сведения, если в течение 2 - 3 недель им не будет заплачен выкуп на сумму порядка 20 млн. долларов в биткойнах. Задержка выкупа также увеличит его сумму на 10 млн. долларов.

В Kia Motors Corporation опровергают слухи об успешной хакерской атаке. В компании заявили, что слышали о сообщениях вымогателей, однако на данный момент нет никаких оснований им верить. Корпорация принесла извинения клиентам, которые столкнулись с проблемами, а также заверила, что ее специалисты работают над оперативным исправлением проблемы.

Подробнее

17.02.2021 16:37:46

Рост цен на криптовалюту привел к уменьшению количества DDoS-атак.

Операторы ботнетов перенаправили часть своих мощностей на майнинг.

Специалисты Лаборатории Касперского отметили снижение количества DDoS-атак на 31% в четвертом квартале 2020 года по сравнению с третьим. Они объяснили это ростом рынка криптовалюты, для майнинга которой операторы ботнетов перенаправили часть своих мощностей.

Статистика Kaspersky Security Network говорит о том же. Наравне со снижением количества DDoS-атак количество криптомайнеров, обнаруженных в 2020 году, с августа начало резко расти. К концу прошлого года количество активных майнеров установилось на отметке в 191-192 тысячи в месяц.

По поводу снижения количества DDoS-атак тоже не стоит обнадеживаться. Как сообщают эксперты, сокращение коснулось простых атак, не требующих серьезной подготовки и организации. Сложные же операции остались примерно на том же уровне. В целом же, по сравнению с концом 2019 года, в 2020 количество DDoS выросло на 10%.

Подробнее

17.02.2021 16:27:00

Больше половины доходов киберпреступников отмывается через 270 блокчейн-адресов

Еще три года назад они использовали более широкий спектр сервисов.

Исследовательская компания Chainalysis опубликовала отчет, согласно которому зависимость киберпреступников от небольшой группы сервисов для отмывания денег продолжает расти. Так, 55% незаконных доходов проходит через 270 блокчейн-адресов. Обычно, это сервисы с дурной репутацией: онлайн-казино, сомнительные обменники и «миксеры» криптовалюты.

Исследователям удалось выяснить, что в 2020 году 75% средств, полученных в результате киберпреступной деятельности, прошли через 1867 адресов. Этот уровень концентрации выше, чем в 2019 году и, тем более, чем в 2017. Также удалось выяснить, что многие сервисы, задействованные в операциях по отмыванию денег, являются дочерними по отношению к более крупным легальным операторам.

В целом, как отмечают специалисты, возросший уровень концентрации – это хорошая новость. Злоумышленники различных группировок сильно зависят от небольшой инфраструктуры, которую можно нарушить несколькими операциями правоохранительных органов, тем самым перекрыв основной поток незаконных денежных средств.

Подробнее

17.02.2021 16:19:51

Новая фишинговая кампания имитирует сообщения от портала «Госуслуги».

В них содержится ссылка на поддельную страницу и даже угроза аннулировать доступ.

Специалисты Роскачества сообщают о новой фишинговой кампании, направленной на пользователей портала «Госуслуги». Поддельные электронные письма имитируют оригинальную рассылку сервиса: логотипы, шрифты и общую структуру. Целью злоумышленников является получение персональных и платежных данных россиян.

Опознать поддельное письмо можно по нескольким признакам. Текст сообщения содержит орфографические, стилистические и логические ошибки. Главная его цель, вызвать эмоцию у жертвы и вынудить ее перейти по встроенной ссылке. В мошеннических письмах идет речь об участии в бесплатном розыгрыше или получении социальных выплат от государства. Жертве даже угрожают аннулировать доступ к порталу, если не последует никакой реакции. Таких сообщений может прийти несколько подряд.

Кликнув по ссылке, пользователь перенаправляется на поддельный сайт, где ему, во-первых, необходимо ввести учетные данные для доступа к порталу «Госуслуги», а, во-вторых, заплатить «небольшую комиссию» для получения своего выигрыша или социальной выплаты. Таким образом, персональные и платежные данных жертвы попадают в руки киберпреступников.

Подробнее

16.02.2021 16:37:59

Ключ для расшифровки SunCrypt повреждает файлы.

Исследователь безопасности обратился к злоумышленникам с рекомендациями.

ИБ-специалист Майкл Гиллеспи (Michael Gillespie) обратился в своем Twitter-аккаунте к операторам шифровальщика SunCrypt. По его словам, ключ расшифровки, который злоумышленники предоставляют своим жертвам, не расшифровывает файлы, а просто повреждает их.

Причиной этого является то, что в кривой закрытого ключа Curve25519 не содержится ни одной действительной точки. Решить эту проблему можно добавлением простого хэша или оригинального кода аутентификации сообщений, использующего хеш-функции (он же HMAC), для проверки целостности файлов. Маркеры файлов, позволяющие определить версию, тоже помогли бы при расшифровке.

Другой ИБ-специалист, Эрик Тейлор (Eric Taylor), считает, что обращаться к операторам SunCrypt бессмысленно. Предыдущий опыт общения с ними убедил его, что злоумышленников интересует только выкуп, а корректная расшифровка файлов жертв не входит в их планы.

Подробнее

16.02.2021 16:29:55

Французское агентство по кибербезопасности обвинило российских хакеров во взломах.

APT-группа Sandworm три года атаковала организации, предоставляющие услуги веб-хостинга.

Французское агентство по кибербезопасности (ANSSI) опубликовало подробный отчет о деятельности APT-группировки Sandworm, якобы связанной с российским правительством. По словам специалистов, жертвами злоумышленников стали организации, предоставляющие услуги веб-хостинга, которые использовали платформу Centreon, предназначенную для ИТ-мониторинга.

Первая жертва хакеров датируется концом 2017 года, а вредоносная кампания продолжалась до 2020 года. Платформа Centreon, разрабатываемая одноимённой французской компанией и схожая по своим возможностям с Orion от SolarWinds, стала точкой входа для злоумышленников. Киберпреступники атаковали установки, подключённые к Сети, либо обнаружив уязвимость, либо подобрав пароли от аккаунтов администраторов. В этом вопросе у специалистов ANSSI нет уверенности.

В конечном итоге злоумышленникам удалось установить два вредоноса: веб-оболочку P.A.S. и бэкдор Exaramel. Они позволили киберпреступникам захватить полный контроль над системами жертв. Связать взломы Centreon с деятельностью Sandworm специалисты смогли из-за сходства этой и предыдущих кампаний злоумышленников.

Подробнее

16.02.2021 16:08:50

Финская сеть психотерапевтических центров разорилась из-за утечки данных.

Репутационный и финансовый ущерб вынудил компанию Vastaamo объявить себя банкротом.

В феврале 2021 года финская сеть психотерапевтических центров Vastaamo объявила себя банкротом. В прошлом году она признала факт крупной утечки данных клиентов, которую компания скрывала от общественности несколько лет.

Инцидент вскрылся, когда осенью прошлого года злоумышленники начали публиковать в открытом доступе персональные данные клиентов Vastaamo. Некоторые из них жаловались, что с ними связывались и требовали выкуп в размере 500 евро. Также стало известно, что утечка произошла еще в 2018 году и генеральный директор, на тот момент Вилле Тапио (Ville Tapio), с марта 2019 года знал об этом. В последствии он был уволен.

Изначально киберпреступники требовали от самой Vastaamo выкуп в размере 450 тыс. евро и переключились на клиентов, когда получили отказ. В распоряжении злоумышленников оказались личные данные 40 тыс. пациентов, включая записи сеансов у психотерапевтов. Компания не справилась с репутационным и финансовым ущербом, в результате чего заявила о банкротстве.

Подробнее

15.02.2021 16:54:02

По оценкам главы Microsoft за атакой на SolarWinds стояла тысяча разработчиков.

Он назвал данный инцидент «крупнейшей и наиболее сложной кибероперацией, которую когда-либо видел мир».

Брэд Смит, глава корпорации Microsoft, в эфире американского шоу «60 минут» назвал атаку на SolarWinds «крупнейшей и наиболее сложной кибероперацией, которую когда-либо видел мир». Проанализировав всю информацию, которую удалось собрать, специалисты компании пришли к выводу, что за нападением стояло около тысячи разработчиков. Именно столько специалистов, по мнению Смита, потребовалось бы для организации атаки.

Напомним, что в результате прошлогоднего нападения на IT-провайдера SolarWinds и добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Позже появилась информация, что зараженная версия программы затронула 18 тыс. клиентов компании, включая Microsoft и Национальное управление по ядерной безопасности США. Большая часть всех затронутых вредоносом организаций находилась в США, однако пострадали также объекты в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и ОАЭ.

Глава компании не стал выдвигать обвинения об организации атаки в чей-либо адрес. Однако отметил, что наблюдал подобную тактику в нападении на Украину, которое приписывается российским властям.

Подробнее

15.02.2021 16:25:17

В России отмечают участившиеся атаки на банковские мобильные приложения.

Центральный банк рекомендует финансовым организациям провести проверку сервисов ДБО на наличие уязвимостей.

На прошлой неделе Банк России разослал кредитным организациям предупреждение об участившихся случаях атак на юрлица с использованием систем дистанционного банковского обслуживания (ДБО). Ранее подобный тип атак использовался против физлиц.

Схема инцидента выглядит следующим образом. Злоумышленник заходит в мобильное приложение банка под легальным логином и паролем, переводит его в режим отладки, изучает порядок и структуру вызовов программного интерфейса приложения (API). Знание необходимых параметров позволяет атакующему сформировать запрос на перевод денежных средств со счета организации, который можно узнать из открытых источников. И хотя на данный момент никто не пострадал, как сообщает ЦБ, высокий уровень подготовки атак и знание особенностей обработки платежей банками делают такие инциденты чрезвычайно опасными.

В ЦБ отметили высокую вероятность повторных попыток реализации злоумышленниками подобных сценариев, поэтому банкам рекомендуется провести проверку сервисов ДБО и мобильных приложений на наличие уязвимостей. По словам ИБ-специалистов, проблема кроется в грубейших нарушениях принципов проектирования логики приложений, а из-за перспективности атак на API, киберпреступники продолжат развивать это направление.

Подробнее

15.02.2021 16:16:04

Правоохранительным органам удалось задержать операторов Egregor.

Французская полиция отследила перевод выкупа злоумышленникам, находящимся в Украине.

Совместная операция правоохранительных органов Франции и Украины привела к задержанию нескольких клиентов Egregor. Это стало возможным благодаря отслеживанию выкупа, который был заплачен злоумышленникам одной из жертв.

Напомним, что Egregor работает по схеме «вымогатель как услуга». Хакеры договариваются с создателями вредоносного ПО об аренде программы и дальнейшем разделении выкупа. На плечи операторов ложится непосредственный взлом и развертывание целевых сетей, поэтому им достается порядка 70% от выкупа, а разработчикам – 30%.

В конце прошлого года на долю операторов Egregor приходилась треть от всех атак с использованием вымогательского ПО. Разработчиков вредоноса связывают с деятельностью группировки Maze, которая в прошлом октябре сообщила о прекращении незаконной деятельности. Об этом свидетельствуют схожесть большей части кода, а также одинаковые записки с требованиями о выкупе и одинаковые названия сайтов платежей.

Подробнее

12.02.2021 17:21:27

Оформившие ипотеку россияне столкнулись с новой формой мошенничества.

Жертву по-прежнему пытаются ввести в заблуждение, однако с использованием новой легенды.

Сотрудники издания РИА Новости проверили и рассказали о новой мошеннической схеме, направленной на людей, оформивших ипотеку. Цель злоумышленников при этом осталась прежней – ввести свою жертву в заблуждение и заставить ее перевести денежные средства на подконтрольные счета.

Выглядит это следующим образом. Человеку звонит «представитель банка», который напоминает, что в ближайшее время наступит момент оплаты. Проблема заключается в том, что по той или иной причине перевод не может быть выполнен в стандартном порядке. Тогда этот «сотрудник» просит произвести оплату по ссылке, которую он пришлет, или обновленным реквизитам. Правдоподобность подобным звонкам придает то, что мошенник знает наименование банка, ФИО жертвы, дату и сумму платежа по ипотеке.

Технический директор компании «Газинформсервис» Николай Нашивочников отметил, что несмотря на новую легенду, методика злоумышленников осталась прежней. Он напомнил, что в подобных случаях не стоит торопиться, а любые изменения в реквизитах необходимо проверять, самостоятельно связавшись с официальными представителями кредитных организаций.

Подробнее

12.02.2021 16:47:02

Злоумышленники придумали новый способ затруднить обнаружение фишинговых писем.

Они используют особенности современных ИБ-решений себе на пользу.

Специалисты компании BitDam рассказали о новых методиках, используемых киберпреступниками. Их цель – доставка вредоносных сообщений в электронные почтовые ящики пользователей.

С начала этого года злоумышленники активно стали использовать особенность защитных решений, которые обычно доверяют недавно созданным доменам электронной почты. Сейчас, для того, чтобы сообщение было автоматически помечено как вредоносное, домен, от которого оно исходит, тоже должен быть отмечен как опасный.

Другая особенность – это то как защитные решения реагируют на сообщения об ошибках. Они редко распознаются как подозрительные. Злоумышленники стали маскировать формировать свои фишинговые сообщения под уведомления об ошибках во вложениях электронной почты в сочетании с кнопками «Повторить». При ее нажатии пользователь переводится на вредоносный сайт с поддельной формой ввода учетных данных.

Подробнее

12.02.2021 16:40:49

Электронные письма в преддверии Дня Святого Валентина распространяют вредоносное ПО.

В частности, отмечаются письма от магазина нижнего белья Ajour Lingerie и цветочного магазина Rose World.

Исследователи безопасности сообщают о новой фишинг-атаке, связанной с приближением Дня Святого Валентина. Пользователи получают по электронной почте «подтверждения недавнего заказа» на цветы или нижнее белье, которые в конечном итоге приводит получателей к вредоносному документу, который выполняет вредоносную программу BazaLoader.

Одно из таких недавних писем было якобы от Ajour Lingerie, «интернет-магазина высококачественного нижнего белья», базирующегося в Нью-Йорке. В письме получателям предлагается проверить счет-фактуру и подтвердить свою покупку. Во вложенном документе была ссылка на поддельный веб-сайт, который практически ничем не отличается от оригинального. Если пользователи посещали эту страницу, им предоставлялась возможность ввести номер заказа в идентификатор. Затем страница контактов перенаправляла их на целевую страницу, которая была связана с листом Excel. Этот лист Excel содержал макросы, которые, если пользователь включит их, загрузят BazaLoader. Во втором письме была использована почти такая же методика, однако от лица цветочного магазина Rose World. Это письмо также ссылается на заказ из интернет-магазина и включает в себя PDF-документ с описанием заказа. Он также приводит пользователя к Excel-файлу с макросами, которые начнут загрузку вредоноса, если будут активированы.

Основной функцией BazaLoader, написанного на C++, является загрузка и выполнение дополнительных модулей. Вредонос впервые был замечен в апреле прошлого года, и с тех пор исследователи наблюдали по крайней мере шесть его вариантов. В последнее время специалисты обнаружили несколько кампаний BazaLoader, которые в значительной степени опирались на взаимодействие человека с различными сайтами, PDF-документами и сообщениями электронной почты.

Подробнее

12.02.2021 16:28:11

Администратор Яндекса предоставлял несанкционированный доступ к почте пользователей.

В результате инцидента было скомпрометировано 4887 ящиков Яндекс.Почты.

Пресс-служба компании Яндекс сообщила об инциденте, в результате которого были скомпрометированы электронные почтовые ящики пользователей Яндекс.Почты. Обнаружив взлом, компания инициировала внутреннее расследование, а также сообщила о нем в правоохранительные органы.

Как сообщается в пресс-релизе, инцидент произошел по вине системного администратора. Он был одним из трех сотрудников, у которых есть право на доступ к почте пользователей для проведения работ по технической поддержке. Как выяснила служба безопасности Яндекса, он использовал это для предоставления несанкционированного доступа к почте 4887 пользователей.

В компании извинились перед пострадавшими и выслали им сообщения о необходимости смены пароля. Неавторизованный доступ в скомпрометированные ящики заблокирован. В Яндексе намерены пересмотреть положение сотрудников, обладающих административными правами такого уровня доступа, чтобы избежать подобных инцидентов в будущем.

Подробнее

11.02.2021 17:07:29

Более 100 финансовых организаций подверглись DDoS-атакам в рамках одной кампании.

Злоумышленники угрожали более разрушительными последствиями и ежедневным увеличением суммы требуемых денег.

Консорциум Financial Services Information Sharing and Analysis Center (FS-ISAC) рассказал о масштабной DDoS-кампании, от которой в конце прошлого года пострадали более 100 финансовых организаций. Среди них оказались фондовые биржи, потребительские банки, управляющие активами, клиринговые палаты, платежные компании и фирмы, занимающиеся кредитными рейтингами.

Злоумышленники требовали выкуп в размере от 200 до 350 тыс. долларов. В случае если жертва отказывалась сотрудничать, они угрожали более разрушительными последствиями и ежедневным увеличением суммы требуемых денег.

Доподлинно не известно кто стоял за организацией нападений, хотя злоумышленники в записках разным организациям выдавали себя за известные группировки, такие как Fancy Bear и Lazarus Group. В записках с угрозами злоумышленники также приписали себе DDoS-атаку на финансовую биржу Новой Зеландии, которая летом прошлого года была вынуждена приостановить свою работу из-за действий хакеров.

Подробнее

11.02.2021 16:57:31

Технические логи Emsisoft находились в открытом доступе.

По словам компании, в базе данных не было конфиденциальных сведений, кроме 14 адресов электронной почты.

Поставщик антивирусных продуктов Emsisoft сообщил об инциденте, в результате которого третьи лица получили доступ к техническим логам компании. База данных была открыта в Сеть с 18 января по 3 февраля и была сразу же закрыта после того, как о проблеме стало известно. Причиной инцидента стала неправильная настройка.

Скомпрометированная информация предназначалась для тестовой системы. Она использовалась для оценки и бенчмаркинга хранилища, а также для управления логируемыми данными продуктов Emsisoft.

В ходе расследования было выяснено, что база данных не содержала каких-либо чувствительных сведений. Среди конфиденциальных данных в ней можно выделить только 14 адресов электронной почты, принадлежащих 7 организациям. Они попали в логи сканирования только потому, что в их почтовых клиентах были обнаружены вредоносные ящики.

Подробнее

11.02.2021 16:21:53

Северокорейская ядерная программа финансируется киберпреступниками.

Как утверждается в докладе ООН, они могли выкрасть криптовалюты на сумму в 316,4 млн. долларов.

Телеканал CNN получил доступ к конфиденциальному докладу экспертов ООН по Северной Корее. В нем эксперты организации утверждают, что северокорейские хакеры похитили более 300 млн. долларов, которые были направлены на финансирование ядерных и баллистических ракетных программ страны. Источником CNN стал некий дипломатический источник в Совете Безопасности ООН.

Жертвами киберпреступников стали финансовые учреждения и виртуальные обменные пункты. Всего в период с 2019 по ноябрь 2020 года злоумышленникам удалось украсть виртуальных денежных средств на сумму в 316,4 млн. долларов.

В этом же докладе сообщается, что украденная криптовалюта была вложена именно в модернизацию ядерного и баллистического вооружения. Результаты этого, по их словам, можно было наблюдать на военном параде в Пхеньяне, где были показаны новые ракетные системы малой и средней дальности, обновленные субмарины и межконтинентальное баллистическое вооружение.

Подробнее

10.02.2021 16:06:03

Задержан предполагаемый создатель инструментов для фишинга U-Admin.

Им оказался житель Украины, которому теперь грозит лишение свободы на срок до 6 лет.

Совместная операция правоохранительных органов США, Австралии и Украины позволила задержать предположительного создателя фишинг-пака U-Admin. Общий ущерб, нанесенный этими инструментами, оценивается в десятки млн. долларов, а жертвами стали клиенты банков в 11 странах.

Большего всего проблем пакет U-Admin причинял австралийским финансовым организациям. Местные полицейские два года пытались идентифицировать продавца фишинговых инструментов, и, когда им это наконец удалось, передали все наработки правоохранительным органам Украины. Те в свою очередь провели обыски с изъятием компьютерной техники на территории Тернопольской области, выявили более 200 пользователей U-Admin, а также задержали предполагаемого создателя. Им оказался житель Украины, которому теперь грозит лишение свободы на срок до 6 лет. Обнаружить киберпреступника позволила уязвимость внедрения SQL-кода, которая позволяет просматривать и изменять данные, украденные с помощью фишинг-пака.

U-Admin представляет собой фреймворк для кражи информации, который имеет ряд плагинов, позволяющих генерировать поддельные страницы банков и почтовых служб. Отдельный модуль инструментария обеспечивает перехват дополнительных кодов аутентификации, используемых для подтверждения транзакции. U-Admin в состоянии даже управлять дропами, помогающими отмывать деньги, добытые незаконным путем.

Подробнее

10.02.2021 15:46:31

Группировка Domestic Kitten атакует противников действующего политического режима Ирана.

За последние четыре года ее жертвами стали более 1,2 тыс. человек в Иране, США, Пакистане и Турции.

Хакерская группировка APT-C-50, также известная под псевдонимом Domestic Kitten и предположительно связанная с иранским правительством, проводит кибератаки против собственных граждан. Также ее жертвами стали противники действующего режима, правозащитники, активисты, журналисты и юристы из США, Пакистана и Турции. Общее их количество насчитывает минимум 1,2 тыс. человек.

Как сообщили специалисты ИБ-фирмы Check Point, за четыре года своей деятельности группировка организовала массовую слежку за пользователями и не менее десяти киберпреступных кампаний. Четыре из них активны до сих пор, последняя началась в ноябре прошлого года.

Вредоносное ПО FurBall, которое используется Domestic Kitten, базируется на инструменте для мониторинга KidLogger. Злоумышленникам либо удалось заполучить его исходный код, либо осуществить реверс-инжиниринг, добавив необходимые функции. Распространяется FurBall с помощью фишинга, web-сайтов, Telegram-каналов и SMS-сообщений с вредоносными ссылками. После заражения вредонос перехватывает SMS-сообщения и журналы звонков, собирает данные об устройстве, записывает разговоры, похищает медиафайлы и отслеживает GPS-координаты устройства.

Подробнее

10.02.2021 15:38:08

Хостинг-провайдер был вынужден закрыться после кибератаки.

«Мы больше не можем управлять хостинговым бизнесом No Support Linux», – категорически признала компания.

Веб-хостинговая компания No Support Linux Hosting объявила о своем закрытии после того, как хакер взломал ее внутренние системы и скомпрометировал всю ее работу. Согласно сообщению, размещенному на ее официальном сайте, инцидент произошел 8 февраля. Судя по всему, хакеру удалось скомпрометировать официальный сайт, административный раздел и базу данных клиентов. «Мы больше не можем управлять хостинговым бизнесом No Support Linux», – категорически признала компания.

Всем клиентам NSLH рекомендовано как можно быстрее загрузить резервные копии своих веб-сайтов и баз данных через cPanel. Подробностей о самой атаке не последовало. На данный момент остается не ясным шла ли речь о краже и уничтожении баз данных компании или о классической атаке с шифрованием и требованием выкупа.

Два других британских провайдера также пострадали от подобных взломов в минувшие выходные. В понедельник, 8 февраля, на страницах SapphireSecure.net и KS-Hosting.com на короткое время появилось сообщение от хакера, который угрожал опубликовать клиентские базы данных компаний, если ему не выплатят порядка 92 тыс. долларов в биткойнах. На данный момент не известно связаны ли эти атаки с инцидентом в NSLH. На это указывает лишь тот факт, что киберпреступник предоставил британским компаниям ту же возможность, а именно закрыться навсегда.

Подробнее

09.02.2021 17:22:14

База данных COMB содержит 3,2 млрд. пар адресов электронной почты и паролей от них.

Она впитала в себя сведения, собранные из прошлых крупных утечек, с которыми столкнулись Netflix, LinkedIn, Exploit.in, Bitcoin.

В Сети обнаружена база данных, получившая название «Compilation of Many Breaches» (COMB). В ней содержится 3,2 миллиарда пар адресов электронной почты и паролей от них в виде простого текста. Данные запакованы в архив и защищены паролем.

Судя по всему, принципиально новых данных эта база не содержит. Она впитала в себя сведения, собранные из прошлых крупных утечек, с которыми столкнулись Netflix, LinkedIn, Exploit.in, Bitcoin. Исследователи пока не вычислили все данные, входящие в COMB, поэтому список может расширяться. Упростить поиск конкретных сведений помогают файлы query.sh – для запроса имейлов, и sorter.sh – для сортировки слитых сведений.

Проверить подверглись ли ваши учетные данные компрометации можно при помощи инструмента Personal Data Leak Checker, разработанного специалистами проекта CyberNews. Они уже дополнили его сведениями, встречающимися в COMB.

Подробнее

09.02.2021 17:17:26

Портал для обучения веб-разработчиков признал утечку данных миллиона участников.

Среди скомпрометированных сведений реальные имена, адреса электронной почты, хэшированные пароли, имена пользователей и IP-адреса.

SitePoint – австралийский портал, специализирующийся на издании книг и пособий, а также проведении курсов для веб-разработчиков и ИТ-специалистов признал утечку данных. В результате инцидента были скомпрометированы конфиденциальные сведения миллиона участников проекта. Среди таких сведений оказались реальные имена, адреса электронной почты, хэшированные пароли, имена пользователей и IP-адреса.

Взлом электронной почты подписчиков был выявлен после того, как в декабре прошлого форума на хакерских форумах начали продаваться их данные. Администраторы проекта инициировали сброс паролей от скомпрометированных учетных записей, а также отметили, что пароли, которые были украдены киберпреступниками, зашифрованы с помощью алгоритма bcrypt и с использованием криптографической соли. Взлом такой защиты принято считать очень трудоемким процессом.

Судя по всему, инцидент произошел после того, как злоумышленники получили доступ к инструменту Waydev, который использовался для мониторинга учетной записи в репозитории GitHub. Еще летом прошлого года в нем была выявлена опасная уязвимость, которая использовалась для взлома магазина одежды Teespring. Примечательно, что украденные данные обеих компаний поставлялись в одном пакете.

Подробнее

09.02.2021 16:48:51

Администратор вымогательского ПО Ziggy сообщил о свертывании операций.

Киберпреступник выложил SQL-файл с 922 ключами для дешифровки, а также поделился с исследователями безопасности исходным кодом дешифровщика.

Администратор шифровальщика Ziggy в своем Telegram-канале сообщил о прекращении киберпреступной деятельности и намерении опубликовать ключи для дешифровки. В воскресенье, 7 февраля, он действительно это сделал. Он выложил SQL-файл с 922 ключами для дешифровки, а также поделился с исследователями безопасности исходным кодом дешифровщика, которому не нужно подключение к интернету или командному серверу. Команда Emisoft должна опубликовать его в ближайшее время.

По словам злоумышленника, он сожалеет о содеянном. На создание Ziggy его толкнуло отчаяние и нехватка денег. Прекратить противозаконную деятельность и выпустить дешифратор он решил из-за постоянного чувства вины и опасений по поводу преследования правоохранительными органами.

А волноваться действительно есть из-за чего. Благодаря недавним операциям правоохранителей была пресечена деятельность ботнета Emotet и вымогательского ПО NetWalker. Примечательно, что недавно свои операции также решили свернуть операторы шифровальщика Fonix, которые, как выяснилось, дружат с создателем Ziggy и живут в одной стране.

Подробнее

08.02.2021 16:27:32

Две крупнейшие электроэнергетические компании Бразилии стали жертвами вымогателей.

Компаниям пришлось отключить часть своих систем и отменить ряд операций.

Бразильские компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) подверглись кибератакам с использованием вымогательского ПО. Нападения, судя по всему, не связаны друг с другом, однако в обоих случаях пострадавшим организациям пришлось отключить часть своих систем и отменить ряд операций.

В первом случае пострадала дочерняя компания Eletrobras – Eletronuclear, участвующая в строительстве и эксплуатации атомных электростанций. Инцидент затронул некоторые серверы в административной сети предприятия. Данных о возможной утечке данных на текущий момент нет.

За атакой на Copel стоит киберпреступная группировка Darkside. Злоумышленникам удалось получить доступ к используемому на предприятии решению CyberArk, повысить свои привилегии и похитить незашифрованные пароли из всей локальной и интернет-инфраструктуры компании. Злоумышленники также похитили 1 ТБ информации, включая карты сети, схемы и график резервного копирования, доменные зоны главного сайта и домен интранета, а также личные данные высшего руководства и клиентов Copel.

Подробнее

08.02.2021 16:23:50

Киберпреступники используют SSDP-службу Plex Media Server для усиления DDoS-атак.

Подобные варианты нападений уже включены в список услуг теневых DDoS-сервисов.

Специалисты Netscout обнаружили DDoS-атаки с использованием SSDP-службы Plex Media Server – мультиплатформенного приложения, предназначенного для создания медиасервера и получения удаленного доступа к файлам. Как показывает практика, подобная методика позволяет усилить вредоносный поток в 30 раз.

Обычно Plex Media Server устанавливается на веб-сервере или поставляется в комплекте с сетевыми накопителями, цифровыми медиаплеерами или иными IoT-устройствами для стриминга мультимедиа. При запуске он начинает искать в сети другие совместимые устройства. Обнаружив их, медиасервер открывает им интернет-доступ к службе Plex Media SSDP ((Simple Service Discovery Protocol) на UDP-порту 32414. На данный момент эксперты обнаружили 27 тыс. открытых серверов Plex Media, некоторые из которых уже используются злоумышленниками.

DDoS-атаки с использованием этой методики, особенно опасны для поставщиков широкополосного доступа в интернет. Эксперты советуют отключить SSDP на широкополосных роутерах, найти уязвимые конечные узлы и поставить на них фильтр, который будет отсеивать входящий трафик на порту UDP/32414. Поставщикам устройств для широкополосного доступа рекомендуется отключать на них SSDP по умолчанию.

Подробнее

08.02.2021 16:16:02

В новой фишинговой кампании для сокрытия вредоносных ссылок используется азбука Морзе.

Вложение генерирует поддельную форму входа в Office 365.

Недавняя целенаправленная фишинговая кампания включает в себя новый метод обфускации, а именно – использование азбуки Морзе для сокрытия вредоносных URL-адресов во вложении электронной почты. Первые атаки, использующие эту методику, были обнаружены на прошлой неделе.

Фишинговая атака начинается с электронного письма. Оно включает в себя HTML-вложение, названное таким образом, чтобы выглядеть как счет-фактура Excel. При его просмотре в текстовом редакторе можно увидеть, что в него встроен JavaScript, который сопоставляет буквы и цифры с кодом Морзе. Например, буква «a» сопоставляется с «. –», а буква «b» сопоставляется с «-...». Затем скрипт вызывает функцию decodeMorse() для декодирования строки азбуки Морзе в шестнадцатеричную строку. Эта шестнадцатеричная строка далее декодируется в теги JavaScript, которые вводятся в HTML-страницу.

Это используется для отображения поддельной электронной таблицы Excel, в которой необходимо заново ввести пароль. Затем учетные данные отправляются на сервре злоумышленников. За неделю фишинговым рассылкам подверглись компании SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.

Подробнее

05.02.2021 16:44:57

Оператор вымогателя LockBit дал интервью исследователям Cisco Talos.

Предположительно проживающий в Сибири гражданин назвал Россию лучшей страной для киберпреступника.

ИБ-фирма Cisco Talos опубликовала интервью с оператором вымогательского ПО LockBit. Исследователи представили его как Алекса. Предположительно, он живет в Сибири, и ему немного за 30. По его словам, все свои навыки он приобрел самостоятельно.

На «темную сторону» его привело разочарование. Он устроился на работу в одну из ИТ-компаний, однако его предложения по улучшению систем защиты игнорировались руководством. Поиск уязвимостей в рамках закона его тоже не заинтересовал. По словам Алекса, компании всячески пытаются уйти от оплаты труда исследователя, который сообщил им об ошибках в ПО. Тогда ему захотелось проучить своих вчерашних коллег и продемонстрировать, к чему приводит плохая защита данных. Помимо прочего, он отметил, что Россия – это лучшая страна для киберпреступника: его жертвы находятся за пределами страны, а европейские и американские компании гораздо быстрее заплатят выкуп.

LockBit – программа-вымогатель, активно используемая киберпреступниками с 2019 года. Шифровальщик предоставляется по схеме «вымогатель как услуга» (RaaS), которая призвана максимально облегчить заинтересованным злоумышленникам незаконную деятельность. Вымогатель в состоянии самостоятельно определить степень ценности атакуемого ресурса. А полноценный цикл атаки от проникновения до шифрования ресурсов жертвы займет около пяти минут.

Подробнее

05.02.2021 16:33:51

Российские государственные ресурсы захватываются в целях майнинга криптовалюты.

Замдиректора НКЦКИ также отметил, что были замечены атаки шифровальщиков на инфраструктуру медицинских учреждений.

Вчера, 4 февраля, в Москве стартовал XXIII Национальный форум информационной безопасности «Инфофорум-2021». Специалисты отрасли собрались в офлайн формате, чтобы обсудить последние тренды в сфере кибербезопасности, требования законодательства, а также поделиться опытом и применяемыми практиками.

В своем выступлении замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов отметил, что в прошлом году хакерам впервые удалось внедрить вредоносные программы, шифрующие пользовательские данные, в инфраструктуру медицинских учреждений России. Также, по словам Мурашова, киберпрестуники активно захватывают информационные ресурсы органов власти и объекты оборонной промышленности страны с целью майнинга криптовалюты.

В целом обстановка в глобальном информационном пространстве оценивается как напряженная. НКЦКИ направил в адрес компаний и центров реагирования на компьютерные инциденты более 250 уведомлений, что позволило сократить вредоносную деятельность в отношении российских информационных ресурсов.

Подробнее

05.02.2021 16:30:23

Neuralink планируют провести первые испытания по вживлению нейроимплантов в мозг человека в конце этого года.

Недавно Илон Маск сообщил об успешной операции на приматах.

Илон Маск сообщил в своем Twitter-аккаунте, что его компания планирует провести первые испытания по вживлению нейроимплантов в мозг человека в конце этого года. «Neuralink прилагает все усилия, чтобы обеспечить безопасность имплантатов, и находится в тесном контакте с FDA (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов). Если всё пойдёт хорошо, мы сможем провести первые испытания на людях в конце этого года», - гласит пост.

Ранее бизнесмен сообщил об успешном эксперименте над животными. По его словам, Neuralink располагает обезьяной с беспроводным имплантатом, который позволяет ей играть в видеоигры с помощью своего разума. Маск пообещал опубликовать соответствующее видео примерно через месяц.

Напомним, что созданная в 2017 году компания Neuralink нацелена на создание технологии, которая позволила бы парализованным людям управлять электронными устройствами силой мысли. Миниатюрные автономные устройства должны заместить утраченные из-за травм головного или спинного мозга функции.

Подробнее

04.02.2021 16:09:21

Операторы вымогателя Babyk атакуют НКО, поддерживающие движения LGBT и BLM.

Группировка запустила свой сайт, на котором планирует публиковать украденные данные, если жертвы откажутся заплатить выкуп.

Вымогательское ПО Babyk появилось в поле зрения ИБ-специалистов в начале этого года. Злоумышленники запустили свой сайт, на котором планируют публиковать украденные данные, если жертвы откажутся заплатить выкуп. На данный момент сообщается уже о трех компаниях, чьи сведения размещены на сайте. Там же располагается список всех жертв злоумышленников.

Хакеры используют популярную стратегию двойного вымогательства, впервые опробованную группировкой Maze. Перед непосредственным шифрованием данных, злоумышленники крадут конфиденциальные сведения и угрожают опубликовать их в случае отказа заплатить выкуп. Таким образом, даже наличие резервной копии не застрахует жертву от необходимости вести переговоры.

У группировки Babyk есть еще одна особенность. Они сразу опубликовали список организаций, которые не будут атаковать. В него вошли больницы, некоммерческие организации, учебные заведения и малый бизнес. Однако, если НКО поддерживает движения LGBT или BLM, то она может стать целью киберпреступников.

Подробнее

04.02.2021 16:04:51

На сайте Costway обнаружены два конкурирующих веб-скиммера.

Один отображает посетителям фальшивую форму оплаты, а другой, опережая соперника, крадет вводимые в нее данные.

Специалисты Malwarebytes обнаружили сразу два веб-скиммера на французском портале компании Costway. Что особенно удивило исследователей, вредоносы конкурируют между собой. В то время как один из них отображает посетителям фальшивую форму оплаты, другой, опережая соперника, крадет вводимые в нее данные.

Costway – это крупный ритейлер Северной Америки и Европы. Сайты в Великобритании, Германии и Испании тоже оказались скомпрометированы. Все они работали на платформе Magento 1 – версии CMS, поддержка которой закончилась в середине прошлого года. Вредонос, который подгружал поддельную форму, был установлен на сайт через эксплойт. Код второго загружался из внешнего источника, размещенного в домене securityxx[.]top.

Исследователи предупредили компанию об инциденте, однако злоумышленники продолжают заражать сайты Costway. Оно и не удивительно: уязвимость в старой версии Magento никуда не денется, а количество посетителей одного только французского портала в декабре составило 180 тыс. человек.

Подробнее

04.02.2021 15:53:15

Новая версия трояна Agent Tesla обходит интерфейс антивирусного программного обеспечения Microsoft (ASMI).

По словам исследователей, на долю этого вредоноса приходится 20% всех вредоносных вложений, зафиксированных в декабре 2020 года.

Исследователи Sophos обнаружили новые версии трояна удаленного доступа Agent Тесла. Они нацелены на интерфейс защиты от вредоносных программ Windows (ASMI), используемый поставщиками безопасности для защиты компьютеров от атак. ASMI позволяет приложениям и службам интегрироваться с любым антивирусным продуктом, который присутствует на устройстве. В конечном итоге, Agent Tesla получает адрес функции AmsiScanBuffer и исправляет первые 8 байтов в памяти. Это заставляет AMSI возвращать ошибку (код 0x80070057), в результате чего все сканирование памяти оказывается недействительным.

Новая версия вредоноса также имеет дополнительные возможности развертывания клиента Tor. Это бесплатное программное обеспечение с открытым исходным кодом позволяет скрывать сообщения и команды киберпреступников. Также для эксфильтрации данных может использоваться приложение Telegram.

Количество приложений, из которых Agent Tesla крадет учетные данные, также было расширено. Раньше среди них были Apple Safari, Chromium, Google Chrome, Iridium, Microsoft IE и Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera, Opera Mail, Qualcomm Eudora, Tencent QQBrowser и Яндекс. Теперь к ним добавились FTPNavigator, WinVNC4, WinSCP и SmartFTP. Вредонос представляет серьезную опасность, особенно если учесть, что на долю этого вредоноса пришлось 20% всех вредоносных вложений электронной почты, зафиксированных в декабре 2020 года.

Подробнее

03.02.2021 16:33:07

Доходы операторов шифровальщиков в прошлом году выросли на 311%.

Аналитики, подготовившие отчет, отметили, что их оценка, вероятно, сильно занижена.

Исследователи аналитической фирмы Chainalysis сообщают, что доходы операторов вымогательского ПО в 2020 году составили порядка 350 млн. долларов. Аналитики опираются на данные зафиксированных транзакций на блокчейн-адресах киберпреступников.

При этом, итоговая сумма может быть значительно выше. Это связано с тем, что далеко не все жертвы вымогателей сообщают об инцидентах безопасности и переговорах с киберпреступниками. А вот в том, что активность операторов вымогательского ПО значительно выросла в прошлом году, сходятся все исследователи безопасности.

В своем отчете аналитики Chainalysis также отметили, что, 82% доходов от вымогательских операций проходило через пять криптобирж. Это свидетельствует о том, что в вопросах отмывания полученных незаконным путем средств, инструменты злоумышленников весьма ограничены. Правоохранительные органы же, заблокировав такой сайт, могут приостановить деятельность сразу нескольких вымогательских группировок.

Подробнее

03.02.2021 16:18:02

Сведения пользователей сайта эскорт-услуг опубликованы в открытом доступе.

База данных содержит имена, адреса электронной почты, хэшированные пароли и IP-адреса почти полумиллиона человек.

На одном из хакерских форумов опубликована база данных пользователей сайта EscortReviews.com. Последний позволяет эскорт-компаниям США и Мексики продвигать свои услуги, делиться фотографиями, контактной информацией с потенциальными клиентами. Затем клиенты могут публиковать отзывы о своих впечатлениях от конкретной услуги.

Опубликованная база данных содержит регистрационную информацию более чем 470 тыс. пользователей, включая их отображаемые имена, адреса электронной почты, хэшированные пароли MD5, IP-адреса, а в некоторых случаях имена учетных записей в Skype и дни рождения. ИБ-фирма Cyble опубликовала небольшую часть записей, последние из которых относятся к сентябрю 2018 года.

Судя по всему, утечка произошла из-за уязвимого движка форума vBulletin. На сайте был запущен vBulletin 3.8.9, подверженный ряду уязвимостей, которые могут позволить злоумышленникам взломать сайт. Поскольку сайт использует хэшированные пароли MD5, которые легко могут быть взломаны, пользователям рекомендуется изменить свои учетные данные на других площадках.

Подробнее

03.02.2021 16:06:48

Большинство офисных сотрудников публикуют персональные данные в соцсетях.

Этим они потенциально подвергают себя рискам онлайн-мошенничества, фишинга и других киберугроз.

Специалисты компании Tessian опубликовали результаты опроса среди 4 тыс. сотрудников различных компаний из Великобритании и США. Исходя из них, 90% офисных работников делятся персональной и конфиденциальной информацией в социальных сетях, подвергая тем самым себя и свою организацию рискам онлайн-мошенничества, фишинга и других киберугроз.

Другие цифры из отчета:
•    59% делятся именами и фотографиями своих детей;
•    72% упоминают даты дней рождений;
•    81% обновляют свой статус работы в социальных сетях;
•    84% публикуют сообщения в социальных сетях каждую неделю;
•    42% делают это каждый день.

Исследователи безопасности напомнили, что наличие легкодоступной личной информации в сети может использоваться для осуществления мошеннических атак. Также они отметили, что за последние полгода количество атак с применением социальной инженерии и атак с использованием интернет-мошенничества увеличилось на 15%.

Подробнее

03.02.2021 15:32:50

Эксперты Центра кибербезопасности ВЭФ прогнозируют грядущую кибер-пандемию.

Инициатива Future Series: Cybercrime 2025 должна стать ответом на возникающие риски, связанные с основными технологическими трендами.

Исследователи центра кибербезопасности Всемирного экономического форума полагают, что к 2025 году технологии нового поколения могут привести к глобальной кибер-пандемии. Речь идет о повсеместном подключении, искусственном интеллекте, квантовых вычислениях и новых подходах к управлению идентификацией и доступом, потенциальное влияние которых полностью не изучено. «Существует острая необходимость в реализации коллективных действий», - говорится на сайте ВЭФ.

В связи с этим, ВЭФ совместно с Оксфордской школой Мартина при Оксфордском университете запустил инициативу под названием Future Series: Cybercrime 2025. Ее задачей станет идентификация подходов, требуемых для управления возникающими рисками, связанными с основными технологическими трендами. В инициативе задействованы более 150 мировых экспертов из различных организаций, включая Palo Alto Networks, Mastercard и Europol.

В качестве дополнительных проблем эксперты ВЭФ называют глобальную нехватку мощностей и трудовых ресурсов, а также фрагментированный подход к вопросам кибербезопасности. Последнее приводит к взаимозависимости и запутанности технологий, которые не подойдут для предотвращения угроз и реагирования на инциденты в будущем.

Подробнее

02.02.2021 17:09:20

Зарубежным IT-компаниям будут предъявлены новые требования.

Администрация президента России совместно с правительством разработает дополнительные требования к зарубежным технологическим компаниям, осуществляющим деятельность в российском IT-сегменте. Одно из таких требований должно касаться открытия представительств этих компаний на территории России.

Поручение должно быть выполнено до 1 августа 2021 года. Ответственными за разработку требований назначены руководитель администрации президента Антон Вайно и председатель правительства Михаил Мишустин.

Инициатива об открытии представительств иностранных IT-компаний на территории страны принадлежит Общественной палате России. Там еще 22 января заявляли о намерении направить письмо в Госдуму с подобной просьбой.

Подробнее

02.02.2021 16:44:30

Киберпреступники заманивают компании сообщениями о поддельных кредитах.

Жертвы при этом сами вводят конфиденциальную и деловую информацию о владельце и бизнесе.

Киберпреступники рассылают фишинговые электронные письма, выдавая себя за кредитора Администрации малого бизнеса США (SBA). Таким образом они охотятся на американские компании, которые хотят подать заявку на получение кредита по программе защиты зарплаты (Paycheck Protection Program, PPP), чтобы сохранить свой бизнес во время пандемии COVID-19.

В фишинговых сообщениях злоумышленники выдают себя за президента World Trade Finance, делегированного кредитора SBA, который финансирует малый бизнес с помощью государственных кредитов на сумму до 5 млн. долларов. После нажатия на ссылку, встроенную в письмо, целевые объекты перенаправляются на страницу, где им предлагается ввести конфиденциальную деловую информацию, включая номер социального страхования владельца, имя и дату рождения, а также коммерческую информацию: стоимость операций, стоимость товаров и валовые доходы за 12 месяцев, предшествовавших пандемии.

Программа PPP позволяет предприятиям подать заявку на получение кредита SBA, предназначенного для сохранения рабочей силы несмотря на принятые во время пандемии ограничения. Она была запущена правительством США 3 апреля 2020 года в рамках закона CARES. Низкопроцентные кредиты будут прощены правительством, если использовать их для выплаты заработной платы.

Подробнее

01.02.2021 16:09:58

Хакеры атаковали инвестиционную организацию правительства Великобритании.

Им удалось получить доступ к заявлениям на получение грантов, сведениям экспертной оценки и зашифровать часть ресурсов.

UK Research and Innovation – автономная правительственная организация Великобритании, чья деятельность направлена на инвестирование в науку и исследования, стала жертвой вымогательского ПО. Злоумышленникам удалось получить доступ к заявлениям на получение грантов, сведениям экспертной оценки и зашифровать часть ресурсов.

Атака затронула два сервиса организации: информационный ресурс для подписчиков и внутреннюю платформу для экспертной оценки подразделений организации. В настоящее время оба ресурса отключены. Подробности нападения не раскрываются. На данный момент проверяется факт получения киберпреступниками доступа к персональным данным подписчиков сервисов.

Бюджет UKRI составляет более 6 млрд. фунтов стерлингов, получаемыми из Департамента по бизнесу, энергетике и промышленной стратегии. Расследованием инцидента занимаются Национальное агентство по борьбе с преступностью, Национальный центр кибербезопасности и Офис комиссара по информации.

Подробнее

01.02.2021 15:54:51

Личные данные клиентов каршеринга утекают в сеть.

Подобные инциденты могут приводить к краже клиентских аккаунтов и незаконному списанию средств.

Каршеринговые компании подвержены рискам утечки данных также, как и любые другие фирмы, обрабатывающие персональные сведения своих клиентов. Причины этого могут быть разные. Так, данные клиентов популярного в Пакистане приложения Bykea и немецкой компании Buchbinder оказались в открытом доступе из-за неправильной настройки серверов. В результате этого любой желающий мог получить доступ к именам, адресам, платежным и другим данным миллионов пользователей.

Индийский стартап Bounce допустил уязвимость в своем API, из-за чего злоумышленники смогли получить данные порядка 2 млн. клиентов. А в результате атаки на бразильский сервис Unidas, киберпреступникам удалось скомпрометировать и скопировать часть пользовательских данных.

Подобные инциденты могут приводить к краже клиентских аккаунтов и незаконному списанию средств. Так, в январе прошлого года москвича обвинили в совершении ДТП на арендованном автомобиле и побеге с места происшествия в Санкт-Петербурге. Для регистрации аккаунта в каршеринговой службе «Делимобиль» использовались фотография паспорта и водительское удостоверение. После проведения расследования претензии с подозреваемого были сняты, однако гражданину пришлось предоставить солидный пакет доказательств того, что в действительности он не мог совершить вменяемое ему правонарушение, а данные, которые использовались при регистрации, были ранее скомпрометированы.

Подробнее

01.02.2021 15:43:11

Администратор вымогателя Fonix сообщил о прекращении противозаконной деятельности.

В открытом доступе опубликованы главные ключи дешифрования, которые тем не менее работают только с некоторыми версиями вредоноса.

Один из пользователей Twitter, представившись администратором вымогательского ПО Fonix, также известного как Xinof и FonixCrypter, сообщил о прекращении группировкой киберпреступной активности. Он поделился ссылкой на архив «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.

В своем сообщении представитель Fonix отметил, что далеко не все члены группировки согласны с этим решением. В частности, он упомянул об администраторе Telegram-канала, который пытается обмануть людей, продавая поддельный исходный код программы. В этом же сообщении оператор отметил, что на самом деле исходный код вымогателя полностью уничтожен.

Результаты тестирования опубликованных файлов показали, что расшифровщик не позволяет жертве восстановить все файлы на системе одновременно, работает нестабильно и содержит очень запутанные инструкции. В то же время, главные ключи дешифрования работают лучше, однако только с некоторыми версиями вредоноса.

Подробнее

29.01.2021 16:10:23

Российские государственные приложения передают данные своих пользователей третьим лицам.

Большинство встроенных трекеров принадлежат Google, Facebook и Microsoft.

Компания Инфокультура опубликовала результаты исследования, согласно которому 88% российских государственных приложений передают данные своих пользователей третьим лицам. В 39 проанализированных приложениях из 44 есть минимум один встроенный сервис, который отслеживает данные и действия пользователей, а затем передает их сторонним компаниям чаще всего в Google, Facebook и Microsoft.

В исследовании фигурируют такие приложения как «Мои Документы.Онлайн», «Добродел», «Активный гражданин», «Парковки Москвы», «Услуги РТ», «Госуслуги Санкт-Петербурга», «Госуслуга Москвы», «Наш город», «Проверка чеков ФНС России», «МВД России» и «Госуслуги Югры».

Представитель Минцифры в ответ на результаты исследования заявил, что отслеживание действий пользователей – обычная практика и происходит в соответствии с требованиями информационной безопасности. Использование трекеров — это тоже стандартная практика. В упомянутых приложениях встроены пуш-уведомления, которые невозможно реализовать, например, без трекера Google Firebase. «Все данные пользователей в системе электронного правительства защищены, приватность сохраняется», — заявил представитель Минцифры России.

Подробнее

29.01.2021 15:34:32

Киберпреступники Хезболлы взломали как минимум 250 серверов.

Жертвами злоумышленников стали интернет-провайдеры в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестине.

Специалисты Clearsky обнаружили вредоносную операцию, продолжающуюся с начала 2020 года. Ответственной за ее проведение является киберпреступная группировка Lebanese Cedar, связанная с ливанской военизированной организацией Хезболла. В рамках нее злоумышленники взломали целый ряд операторов связи и интернет-провайдеров в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестинской национальной администрации.

Идентифицировать хакеров удалось благодаря допущенной ошибке: они повторно использовали вредоносные файлы, в частности троян удаленного доступа Explosive Remote Access Trojan, применяемый только этой группировкой. Целью злоумышленников, по мнению исследователей, являлся сбор чувствительной информации и баз данных. Взлом телекоммуникационных компаний мог предоставить доступ к записям звонков и персональным данным абонентов.

Для проникновения в сети своих жертв они использовали неисправленные уязвимости в серверах Atlassian и Oracle. С помощью эксплойтов они получали к ним доступ и устанавливали web-оболочки такие как ASPXSpy, Caterpillar 2, Mamad Warning и инструмент с открытым исходным кодом под названием JSP file browser. На данный момент специалистами обнаружены 254 зараженных сервера по всему миру.

Подробнее

29.01.2021 15:22:16

Инфраструктура вымогательской группировки NetWalker отключена.

Это стало результатом совместных усилий правоохранительных органов из США и Болгарии.

Инфраструктура одной из самых активных на сегодняшний день вымогательских программ NetWalker отключена благодаря совместным усилиям правоохранительных органов из США и Болгарии. Первые предъявили обвинения жителю Канады, предположительно получившему от зараженных компаний 27,6 млн. долларов, а вторые изъяли сервер, использовавшийся для хостинга портала NetWalker в даркнете.

Гражданин Канады является жителем города Гатино. Предположительно, он арендовал у киберпреступной группировки вредоносный код и являлся партнером программы. Изъятый сервер служил хостингом для ресурса, на котором публиковались украденные у жертв NetWalker данные, а также использовался для хостинга страниц связи с операторами вымогательского ПО и переговоров по поводу выкупа.

NetWalker занимает пятую позицию в рейтинге самых прибыльных программ-вымогателей после Ryuk, Maze, Doppelpaymer и Sodinokibi. В прошлом году выручка операторов программы составила 46 млн. долларов. По данным властей США, жертвами группировки стали как минимум 305 организаций в 27 странах.

Подробнее

28.01.2021 16:10:54

Новый фишинговый инструмент может создавать поддельные страницы в режиме реального времени.

LogoKit уже был замечен на более чем 700 уникальных доменах за последний месяц.

Исследователи безопасности из RiskIQ рассказали о новом фишинговом инструменте, получившем название LogoKit. Он способен изменять логотипы и текст на мошеннической странице в режиме реального времени, чтобы адаптироваться к целевым жертвам. Специалисты заявили, что уже зафиксировали установки LogoKit на более чем 300 доменах за последнюю неделю и более чем 700 за последний месяц.

LogoKit полагается на отправку пользователям фишинговых ссылок, содержащих их адреса электронной почты. Как только жертва переходит на URL-адрес, инструмент извлекает логотип компании из стороннего сервиса. В частности, за последний месяц LogoKit имитировал страницы входа для SharePoint, Adobe Document Cloud, OneDrive, Office 365 и нескольких криптовалютных бирж. Электронная почта жертвы при этом автоматически заполняется в соответствующем поле. Если пользователь вводит свой пароль, LogoKit выполняет AJAX-запрос, отправляя учетные данные цели во внешний источник.

Встраиваемый набор функций JavaScript, который использует новый инструментарий, может быть добавлен в любую универсальную форму входа в систему или сложные HTML-документы. Это отличается от стандартных фишинговых наборов, большинство из которых нуждаются в пиксельных шаблонах, имитирующих страницы аутентификации компании. Модульность комплекта позволяет операторам LogoKit нацеливаться на любую компанию и создавать десятки или сотни атак в неделю против широкого набора целей. Кроме того, поскольку LogoKit представляет собой набор файлов JavaScript, его ресурсы также могут размещаться на общедоступных доверенных сервисах, таких как Firebase, GitHub, Oracle Cloud и других, большинство из которых будут занесены в белый список внутри корпоративных сред.

Подробнее

28.01.2021 16:03:04

Злоумышленники использовали аккаунт умершего сотрудника для заражения вредоносным ПО.

Учетная запись администратора позволяла им целый месяц скачивать данные.

Один из клиентов ИБ-фирмы Sophos стал жертвой хакерской атаки. Расследование специалистов показало, что злоумышленникам удалось получить доступ к аккаунту администратора домена Active Directory, который умер за три месяца до начала операции. После того, как хакеры целый месяц незаметно скачивали данные, они заразили сеть вымогательским ПО Nefilim, которое удалось быстро обнаружить и обезвредить.

Точкой входа для киберпреступников стала уязвимая версия интерфейса, обеспечивающего удаленный доступ к приложениям и виртуальным рабочим столам, а именно Citrix Storefront 7.15 CU3. В нем было обнаружено сразу несколько серьезных ошибок: CVE-2019-11634, CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283. Злоумышленники получили удаленный доступ к сети с помощью эксплойта, а затем собрали сведения об инфраструктуре при помощи Mimikatz и Cobalt Strike. Таким образом они обнаружили заброшенный аккаунт администратора домена. Шифровальщик Nefilim же был внедрен в сеть с помощью системы интерфейсов Windows Management Instrumentation.

Nefilim является вымогательским ПО, которое попало в поле зрения ИБ-экспертов в 2019 году. Операторы вредоноса используют стратегию двойного вымогательства, то есть крадут данные жертвы перед непосредственным шифрованием, а затем угрожают их публикацией. С этой целью они создали специальный сайт — Corporate Leaks. Среди крупных жертв Nefilim оказались компании Whirlpool и Orange.

Подробнее

28.01.2021 15:38:56

Персональные данные 66 тыс. пользователей VIPGames утекли в сеть.

Конфиденциальные сведения оказались в открытом доступе из-за неправильной конфигурации облачного хранилища.

Игровая онлайн-платформа VIPGames.com непредумышленно скомпрометировала персональные данные 66 тыс. своих пользователей. Незащищенное облачное хранилище, насчитывающее 30ГБ данных, были обнаружены участниками исследовательского проекта WizCase.

В открытом доступе оказалось 23 млн. записей, содержащих имена, адреса электронной почты пользователей, тип устройства, IP-адрес, хеш пароля, ID Facebook, Twitter или Google, а также детали внутриигровых транзакций, размеры ставок и даже причины, по которым пользователю был заблокирован доступ, если такой факт имел место быть. Основную угрозу для жертв утечки в этом случае представляют вероятные мошеннические и фишинговые атаки. На данный момент не сообщается получал ли кто-то неавторизованный доступ к базе данных.

VIPGames.com – это социальная онлайн-платформа, которая предоставляет доступ к обширной коллекции настольных и карточных игр. Android-клиент VIP Games был скачан свыше 100 тысяч, а ежедневная аудитория насчитывает более 20 тыс. геймеров.

Подробнее

28.01.2021 15:22:00

Правоохранительным органам удалось отключить Emotet.

На сегодняшний день он считается самым опасным ботнетом.

Правоохранительным органам удалось захватить инфраструктуру и прекратить вредоносную активность ботнета Emotet. В операции приняли участие специалисты из США, Великобритании, Франции, Нидерландов, Германии, Литвы, Канады и Украины. Вредоносная сеть включала сотни серверов по всему миру, отвечающих за различные ее функции.

Европол планирует использовать захваченную инфраструктуру для рассылки жертвам Emotet модуля, который удалит вредоносное ПО. Старт этой операций запланирован на 25 марта. В ходе следствия также удалось установить личности членов преступной группировки, ответственной за развитие сети, двое из которых были задержаны сотрудниками Департамента Киберполиции Национальной полиции Украины. Злоумышленникам грозит до 12 лет лишения свободы.

Впервые деятельность Emotet была обнаружена в 2014 году. Изначально вредонос представлял собой банковский троян, который затем эволюционировал в ботнет. Ответственной за его использование считается киберпреступная группа TA542. Жертвы Emotet сталкиваются с атаками троянов QakBot и Trickbot, которые в свою очередь загружают вымогательское ПО ProLock, Egregor, Ryuk и Conti.

Подробнее

27.01.2021 15:42:40

Уязвимость в утилите Sudo 10 лет позволяла получить права суперпользователя в Linux.

Она была устранена только сегодня, 27 января, в версии Sudo 1.9.5p2.

Специалисты фирмы Qualys две недели назад обнаружили уязвимость в утилите Sudo, которая предназначена для делегирования администраторами Linux ограниченных прав суперпользователя. Она получила название Baron Samedit и идентификатор CVE-2021-3156. Ее эксплуатация позволяет злоумышленнику с доступом к учетной записи с низкими привилегиями получить права суперпользователя, даже если учетная запись отсутствует в конфигурационном файле, контролирующем пользователей.

Уязвимость переполнения буфера связана с ошибкой синтаксического анализа командной строки. Утилиту sudoedit можно запустить с параметрами -s или -i, установив флаг, указывающий, что режим оболочки включен. Поскольку команда на самом деле не выполняется, Sudo не экранирует спецсимволы с помощью обратной косой черты, как должно быть. Возникает несоответствие, которое позволяет проэксплуатировать CVE-2021-3156.

Судя про всему, ошибка существует в Sudo уже 10 лет. Специалистам Qualys удалось разработать варианты эксплоитов для Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) и Fedora 33 (Sudo 1.9.2). Потенциально же все версии утилиты с июля 2011 года могут быть взломаны.

Подробнее

27.01.2021 15:07:26

Обнаружена новая волна фишинговых атак с редкими методами обфускации вредоносного кода.

Злоумышленники используют шифр подстановки на базе WOFF и Telegram-каналы для связи.

Пользователи в Европе, Северной и Южной Америке подверглись новой волне фишинговых атак, сообщает FireEye Email Security. В ней киберпреступники используют редкие методы обфускации вредоносного кода, а именно шифр подстановки на базе WOFF и Telegram-каналы для связи.

Для рядового пользователя атака выглядит особенно ничем не примечательно. Жертва получает электронное письмо, замаскированное под уведомление от службы экспресс-доставки DHL. В нем содержится ссылка на поддельный сайт с формой, куда должны вводиться данные банковской карты, которые затем отправляются на подконтрольные киберпреступникам адреса электронной почты и Telegram-каналы.

Исследователи же отмечают весьма редкий метод обфускации исходного кода фишинговой страницы. Он содержит надлежащие строки и действительные теги, однако в нем также содержится текст, закодированный с помощью шифра подстановки и напоминающий бессмысленный набор символов. Декодирование текста осуществляется с помощью файла шрифтов Web Open Font Format во время загрузки страницы внутри каскадных таблиц стилей (CSS). Этот метод встречается редко, так как для шифрования и дешифрования HTML- текстов обычно используется JavaScript.

Подробнее

27.01.2021 14:59:27

Двойное вымогательство стало обычной практикой среди киберпреступников.

Десятки вымогательских группировок опубликовали 550 записок с требованиями о выкупах в 2020 году.

Стратегия двойного вымогательства стала популярной у киберпреступников в 2020 году. В рамках нее операторы вымогательского ПО не только шифруют данные жертвы, но и крадут их перед этим, а затем угрожают публикацией на своих открытых страницах. Всего специалистами компании Digital Shadows было обнаружено 550 подобных сообщений от десятков вымогательских группировок.

Само вымогательское ПО стало одной из наиболее популярных угроз. Более половины клиентов компании CrowdStrike столкнулись с необходимостью устранения последствий подобных нападений. Большинство атак вымогателей приходится на организации в Северной Америке, причем в 75% случаев хакерам удается зашифровать данные своих жертв.

В 2020 году 84% всех атак с использованием вымогательского ПО пришлось на группировки Maze, Egregor, Conti, Sodinokibi, DoppelPaymer и Netwalker. Причем первые две, по мнению специалистов безопасности, представляют собой одно и то же. В октябре группировка Maze сообщила о свертывании своих операций, однако с Egregor их связывают одинаковые записки с требованиями о выкупе, одинаковые названия сайтов платежей и большая часть кода.

Подробнее

26.01.2021 16:30:24

Palfinger подвергся масштабной кибератаке.

В настоящее время с компанией нельзя связаться по электронной почте, она не может получать или обрабатывать запросы, заказы, отгрузки и счета-фактуры.

Компания Palfinger, которая является ведущим производителем кранов и подъемников, стала жертвой кибератаки, нарушившей работу ИТ-систем и бизнес-операций. На официальном сайте в настоящий момент можно лишь увидеть сообщение, что масштабы и последствия этого нападения в настоящее время не поддаются оценке, но предпринимаются интенсивные усилия по поиску решения. Контактировать с фирмой возможно только по телефону, а ее представители просят пока не размещать новых заказов.

В уведомлении безопасности также говорится, что в атаке пострадали системы планирования корпоративных ресурсов Palfinger и большая часть филиалов по всему миру. Подробностей о самом нападении или ответственных за его совершение пока нет.

Подробнее

26.01.2021 16:16:47

Личная информация пользователей BuyUcoin могла быть скомпрометирована.

Исследователь безопасности обнаружил данные 325 тыс. клиентов криптовалютной биржи на форуме группировки ShinyHunters.

Индийское издание Inc42 со ссылкой на исследователя безопасности Раджшекхара Раджахарии сообщает о компрометации личных данных пользователей криптовалютной биржи BuyUcoin. Специалист обнаружил украденные сведения на форуме группировки ShinyHunters.

Среди этих данных оказались имена, адреса электронной почты, номера телефонов, записи транзакций в криптовалюте и банковские реквизиты 325 тыс. пользователей BuyUcoin. Информация поделена на три архива, которые отмечены датами 1 июня, 14 июля и 5 сентября 2020 года.

В BuyUcoin ранее сообщали об инциденте безопасности, однако факт компрометации пользовательских данных отрицали. В официальном заявлении «после тщательной проверки» компания констатировала, что средства клиентов не пострадали.

Подробнее

26.01.2021 16:04:34

Северокорейские хакеры атакуют исследователей безопасности через социальные сети.

Злоумышленники, судя по всему, используют уязвимость нулевого дня в 64-разрядных версиях Windows 10, Windows Server 2019 и Windows Server 2016.

Группа анализа угроз Google опубликовала отчет, согласно которому хакеры, поддерживаемые правительством Северной Кореи, нацелились на исследователей безопасности. Киберпреступники используют поддельные профили в социальных сетях, чтобы создать фальшивую личность. С помощью этих учетных записей они затем связываются со своими целями через Twitter, LinkedIn, Telegram, Discord, Keybase и электронную почту.

После установления контакта субъекты угроз спрашивают, хотят ли специалисты сотрудничать в исследовании уязвимостей или разработке эксплойтов. Жертве отправляется проект Visual Studio, содержащий вредоносную скрытую библиотеку DLL с именем «vcxproj.suo». Команда PowerShell проверяет, работает ли пользователь под управлением 64-разрядных версий Windows 10, Windows Server 2019 и Windows Server 2016. Если да, то вредонос выполняется через rundll32.exe. В Google утверждают, что эта библиотека является пользовательским бэкдором, введенным в память для связи с командным сервером злоумышленников.

Исследователи, которые пострадали от действий хакеров, использовали полностью исправленные сборки Windows 10 с последней версией Google Chrome. Это может указывать на то, что субъекты угроз использовали уязвимости нулевого дня. Конечная цель этих атак точно не установлена, однако, скорее всего, злоумышленников интересуют наработки исследователей в области уязвимостей, которые еще не были официально раскрыты и соответственно исправлены. На текущий момент аналитики Google обнаружили несколько аккаунтов в Twitter, относящихся к этой хакерской кампании. Среди них: br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.

Подробнее

25.01.2021 16:55:28

Заработал сайт об уязвимостях во вредоносном ПО.

На MalVuln можно ознакомиться с подробными техническими описаниями уязвимостей и способами их эксплуатации.

ИБ-эксперт Джон Пэйдж запустил сайт об уязвимостях во вредоносном ПО. На MalVuln.com, по задумке создателя, будут публиковаться подробные технические описания уязвимостей и способы их эксплуатации. На данный момент он опубликовал 45 ошибок, найденных только им, в новых и старых вредоносных программах. В дальнейшем он хочет привлечь к сотрудничеству и других специалистов.

Опубликованные данные должны помочь специалистам отключать и удалять программы злоумышленников. Пэйдж считает, что такой портал будет полезен в рамках реагирования на инциденты безопасности.

Однако, не все коллеги с ним согласны. Публикация уязвимостей во вредоносном ПО затрагивает ту же тему, что и рассказ об ошибках в легитимных приложениях. И в том, и в другом случае информацией могут воспользоваться киберпреступники: устранить баги, улучшить свои программы. Косвенно это может усложнить работу ИБ-специалистов, которые пользуются найденными уязвимостями в целях расследования киберинцидентов.

Подробнее

25.01.2021 16:43:24

Техник компании по домашней безопасности шпионил за клиентами.

Он признал себя виновным в компьютерном мошенничестве и съемке женщин без их согласия.

В США судят сотрудника компании ADT, специализирующейся на обеспечении безопасности домов и офисов. В ходе заседания Окружного суда США Телесфоро Авилес признался, что взламывал домашние камеры и шпионил за клиентами фирмы. За более чем четыре года он проделал это порядка 9600 раз.

Как рассказал подсудимый, его жертвами становились привлекательные женщины из Техаса. В общей сложности, он успел пошпионить за 220 клиентками ADT и их личной жизнью.

Недовольные клиенты подали иски в адрес компании в связи с нарушением безопасности. Спустя пять месяцев, в октябре 2020 года, были предъявлены обвинения технику. За совершенные действия ему грозит до 5 лет лишения свободы.

Подробнее

25.01.2021 16:38:48

Группировка вымогателей Avaddon использует DDoS-атаки, чтобы заставить своих жертв платить.

Злоумышленники планируют атаковать сайт жертвы до тех пор, пока с ними не свяжутся для переговоров о выкупе.

С конца прошлого года группировки вымогателей начали использовать DDoS-атаки против сети или веб-сайта жертвы в качестве дополнительного инструмента оказания давления. В то время такой тактикой пользовались SunCrypt и RagnarLocker. Теперь же к ним присоединились и злоумышленники из Avaddon.

Когда компания подвергается атаке вымогателей, некоторые жертвы восстанавливают данные из резервных копий и не утруждают себя контактом с злоумышленниками. DDoS-атаки же вынуждают их все равно переходить к переговорам.

При распределенной атаке типа «отказ в обслуживании» (DDoS) субъект угрозы наводняет веб-сайт или сетевое соединение большим количеством запросов, чем он может обработать, что делает службу недоступной. Злоумышленники планируют атаковать сайт жертвы до тех пор, пока с ними не свяжутся для переговоров о выкупе.

Подробнее

25.01.2021 15:44:21

SonicWall и ее продукты взломаны при помощи уязвимости нулевого дня.

Как сообщает фирма, затронуты NetExtender VPN и Secure Mobile Access.

Производитель файрволов и VPN-продуктов, компания SonicWall, стала жертвой атаки киберпреступников. Как предполагают сами представители фирмы, злоумышленикам удалось использовать 0-day уязвимость в продуктах SonicWall, обеспечивающих защищённый удалённый доступ.

На данный момент установлено, что затронуты были NetExtender VPN-клиент версий 10.x, который используется для подключения к SMA 100 и файрволам SonicWall, а также Secure Mobile Access версии 10.x, на которой работают SMA 200, SMA 210, SMA 400, SMA 410 и SMA 500v. Судя по всему, взломан был также и принадлежащий компании репозиторий GitLab, однако это пока никак не прокомментировано.

Организациям, использующим указанные продукты, рекомендовано включить мультифакторную аутентификацию, отключить доступ NetExtender к файрволу, ограничить доступ к пользователям и администраторам со стороны публичных IP-адресов и настроить «белые» списки для прямого доступа к SMA. Компания обещает регулярно уведомлять о новых подробностях атаки по мере поступления информации.

Подробнее

22.01.2021 17:00:06

Вредоносная кампания LuckyBoy направлена на пользователей iOS, Android и XBox.

Вредоносное ПО запрограммировано для перенаправления устройств на фишинговые страницы и поддельные обновления программного обеспечения.

Пользователи iOS, Android и Xbox становятся жертвами новой вредоносной кампании, получившей название LuckyBoy. По данным специалистов MediaTrust, начиная с декабря 2020 года злоумышленникам удалось заразить более 10 автоматизированных систем покупки (Demand-Side Platform, DSP). Большая часть жертв сосредоточена в Европе.

Злоумышленники также занимаются хищением информации о зараженных устройствах. Вредоносное ПО собирает такие данные, как код страны, количество ядер ЦП, уровень заряда батареи, текущий домен, плагины, наличие web-драйвера, различную графическую информацию и наличие сенсорного ввода. В дальнейшем эти сведения могут быть использованы для других кибератак.

LuckyBoy в состоянии определять, присутствуют ли на устройстве защитные средства, среды тестирования и активные отладчики. Если они есть, то вредонос попросту не запустится. В ином же случае пользователь будет перенаправляться на различный вредоносный контент, включая фишинговые страницы и поддельные обновления программного обеспечения.

Подробнее

22.01.2021 16:32:35

Украдены учетные данные 2 млн. премиум-пользователей MyFreeCams.

База данных содержит имена пользователей, адреса электронной почты, пароли в виде обычного текста и баланс каждой учетной записи.

Хакер продает базу данных с учетными данными 2 млн. высокооплачиваемых пользователей сервиса потокового видео и чата для взрослых MyFreeCams. Продавец говорит, что база данных была получена недавно, после успешной атаки SQL-инъекции, и что она может быть использована для кражи средств премиум-пользователей.

Украденные сведения содержат имена пользователей, адреса электронной почты, пароли в виде обычного текста и баланс каждой учетной записи. Продавец предлагал 10 тыс. записей за 1500 долларов в биткоинах. По его словам, эти записи гарантируют прибыль не менее 10 тыс. долларов в токенах, которые используются на площадке для разблокировки дополнительных функций. По данным издания CyberNews, биткоин-кошелек продавца зафиксировал 45 транзакций, которые принесли ему 21 тыс. долларов в криптовалюте по состоянию на утро 22 января.

MyFreeCams – это популярная платформа для видео-чатов для взрослых с десятками миллионов пользователей. Сервис предоставляет бесплатный доступ в чаты большого количества моделей. Администрация платформы подтвердила подлинность украденных данных.

Подробнее

22.01.2021 16:21:51

Киберпреступники украли как минимум 1 тыс. логинов и паролей от Office 365.

Они сохранили эти сведения в общедоступном файле, который может быть найден при помощи поиска Google.

Неустановленные киберпреступники организовали масштабную фишинговую кампанию, в результате которой им удалось украсть как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365. Жертвами злоумышленников, в основном, стали компании в сфере строительства, энергетики и информационных технологий.

Фишинговую операцию проанализировали специалисты Check Point и Otorio. По их данным, хакеры взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Хорошая репутация скомпрометированных сайтов позволила успешнее обманывать пользователей. На электронную почту жертве приходило письмо с вложенным HTML-файлом. При его открытии появлялась страница поддельной формы входа в учетную запись Office 365 и сообщение, что для прочтения файла необходимо авторизоваться. Фоновый JavaScript проверял подлинность введенных данных и отправлял их киберпреступникам.

Занятно, что хакеры по ошибке сделали украденные сведения общедоступными. Они разместили данные в публично доступном файле, который смогла проиндексировать поисковая система Google.

Подробнее

21.01.2021 16:12:31

Рынок кибербезопасности в текущем году ожидает 10% рост.

Несмотря на рост инвестиций, количество утечек и скомпрометированных данных в прошлом году достигло рекордного уровня.

Исследователи компании Canalys составили прогноз, согласно которому рынок кибербезопасности в 2021 году увеличится на 10% при сохранении текущих тенденций. Общие расходы составят 60,2 млрд. долларов. При самом худшем раскладе, этот рост составит всего 6%.

Специалисты полагают, что наибольшие инвестиции будут вкладываться в защиту web и электронной почты. Увеличение расходов на анализ уязвимостей составит 11%. Затраты на защиту конечных точек и решения для управления доступом к учетным данным вырастут на 10,4%. Инвестиции в сетевую безопасность и защиту данных, по мнению исследователей, также вырастут, но в меньшем объеме.

Также они отметили, что, несмотря на увеличение затрат на кибербезопасность, количество утечек и в прошлом году достигло рекордного уровня. Общее количество скомпрометированных записей, по их подсчетам, составило 12 млрд. Основными причинами этого исследователи признали фишинговые кампании и неправильно настроенные облачные базы данных.

Подробнее

21.01.2021 15:47:53

Данные пользователей Nitro PDF бесплатно распространяются на теневых площадках.

База данных содержит полные имена людей, bcrypt-хеши паролей, имена компаний и IP-адреса.

Данные пользователей Nitro PDF, а именно их полные имена и хэшированные пароли, опубликованы на одном из хакерских форумов группировкой ShinyHunters. Объем сведений составляет 14 ГБ и включает 77 млн. записей. Помимо информации о частных пользователях в скомпрометированной базе присутствуют данные корпоративных клиентов.

Группировка распространяет эти данные бесплатно. Уже сейчас пользователи могут проверить были ли скомпрометированы их сведения при помощи сервиса Have I Been Pwned. Как всегда, в случае компрометации подобных данных специалисты безопасности предостерегают о высокой вероятности скорых фишинговых атак.

Nitro PDF – это приложение для создания, редактирования подписи PDF-файлов. Его разработчики также предоставляют облачный сервис для совместной работы над документами. На данный момент лицензию приложения приобрело порядка 1,8 млн. человек, а также 10 тыс. корпоративных клиентов.

Подробнее

21.01.2021 15:38:50

Android-версия приложения «Госуслуги Москвы» содержала уязвимость.

В случае ее эксплуатации злоумышленники могли получить доступ ко всей информации аккаунта жертвы.

Исследователи из компании Postuf обнаружили уязвимость в Android-версии приложения «Госуслуги Москвы». При ее эксплуатации потенциальный злоумышленник мог получить доступ к аккаунту пользователя, располагая только его номером телефона.

В руки киберпреступников в этом случае попадают ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях. Все эти сведения можно было отредактировать незаметно для пользователя. С помощью номера полиса ОМС дополнительно можно получить доступ к медицинским данным жертвы.

После обнаружения уязвимости сотрудники Postuf направили запрос в Департамент информационных технологий Москвы. На данный момент уязвимость признана исправленной.

Подробнее

20.01.2021 16:18:26

Данные ИБ-фирмы Malwarebytes затронуты инцидентом с SolarWinds.

Киберпреступникам удалось проникнуть в системы за счёт эксплуатации продукта, входящего в состав Office 365.

Компания Malwarebytes сообщила, что ее системы также были затронуты в результате атаки группировки UNC2452 на поставщика ПО SolarWinds. ИБ-фирма не использует софт, который был модифицирован киберпреступниками в результате нападения. Проникнуть во внутреннюю сеть злоумышленникам удалось за счёт эксплуатации продукта, входящего в состав Office 365 и предназначенного для защиты электронной почты.

В Malwarebytes провели расследование и установили, что киберпреступникам удалось получить доступ к ограниченным данным. «После тщательной проверки нам удалось выявить, что киберпреступники получили доступ лишь к ограниченному количеству внутренних электронных писем», – сообщил Марчин Клезински, гендиректор фирмы. При этом продукты Malwarebytes не пострадали.

Напомним, что в декабре 2020 года IT-провайдер SolarWinds и его клиенты подверглись хакерской атаке. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы, объекты здравоохранения и коммерческие структуры. Спецслужбы США обвинили в нападении российских киберпреступников.

Подробнее

20.01.2021 16:12:15

Мессенджеры Signal, Google Duo, Facebook Messenger позволяли шпионить за пользователями.

Уязвимости в популярных приложениях позволяли злоумышленникам прослушивать окружающие устройство звуки еще до ответа на звонок.

Исследовательница из Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила уязвимости в популярных приложениях для видеоконференций: Signal, Google Duo, Facebook Messenger, JioChat и Mocha. На данный момент они исправлены, однако до этого они позволяли злоумышленникам прослушивать окружающие устройство звуки еще до ответа на звонок.

Уязвимость в Signal позволяла соединять звонки путем отправки вызывающим устройством сообщения без участия абонента. В Google Duo вызываемое устройство могло отправлять вызывающему устройству пакеты данных до того, как абонент ответит на звонок. Баг в Facebook Messenger позволял соединять звонки до того, как абонент ответит. Также уязвимости позволяли без ведома пользователя отправлять аудио в JioChat и аудио/видео в Mocha.

Всего исследовательница проверила семь приложений. В Telegram и Viber подобных багов обнаружено не было.

Подробнее

20.01.2021 16:01:31

Китайские хакеры похищают данные пассажиров авиакомпаний.

В некоторых случаях злоумышленники оставались внутри скомпрометированных сетей в течение трех лет.

NCC Group и ее дочерняя компания Fox-IT опубликовали отчет о деятельности китайской хакерской группировки Chimera. Ее члены уже несколько лет атакуют авиационную отрасль с целью получения данных о пассажирах и для отслеживания передвижения ряда лиц. Исследователи проанализировали инциденты безопасности в период с октября 2019 по апрель 2020 года. В их рамках злоумышленники были нацелены на полупроводниковые и авиационные компании в разных географических районах. А в случае некоторых жертв злоумышленники оставались внутри скомпрометированных сетей в течение трех лет.

Типичный операция Chimera обычно начинается со сбора учетных данных пользователей, попавших в открытый доступ. Эти сведения используются для входа в различные системы жертвы, например, электронную почту. Оттуда операторы Chimera ищут регистрационные данные для других корпоративных систем. Оказавшись во внутренней сети, злоумышленники обычно развертывают систему тестирования на проникновение Cobalt Strike, с помощью которой они перемещаются в боковые области как можно большего числа систем. Как только они нашли и собрали данные, которые им были нужны, информация загружается в общедоступные облачные сервисы, такие как OneDrive, Dropbox или Google Drive, так как трафик этих сервисов не будет проверен или заблокирован внутри скомпрометированных сетей.

Хотя в отчете NCC и Fox-IT не было предположений о том, почему хакеры нацелились на авиационную отрасль и данные пассажиров. Однако, как показывает практика, хакерские группы, спонсируемые государством, часто нацеливаются на авиакомпании, гостиничные сети и телекоммуникационные компании, чтобы получить данные, которые они могли бы использовать для отслеживания перемещений и коммуникаций интересующих их лиц.

Подробнее

19.01.2021 16:26:55

Сроки перехода российских объектов КИИ на отечественное ПО могут быть ускорены.

Минцифры подготовило проект указа президента РФ о перенесении сроков на год.

Министерство цифрового развития, связи и массовых коммуникация РФ 29 октября 2020 года разместило для публичного обсуждения проект приказа президента о переходе российских объектов критической информационной инфраструктуры на отечественное ПО и оборудование. В изначальной версии это планировалось осуществить до 1 января 2024 года для софта и до 1 января 2025 года для железа.

В новой версии проекта приказа Минцифры сдвинуло эти сроки на год. Ускорение перехода, по словам представителей ведомства, связано с предложениями, поступившими в рамках обсуждения проекта.

Это также может быть связано с недавней атакой на SolarWinds. Напомним, что в результате нападения на поставщика ПО Orion, были затронуты десятки правительственных и частных организаций, в основном, в США. Из-за атаки на одного поставщика пострадали технологические, электроэнергетические, нефтяные и производственные компании.

Подробнее

19.01.2021 16:13:32

В хакерской атаке на сеть постаматов PickPoint личные данные клиентов не пострадали.

Продаваемая в интернете база данных, по словам компании, содержит фэйковую информацию.

В декабре 2020 года сеть PickPoint пострадала от хакерской атаки. Неустановленные киберпреступники напали на провайдеров, которые обеспечивают интернетом постаматы компании, около 25% которых пострадали в результате атаки.

После этого в ряде СМИ появились сообщения, что злоумышленники получили доступ к персональным данным 4 млн. клиентов PickPoint и продают эти сведения в даркнете. Также появились сообщения, что за 1 тыс. долларов киберпреступники продают доступ в скомпрометированную сеть.

Представители PickPoint опровергли слухи об утечке персональных данных клиентов. «PickPoint не имеет в своей базе данных о ФИО, днях рождения и тем более каких-либо персональных паролей пользователей». В результате декабрьской атаки пострадали 198 заказов, которые к этому времени компенсированы клиентам в полном объеме, а другие последствия были устранены еще в декабре прошлого года.

Подробнее

19.01.2021 15:56:15

Госдума РФ и Роскомнадзор намерены разработать методы противодействия онлайн-мошенничеству.

Пользователям хотят предоставить инструменты, с помощью которых можно будет отправлять жалобы на подозрительные или вредоносные сайты.

Представители Государственной Думы РФ заявили о своем намерении ввести новое регулирование, которое позволит помечать подозрительные и откровенно вредоносные интернет-ресурсы. Соответствующий проект должен быть разработан совместно с Роскомнадзором.

В частности, Антон Горелкин, член комитета Государственной думы по информационной политике, предложил разработать специальный виджет для браузеров, с помощью которого можно будет отправлять жалобы на подозрительные сайты. Также он указал на возможность классификации веб-ресурсов на основе искусственного интеллекта.

Специалисты ИБ сразу предположили, что подобной системой можно злоупотреблять. Даже они не всегда могут быстро и точно определить является ли ресурс мошенническим, что уж говорить об обычных пользователях. Другая инициатива, а именно верификация пользователей виртуальных номеров телефонов, встретила большее одобрение. Это, по мнению специалистов, усложнит регистрацию вредоносных сайтов и скажется на деятельности телефонных мошенников.

Подробнее

18.01.2021 15:59:28

Крупнейшие утечки данных учреждений финансовой сферы в 2020 году.

Паспортные данные, номера телефонов, электронных кошельков и суммы займов 12 млн. россиян были выставлены на продажу.

В 2020 году в России произошла крупнейшая утечка данных в микрофинансовом секторе. В даркнете было размещено объявление о продаже конфиденциальных сведений 12 млн. граждан, осуществляющих займы в период с 2017 по 2019 год. В числе эти сведений: паспортные данные, номера телефонов, электронных кошельков и суммы займов. Продавец также предоставил пробник с информацией 1800 россиян.

Не только Россия отличилась в прошлом году крупными инцидентами в финансовой сфере. Так, Postbank в ЮАР, из-за умышленных действий своих сотрудников, был вынужден заменить 12 млн. карт своих клиентов. Это стоило организации 58 млн. долларов. При этом у клиентов банка злоумышленникам удалось украсть 3,3 млн. долларов. Также данные граждан ЮАР пострадали в результате фишинговой атаки на бюро кредитных историй Experian. Выдавая себя за клиента компании, злоумышленнику удалось получить доступ к персональным данным 24 млн. человек и сведениям 793 тыс. организаций. Украденную информацию киберпреступник планировал использовать в маркетинговых целях.

Основной проблемой крупных утечек остается неправильная настройка серверов, где хранятся данные. Из-за этой проблемы пострадали, например, клиенты латвийской страховой компании IIZI и пользователи китайского кредитного приложения Moneed. В первом случае скомпрометированы были 16 млн. строк данных, содержащих учетные и персональные сведения страхователей автомобилей. Во втором, имена и номера телефонов 389 млн. жителей Индии. В обоих случаях жертвам грозит стать целью мошеннических и фишинговых атак.

Подробнее

18.01.2021 15:54:09

Закрывается крупнейшая в даркнете площадка по продаже скомпрометированных платежных данных.

Причиной закрытия Joker's Stash может быть операция, проводимая правоохранительными органами.

Joker's Stash – крупнейшая на данный момент площадка по продаже скомпрометированных данных сообщила о своем намерении закрыться 15 февраля 2021 года. Об этом на русскоязычном форуме сообщил оператор сайта под ником JokerStash.

Причина закрытия не сообщается, однако это может быть связано с операцией, проводимой правоохранительными органами. ФБР в декабре прошлого года изъяли внешний прокси-сервер сайта, в результате чего его часть была отключена. Также пользователи стали жаловаться на качество публикуемых данных и снижение их объема.

Оператор пожелал пользователям сайта не потерять себя в погоне за легкими деньгами. «Помните, что даже все деньги мира не смогут сделать вас счастливыми, и что самые ценные вещи в этой жизни являются бесплатными», - написал JokerStash. Это сообщение выглядит интересным, так как площадка является одним из «пионеров» биткойна, стоимость которого за последнее время стала рекордной. Специалисты из Gemini Advisory предположили, что площадка просто уже принесла киберпреступнику достаточно денег, чтобы спокойно «уйти на пенсию».

Подробнее

18.01.2021 15:30:11

Киберпреступники используют ИИ и системы машинного обучения в собственных целях.

По словам специалистов, злоумышленники находят новые способы обхода систем защиты на предприятиях, оставляя исходный код вредоносного ПО прежним.

Исследователи ИБ-фирмы Sohpos рассказали о развитии вредоносного ПО и методов, используемых киберпреступниками для обхода систем защиты на предприятиях. В частности, специалисты отметили, что злоумышленники все чаще объединяются в своеобразные картели, сотрудничают друг с другом и базируют свои программы на схожем коде.

Операторы вымогательского ПО стали первыми, кто нашел способы обхода средств безопасности, направленных на защиту конечных точек. По данным отчета, злоумышленники даже придумали как решить для себя проблему с наличием у организаций резервных копий.

Технологии искусственного интеллекта и машинного обучения используются не только экспертами в области кибербезопасности, но и самими киберпреступниками. Они применяют универсальные атаки подстановки строк, заставляя системы защиты пропускать вредоносное ПО. Также новые технологии помогают злоумышленникам обнаруживать песочницы и усложнять анализ вредоносных программ специалистами.

Подробнее

15.01.2021 17:15:58

Мошенническая схема «Мамонт/Курьер» принесла злоумышленникам 6,2 млн. долларов за прошлый год.

Половина из активных группировок начинает атаковать пользователей за пределами России.

«Мамонт/Курьер» – это мошенническая схема, когда злоумышленники с помощью поддельных страниц популярных курьерских служб крадут денежные средства своих жертв. За прошлый год это схема принесла мошенникам порядка 6,2 млн. долларов. По данным ИБ специалистов, на данный момент в России активны около 40 группировок.
Сама схема выглядит следующим образом: на популярных досках объявлений размещается предложение о продаже товара по заниженным ценам. Затем обсуждение сделки перемещается в Telegram-канал. Жертва предоставляет свои контактные данные для оформления доставки, а также получает ссылку на поддельную страницу курьерской службы для оплаты заказа. Оказавшись на фишинговой странице, пользователь вводит свои банковские данные, которые попадают в руки мошенников. В среднем, жертвам злоумышленников одна такая операция стоит от 10 тыс. до 30 тыс. рублей. В некоторых случаях мошенникам удается даже повторно обмануть своих жертв, когда те оформляют «возврат».

Половина из активных группировок начинает атаковать пользователей за пределами России. На данный момент у мошенников возникают сложности с обналичиванием денежных средств за рубежом и банальный языковой барьер. Когда эти проблемы будут устранены, эксперты прогнозируют многократный рост активности мошенников.

Чтобы не стать жертвой мошенничества с покупками в интернете используйте и ведите переписку с продавцами только в официальных сервисах, проверяйте URL-адрес сайта, не вносите предоплату и помните, что слишком большая скидка может быть признаком обмана.

Подробнее

15.01.2021 16:34:57

Власти США сообщают о взломах корпоративных учетных записей в облачных сервисах.

Основными средствами злоумышленников являются фишинг, брутфорс и атаки pass-the-cookie.

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) зафиксировало успешные взломы корпоративных учетных записей в облачных сервисах. Киберпреступники используют фишинг, подбор популярных паролей и технику перехвата сеанса, получившую название pass-the-cookie. В некоторых случаях злоумышленникам даже удалось обойти двухфакторную аутентификацию.

Согласно заявлению CISA, киберпреступники модифицируют правила переадресации писем из электронных ящиков своих жертв. Помимо этого, им удалось выявить ключевые слова для поиска наиболее интересных с точки зрения потенциального ущерба сообщений, например, содержащих платежные данные.

Чтобы легитимные пользователи не видели предупреждений о переадресации, в некоторых случаях злоумышленники создавали новые правила для почтовых ящиков. Например, перенос писем с ключевыми словами в Really Simple Syndication (RSS) или папку RSS-подписки.

Подробнее

15.01.2021 16:13:56

Уязвимость в Windows 10 позволяет повредить жесткий диск с помощью однострочной команды.

Эксплуатация проблемы может быть произведена с помощью файла ярлыка, даже если пользователь никогда его не запускал.

Исследователь безопасности под ником Jonas L сообщил об уязвимости в Windows 10, позволяет повредить жесткий диск с помощью однострочной команды. Проблема затрагивает устройства, форматированные под файловую систему NTFS.

Скрываться однострочный файл может внутри Windows-ярлыка, ZIP-архива и пакетных файлов. Ошибки в работе диска вызываются повреждением индекса файловой системы. Злоумышленнику достаточно попытаться получить доступ к атрибуту NTFS «$i30», который связан с каталогами и содержит список файлов и подпапок каталога. Более того, файл ярлыка Windows с расширением .url и расположением значка, установленным на «C: \: $ i30: $ bitmap» проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл, так как проводник в фоновом режиме будет пытаться получить доступ к созданному пути.

Обнаруженная уязвимость появилась в версии Windows 10 сборки 1803 и остается актуальной для всех последующих. После повреждения диска ОС генерирует ошибки в журнале событий, указывающие, что главная таблица файлов содержит поврежденную запись.

Подробнее

14.01.2021 16:56:56

Пользователи macOS подвергались атакам майнера криптовалюты более 5 лет.

OSAMiner долгое время оставался незамеченным благодаря использованию технологии AppleScript.

Исследователи безопасности из фирмы SentinelOne рассказали об атаках криптовалютного майнера OSAMiner, атакам которого подвергались пользователи macOS более 5 лет. Появившись не позднее 2015 года, вредонос в основном был сосредоточен на целях в Китае и странах Азиатско-Тихоокеанского региона. В 2018 году уже были обнаружены старые версии майнера, однако масштабы проблемы удалось установить только сейчас.

Специалистам SentinelOne удалось установить идентификаторы взлома как старых, так и новых версий OSAMiner. По их словам, основными причинами сложностей в обнаружении вредоноса являются загрузка кода программы по частям, а также использование ей технологии AppleScript. Составные файлы майнера со статусом run-only запускают управляющий сценарий без входа в режим редактирования, тем самым скрывая его исходный код.

Распространяется OSAMiner будучи замаскированным в различных программных продуктах для macOS. Исследователи обнаружили файлы вредоноса, например, в клиенте игры League of Legends, а также пакете Microsoft Office for Mac.

Подробнее

14.01.2021 16:50:06

Личные данные сотрудников ООН могли быть скомпрометированы.

Исследователи безопасности обнаружили семь пар учетных данных, предоставляющих несанкционированный доступ в несколько внутренних баз.

Специалисты Sakura Samurai в ходе изучения ресурсов Организации Объединенных Наций обнаружили уязвимость, из-за которой могли быть скомпрометированы личные данные ее сотрудников. Открытые каталоги Git и учетные данные для доступа к репозиториям, размещенные в доменах, связанных с программой по окружающей среде и проектами Международной организации труда позволили исследователям получить доступ к более чем 100 тыс. записей.

Группа Sakura Samurai обнаружила семь пар учетных данных, предоставляющих несанкционированный доступ в несколько внутренних баз. Например, специалистам стала доступна информация о командировках сотрудников ОНН: их ID, имена, даты начала и завершения, пункт назначения, обоснование и продолжительность. В дополнение к этому были обнаружены сведения о национальности, поле и заработной плате.

Исследователи проинформировали о своей находке специалистов по безопасности ООН. Они оперативно устранили уязвимость, однако, по мнению членов Sakura Samurai, злоумышленники скорее всего уже получили доступ этим данным.

Подробнее

14.01.2021 16:36:51

Больше половины российских ИТ-сотрудников открывают фишинговые письма.

Их потенциальная уязвимость к кибератакам выше, чем у среднестатистических сотрудников и даже стажёров.

Компания «Антифишинг» провела исследование, согласно которому больше половины российских ИТ-сотрудников открывают письма мошенников. Специалисты фирмы имитировали фишинговые рассылки против 20 тыс. сотрудников из 48 организации, и более чем в половине случаев именно ИТ-специалисты и сотрудники техподдержки открывали подобные письма.

Потенциальная уязвимость к кибератакам у этих работников оказалась выше, чем у среднестатистических и даже стажеров. По словам генерального директора «Антифишинга» Сергея Волдохина, причиной этого может быть иллюзия защищенности, вызванная наличием у них технических знаний.

Наибольшую грамотность продемонстрировали сотрудники финансовой отрасли, сферы закупок и управления. В среднем 37% работников открывают фишинговые письма, а 74% скачивают вложения или переходят по ссылкам.

Подробнее

13.01.2021 16:16:05

Троян удаленного доступа Rogue продолжает пользоваться спросом.

Последняя его версия позволяет захватывать контроль над Android-устройствами, красть данные, модифицировать файлы и загружать дополнительную полезную нагрузку.

Специалисты Check Point Software Technologies поделились результатами исследований трояна удаленного доступа (RAT) Rogue. Код этого Android-вредоноса был слит в даркнет в прошлом году, однако исследователи говорят, что его покупка все еще интересует злоумышленников.

Версия Rogue 6.2, которая является последней известной на данный момент, обладает широким набором функций. Вредонос в состоянии захватывать контроль над Android-устройствами, красть данные, модифицировать файлы и загружать дополнительную полезную нагрузку. Помимо этого, зловред использует функции Accessibility для обхода ограничений на отслеживание действий пользователя. Попадая на устройство, он старается получить как можно больше разрешений. Для пользователя Rogue остается незаметным. Команды от злоумышленников Rogue получает через мессенджер Google-платформы Firebase.

Впервые вредонос появился на рынке в 2019 году. Специалист по созданию RAT для Android, использующий псевдоним HeXaGoN Dev, написал его используя собственные ранние наработки с добавлением функций другого слитого трояна. После этого он продал свою разработку поставщику Android-зловредов и участвовал в его продвижении.

Подробнее

13.01.2021 15:43:27

Компания Socialarks уже второй раз за полгода допускает утечку данных.

Причиной этого стала ошибка в настройке облачного хранилища.

Китайская компания по управлению социальными сетями Socialarks допустила утечку данных 214 млн. пользователей. В августе прошлого года из-за подобного инцидента пострадали сведения 150 млн. пользователей. Причиной этого стала ошибка в настройке облачного хранилища.

Группа исследователей обнаружила открытый Elasticsearch-сервер, содержащий базу данных весом 408 ГБ. Компания никак не ответила на сообщение специалистов, однако незащищенная БД была изъята из открытого доступа 14 декабря.

Сервер содержал нелегально собранные данные пользователей социальных сетей Instagram, Facebook и LinkedIn. Среди них полные имена, фотографии, номера телефонов, адреса электронной почты, данные геолокации, должности и компании, в которых работают пострадавшие.

Подробнее

13.01.2021 15:38:44

Незащищенный сервер РЖД открывает доступ к десяткам тысяч устройств.

Среди них камеры наблюдения, IP-телефоны, IPMI-серверы, внутренние сервисы и другое сетевое оборудование.

Исследователь под ником LMonoceros опубликовал на ресурсе Habr.com результаты своего расследования, проливающего свет на масштабы проблемы с информационной безопасностью в сети РЖД. Ему удалось обнаружить незащищенный роутер и через него получить доступ к десяткам тысяч устройств.

Сканирование VPN выявило более 20 тыс. устройств, часть из которых содержит заводские настройки. Исследователю удалось получить доступ к камерам видеонаблюдения на вокзалах и офисах РЖД в нескольких городах страны, IP-телефонам, FreePBX и IPMI-серверам, системам управления кондиционированием, вентиляцией и даже управлением табло. По заявлению LMonoceros, на сбор данных ему потребовалось 8 часов. Целенаправленная же атака, ну которую уйдет порядка недели выведет из строя системы видеонаблюдения РЖД минимум на месяц. С полным текстом можно ознакомиться на сайте Habr.com.

Напомним, что в прошлом году уже был опубликован материал под названием «Самый уязвимый – это Сапсан». Тогда пользователь под ником keklick1337 получил доступ ко внутренней сети РЖД через Wi-Fi поезда. В компании тогда заявили, что провели расследование и не выявили никаких серьезных уязвимостей.

Подробнее

12.01.2021 16:41:06

Вредонос, который атаковал SolarWinds, схож с бэкдором российской киберпреступной группы.

Специалисты полагают, что между авторами SunBurst и Kazuar есть связь, однако на данном этапе неясно какая.

Исследователи Лаборатории Касперского обнаружили общие элементы во вредоносе SunBurst, который был использован в атаке на SolarWinds, и бэкдоре Kazuar, используемом российской группировкой Turla. Среди общих функций отмечается, например, алгоритм, который используется для генерации уникальных идентификаторов жертв.

Напомним, что в декабре 2020 года IT-провайдер SolarWinds и его клиенты подверглись хакерской атаке. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Спецслужбы США обвинили в нападении российских киберпреступников. Результаты исследования Лаборатории Касперского же отчасти подтверждают это.

Вместе с тем, на данном этапе нет обнародованных фактов того, что атака на SolarWinds связана с деятельностью Turla. Специалисты подчеркнули, что функции вредоносных программ SunBurst и Kazuar не на 100% идентичны. Между авторами бэкдоров есть связь, однако на данном этапе неясно какая. Предполагается даже, что злоумышленники специально добавили схожие элементы, чтобы пустить расследователей по ложному следу.

Подробнее

12.01.2021 16:32:05

Данные пользователей Ubiquiti Networks могли быть скомпрометированы.

Неизвестные злоумышленники получили доступ к IT-системам компании, размещенным у стороннего поставщика облачных услуг.

Компания Ubiquiti Networks, которая занимается производством продуктов для беспроводной передачи данных, сообщает о возможной компрометации данных своих пользователей. Неизвестным злоумышленникам удалось получить доступ к IT-системам, размещенным у стороннего поставщика облачных услуг.

На данный момент не обнаружено никаких свидетельств несанкционированных действий в отношении учетных записей пользователей. Несмотря на это, в компании отметили, что они не могут быть полностью уверенными в безопасности информации. Пользователям учетных записей Ubiquiti рекомендуется сменить пароли на всех ресурсах, где использовались одинаковые учетные данные.

В результате инцидента в руках киберпреступников могли оказаться имена пользователей, электронные адреса, хэшированные пароли, а также адреса и номера телефонов.

Подробнее

12.01.2021 16:15:54

Утечка данных вынудила мобильного оператора бесплатно заменить 2,5 млн. SIM-карт.

Личные сведения абонентов были выставлены на продажу после взлома сервера Ho Mobile.

В даркнете были обнаружены личные данные 2,5 млн. абонентов итальянского мобильного оператора Ho Mobile. Компания подтвердила утечку информации 4 января в официальном заявлении. Согласно ему, инцидент произошел в результате взлома сервера.

В руках злоумышленников оказались полные имена абонентов, домашние и электронные адреса, даты рождения, номера телефонов и социального страхования. Подобные сведения могут использоваться для фишинговых атак, а также подмены номеров мошенниками.

Во избежание этого Ho Mobile предлагает пострадавшим клиентам бесплатно поменять SIM-карты. Сообщения с предложением было разослано всем абонентам, чьи данные могли быть скомпрометированы.

Подробнее

11.01.2021 16:46:10

Уязвимость в файрволе Cloudflare может быть использована для атак на веб-сайты.

Исследователю безопасности удалось запустить XSS-эксплойт на защищённом Web Application Firewall ресурсе.

Специалист по кибербезопасности Джексон Генри сообщил, что ему удалось создать HTML-тег SVG и с его помощью запустить XSS-эксплойт на защищённом Web Application Firewall веб-сайте. Более того, он рассказал, что об этой уязвимости известно еще с середины 2019 года, однако за это время она так и не была исправлена.

Файрвол веб-приложений, разработанный компанией Cloudflare, он же Web Application Firewall, призван отражать кибератаки, такие как SQL-инъекции, межсайтовой скриптинг (XSS), DoS и так далее. К примеру, специально созданный вредоносный HTTP-запрос будет заблокирован WAF ещё до того, как он достигнет сайта. Однако, как выясняется, небольшая модификация эксплойта может позволить атакующим обойти фильтры Cloudflare и попасть на целевой сайт.

Джексону Генри удалось добавить несколько закодированных символов и обойти защитный барьер WAF. Это ставит под угрозу 25 млн. веб-страниц, которые, как сообщается на официальном сайте Cloudflare, используют их файрвол для защиты.

Подробнее

11.01.2021 16:26:58

Простое в освоении вредоносное ПО набирает популярность.

Некоторые из программ даже имеют графический интерфейс, что значительно упрощает их освоение.

Специалисты безопасности из Recorded Future опубликовали результаты исследований развития вредоносной инфраструктуры за 2020 год. Согласно им, наступательные инструменты с открытым исходным кодом стали как никогда простыми для освоения. В частности, особую популярность приобрели Covenant, Octopus C2, Sliver и Mythic. Три из них имеют графический интерфейс, и, вместе с тем, все – подробную документацию по их использованию.

Помимо этого, исследователям удалось обнаружить более 10 тыс. уникальных серверов command and control (C2) в 80 семействах вредоносных программ. Почти все они так или иначе связаны с продвинутыми киберпреступными группами (APT). Привлекательными эти инструменты делает простота доступа и использования.

Специалисты Recorded Future проследили обнаруженные командные сервера до 576 различных хостинг-провайдеров. На Amazon разместилось 471, что составляет 3,8% от их общего числа. Исследователи говорят, что развертывание контроллеров вредоносных программ не свидетельствует о халатности или небрежном хостинге. В отчете отмечается, что среднее время размещения вредоносной инфраструктуры на этих серверах составляет 55 дней, которые могут быть использованы командами безопасности для обнаружения.

Подробнее

11.01.2021 16:04:20

Российские владельцы автомобилей Hyundai могут стать жертвой хакерских атак.

В даркнете обнаружены данные 1,3 млн. пользователей, зарегистрированных на официальном сайте производителя.

Исследователи безопасности обнаружили базу данных, содержащую информацию о российских владельцах автомобилей Hyundai. Среди них полные имена, домашние адреса, сведения о купленных машинах и заказе запчастей. Пострадавшие были зарегистрированы на сайте hyundai.ru, а последние данные о транзакциях датированы 2019 годом.

Представители компании пока никак не прокомментировали утечку данных. Продавец оценил стоимость базы данных в 2 тыс. долларов. Заинтересованные могут ознакомиться с пробной версией перед покупкой. Сами сведения представляют собой SQL-дамп сервера, уязвимость которого считается на данный момент причиной утечки.

Злоумышленники могут использовать слитые данные для мошеннических и фишинговых атак. Российским автомобилистам, зарегистрированным на официальном сайте Hyundai, следует соблюдать повышенную осторожность. По словам ИБ-специалистов, в теории украденные сведения могут также быть использованы в целях кражи автомобиля.

Подробнее

30.12.2020 15:36:45

Киберпреступники используют слабозащищенные “умные” устройства для трансляций сватинга.

Хакеры звонят в правоохранительные органы и сообщают о ложном преступлении по месту жительства жертв.

Сватинг — это “розыгрыш”, который заключается во введении аварийно-спасательной службы в заблуждение. По тому или иному адресу вызывается штурмовая полицейская группа после фальшивых сообщений о серьезных правонарушениях.

Киберпреступники начали использовать IoT-устройства для трансляции подобных “розыгрышей” в прямом эфире. Они используют скомпрометированные раннее учетные записи, подключаются к “умным” устройствам и вызывают правоохранительные органы.

Нередко злоумышленники подстраивали сватинг на свадьбах, церковных собраниях и подобных общественных мероприятиях. Сохранить анонимность им удается при помощи использования online-сервисов.

Подробнее

30.12.2020 15:31:58

Японский сервер Kawasaky Heavy Industries взломан извне.

Компании пришлось провести аудит безопасности примерно 30 тыс. терминалов.

Корпорация Kawasaky Heavy Industries сообщила о взломе и возможной утечке данных. Злоумышленникам удалось получить доступ к японскому серверу из офисов в Таиланде, Индонезии и на Филиппинах.

До конца ноября в компании проводилось тщательное расследование. Стало известно, что некоторая информация из зарубежных офисов могла быть передана внешним сторонам. После обнаружения взлома доступ к серверам был ограничен. Сетевое взаимодействие было восстановлено только 30 ноября после аудита более 30 тыс устройств, и то с определенными ограничениями.

Компания специализируется на производстве тяжелого оборудования, подвижных составов и продуктов автомобильной, аэрокосмической и оборонной промышленности. Kawasaky Heavy Industries насчитывает более 35 тыс. сотрудников.

Подробнее

30.12.2020 15:05:43

Новый вредонос крадет учетные данные из популярных браузеров.

Целями злоумышленников стали Alterna Bank, Capital One, Manulife, Scotiabank, HSBC, Royal Bank of Canada.

Злоумышленники используют новую вредоносную программу, написанную на скриптовом языке AutoHotkey, для кражи учетных данных пользователей. Задачей языка является автоматизация использования горячих клавиш в Windows. Также он позволяет создавать макросы. Зловред похищает учётные данные из браузеров Google Chrome, Opera, Microsoft Edge, а также отправляет SQL-запросы к базам данных интернет-обозревателей.

Основными жертвами AutoHotkey-вредоноса стали клиенты известных банков в Канаде и США, такие как Alterna Bank, Capital One, Manulife, Scotiabank, HSBC, Royal Bank of Canada. Распространяется программа посредством Excel-файла, который копирует в систему и запускает на выполнение скрипт «adb.ahk».

Особенностью вредоноса является запуск скриптов AHK для отдельных задач. При этом подходе основные составляющие вредоносной схемы остаются защищены от песочниц и анализа.

Подробнее

29.12.2020 16:01:49

Группировка Lazarus заинтересована в результатах исследований COVID-19.

Исследователи безопасности обнаружили две сложные атаки с использованием полнофункциональных бэкдоров.

Специалисты Лаборатории Касперского зафиксировали сложные атаки, осуществленные хакерской группировкой Lazarus. В обоих случаях злоумышленников интересовали данные исследований COVID-19.

При помощи вредоносной программы wAgent киберпреступникам удалось скомпрометировать два Windows-сервера министерства здравоохранения одной из азиатских стран. В другой атаке на производителя вакцины использовался вредонос Bookcode. Обе программы представляют собой полнофункциональные бэкдоры, которые позволяют перехватить контроль над зараженным устройством.

Исследователи продолжают свое расследование. Специалисты Лаборатории Касперского предупреждают все организации, связанные с исследованиями COVID-19, о вероятности сложных атак в ближайшее время.

Подробнее

29.12.2020 15:45:04

Электронная почта финских депутатов взломана неизвестными.

Несмотря на то, что инцидент произошел еще осенью, обнаружить его удалось только сейчас.

Парламент Финляндии сообщает о взломе своих ИТ-систем. Неизвестным злоумышленникам еще осенью удалось получить доступ к электронной почте нескольких депутатов. Их точное количество не раскрывается в интересах следствия.

Инцидент расследуется Центральной криминальной полицией. Согласно текущей версии, это был акт шпионажа, совершенный в интересах другого государства или с целью нанесения вреда Финляндии. Высокий статус жертв делает данный инцидент исключительным для страны.

Интересно, что этой же осенью были взломаны ИТ-системы парламента Норвегии. Злоумышленники также получили доступ к электронной почте депутатов. Полицейская служба безопасности Норвегии установила, что за атакой стоят киберпреступники из группировки Fancy Bear, предположительно связанной с российским правительством.

Подробнее

29.12.2020 15:32:08

Киберпреступник взломал сайт игровой компании Koei Tecmo.

В его руках оказалась база данных форума, включающая персональные сведения более 65 тыс. подписчиков.

Компания Koei Tecmo подтвердила факт взлома своего европейского сайта. Злоумышленнику удалось украсть базу данных форума, которая включает записи персональных данных более 65 тыс. подписчиков. Для обеспечения регулярного доступа ко взломанному ресурсу, хакер внедрил вредоносный скрипт на страницу koeitecmoeurope.com.

Опубликованные образцы украденных данных содержат адреса электронной почты, IP-адреса участников форума, их имена, даты рождения, страны, а также хэшированные пароли. Стоимость полной версии БД злоумышленник оценил в 1300 долларов. Помимо этого, хакер готов поделиться доступом к FTP-сервису взломанного сайта со всеми, кто приобретет его вредоносный скрипт за 6500 долларов.

Компании пришлось временно отключить европейский и американский сайты. Считается что, злоумышленнику удалось получить доступ только к данным форума, а никакая финансовая информация в результате атаки не пострадала. Расследование продолжается Koei Tecmo известна как создатель таких серий игр для ПК и консолей, как Nioh, Hyrule Warriors и Dead or Alive.

Подробнее

28.12.2020 16:30:43

Игровые сервисы Steam и Xbox стали жертвами DDoS-атак при помощи сетевого оборудования Citrix.

Проблема кроется в интерфейсе DTLS на устройствах Citrix ADC.

Киберпреступники нашли способ усиливать нежелательный веб-трафик при помощи сетевого оборудования Citrix ADC для запуска DDoS-атак. Хотя подробности о нападавших до сих пор неизвестны, жертвами этих DDoS-атак в основном стали игровые сервисы, такие как Steam и Xbox.

Проблема кроется в интерфейсе DTLS на устройствах Citrix ADC. DTLS, или Datagram Transport Layer Security, является более точной версией протокола TLS, реализованного на потоковом протоколе передачи UDP. Как и все протоколы на основе UDP, DTLS может быть подделан и использован в качестве вектора усиления DDoS. Это означает, что злоумышленники могут отправлять небольшие пакеты на устройство с поддержкой DTLS и возвращать результат во много раз большим пакетом на поддельный IP-адрес. Во сколько раз увеличивается исходный пакет, определяет коэффициент усиления конкретного протокола.

В Citrix подтвердили эту проблему и пообещали выпустить исправление в середине января 2021 года. Эта проблема считается опасной для ИТ-администраторов, поскольку связана с затратами и временем безотказной работы, а не с безопасностью устройств. Поскольку злоумышленники злоупотребляют устройством Citrix ADC, они могут в конечном итоге исчерпать его восходящую полосу пропускания, создавая дополнительные затраты и блокируя законную активность от АЦП.

Подробнее

28.12.2020 16:13:40

Вьетнамский Государственный центр сертификации взломан киберпреступниками.

Хакеры вставили вредоносное ПО в два клиентских приложения, предлагаемых для загрузки.

Специалисты компании ESET обнаружили и описали атаку, направленную против вьетнамского Государственного центра сертификации (Vietnam Government Certification Authority, VGCA). Эта организация выпускает цифровые сертификаты, которые могут быть использованы для электронной подписи официальных документов. Любой вьетнамский гражданин, частная компания и даже другое государственное учреждение, которое хочет представить файлы вьетнамскому правительству, должны подписать свои документы с помощью цифрового сертификата, совместимого с VGCA. Организация также предоставляет «клиентские приложения», которые граждане, частные компании и государственные служащие могут установить на свои компьютеры и автоматизировать процесс подписания документа.

Хакеры взломали сайт агентства и вставили вредоносное ПО в два клиентских приложения VGCA. Речь идет о троянском бэкдоре под названием PhantomNet. Он не считается сложным, но может быть каркасом для мощных плагинов. Некоторые из них включали в себя функцию извлечения настроек прокси-сервера для обхода корпоративных брандмауэров, а также возможность загрузки и запуска других вредоносных приложений.

В ESET считают, что бэкдор использовался для разведки перед более сложной атакой. В VGCA официально признано нарушение безопасности. Ведомство также опубликовало инструкцию как удалить вредоносное ПО из систем.

Подробнее

28.12.2020 16:00:07

Взломана российская криптовалютная биржа Livecoin.

Киберпреступники изменили обменный курс и начали обналичивать счета.

В ночь с 23 на 24 декабря российская криптовалютная биржа Livecoin была взломана хакерами. После получения доступа к инфраструктуре компании, злоумышленники изменили обменные курсы валют и начали обналичивать счета.

Киберпреступники изменили курс биткойна с 23 тыс. до более чем 450 тыс. долларов. Ether вырос с 600 долларов до 15 тыс. долларов. Цена на Ripple изменилась с 0,27 долларов до более чем 17 долларов.

Администраторы биржи описали инцидент как тщательно спланированную атаку. Пользователям не рекомендуется совершать какие-либо операции с денежными средствами ни через web-портал биржи, ни через мобильные приложения.

Подробнее

25.12.2020 16:01:23

Вредоносный код обнаружен в браузерных расширениях Frigate Light, Frigate CDN и SaveFrom.

Число потенциальных жертв, по словам специалистов, превышает миллион.

Специалисты компании Яндекс обнаружили подозрительный трафик, генерируемый рядом популярных расширений для интернет-браузеров. Для помощи в анализе они пригласили экспертов Лаборатории Касперского. Совместно было установлено, что порядка двадцати расширений, в том числе Frigate Light, Frigate CDN и SaveFrom, были модифицированы киберпреступниками.

Им удалось внедрить вредоносный код в ряд расширений. В числе их функций получение доступа к учетным записям пользователей в неназванной социальной сети, а также генерация мошеннического трафика и увеличение количества просмотров видеороликов на различных площадках.

Модифицированные расширения защищены механизмом от обнаружения вредоносного кода. Число потенциальных жертв, по словам специалистов, превышает миллион. Результаты совместного исследования компаний были переданы разработчикам популярных браузеров для исправления.

Подробнее

25.12.2020 15:45:14

Злоумышленники украли интимные фотографии пациентов клиники пластических операций.

Компания The Hospital Group подтвердила атаку операторов вымогателя REvil.

Ведущий специалист Великобритании по части косметических процедур и операций по снижению веса, – компания The Hospital Group стала жертвой киберпреступной группировки REvil. Злоумышленники сообщают, что им удалось выкрасть 900 ГБ интимных фотографий клиентов, которые будут опубликованы в открытом доступе, если компания откажется заплатить выкуп.

Официальное заявление The Hospital Group подтверждает как сам факт кибератаки, так и компрометацию персональных данных клиентов. В это же время утверждается, что никакая финансовая информация в ходе нападения не пострадала.

Компания обратилась в Управление Уполномоченного по вопросам информации. Также в The Hospital Group отметили, что на «немалой части» фотографий пациентов не видно лица.

Подробнее

25.12.2020 15:41:44

За 2020 год интернет-мошенники украли у россиян 150 млрд. рублей.

Только в первой половине года было заблокировано в четыре раза больше мошеннических телефонных номеров, чем в 2019 году.

По данным аналитиков BrandMonitor, IDF Eurasia и ВЦИОМ, за 2020 год интернет-мошенники украли у россиян 150 млрд. рублей. Причем в более чем половине случаев, жертвы за раз лишались более 15 тыс. рублей.

В наиболее популярных схемах мошенники притворялись сотрудниками банков или предлагали фиктивные медицинские услуги. В первом случае ущерб россиянам составил 66 млрд. рублей, во-втором – 46,5 млрд. рублей. В 58% случаев, жертвы сами переводили денежные средства телефонным мошенникам. Фишинговые сайты и поддельные интернет-магазины принесли киберпреступникам 18,6 млрд. рублей.

По информации Банка России, за первое полугодие 2020 года было заблокировано 9,7 тыс. мошеннических телефонных номеров. Это в четыре раза больше, чем в предыдущем. Пострадавшие не спешат обращаться за помощью в правоохранительные органы. Стало известно, что только 5% жертв телефонных мошенников прибегали к этому варианту.

Подробнее

24.12.2020 16:16:52

Новая вредоносная кампания Emotet ежедневно затрагивает 100 тыс. целей.

Дополнительной полезной нагрузкой в этот раз стал троян TrickBot.

После почти двухмесячного затишья ботнет Emotet вернулся с обновленной полезной нагрузкой и поражает 100 тыс. целей в день. Банковский троян с 2014 года постоянно развивался, чтобы стать полнофункциональным механизмом доставки угроз. Он может установить набор вредоносных программ на машины жертв. Emotet является одним из самых плодовитых отправителей вредоносных электронных писем, когда он активен, хотя регулярно бездействует в течение недель или месяцев.

В новой кампании дополнительной полезной нагрузкой стал троян TrickBot. Устройства, зараженные им, становится частью ботнета, который злоумышленники используют для загрузки вредоносных программ второй стадии. Типичными последствиями заражения являются захват банковских счетов, различного рода мошенничество и атаки вымогателей.

Распространяемые электронные документы по-прежнему содержат вредоносный макрос для установки Emotet. От пользователя требуется включить вложения, чтобы открыть файл. Старая версия не давала никакого видимого ответа после включения макросов, что вызвало подозрения у некоторых жертв. Новая же создает диалоговое окно, в котором говорится, что в Word произошла ошибка при открытии файла. Это дает пользователю объяснение, почему он не видит ожидаемого контента, и повышает вероятность того, что он проигнорирует весь инцидент.

Подробнее

24.12.2020 16:09:54

Nintendo стала жертвой новой утечки данных.

Опубликованные сведения включают планы компании по поимке хакера Neimod.

На форуме 4chan опубликована очередная в этом году утечка данных компании Nintendo. В этот раз в открытом доступе оказалась информация о разработке Nintendo Switch, документация, связанная с безопасностью консоли, а также планы корпорации по поимке хакера с ником Neimod.

Что касается данных о защите консоли, то по сведениям Twitter-канала Forest of Illusion, они являются не актуальными для текущей версии Switch. Речь в опубликованных документах идет о ранних прототипах приставки, а информация в них не может быть использована для взлома консоли в текущем состоянии.

На этом фоне интересней смотрятся планы компании по поимке хакера, который в 2013 году взломал Nintendo 3DS. Компании удалось выяснить адрес его проживания и даже распорядок недели. В Nintendo была сформирована «контактная группа» для взаимодействия с киберпреступником, которая сначала должна была вежливо попросить его прекратить взломы, а в случае отказа пригрозить уголовным преследованием и составленным черновиком жалобы.

Подробнее

24.12.2020 15:52:18

Украденные инструменты FireEye позволяют взломать порядка 7,5 млн. устройств.

Для всех 16 эксплуатируемых уязвимостей доступны исправления.

В результате недавнего взлома SolarWinds – поставщика программного обеспечения, у ИБ-компании FireEye были украдены инструменты для тестирования на проникновение. Специалисты компании Qualys решили выявить количество уязвимых для этих инструментов устройств, к которым можно получить доступ через интернет. Они обнаружили порядка 7,5 млн. таких установок.

Украденные инструменты эксплуатируют 16 уязвимостей. Все они на данный момент имеют исправления, поэтому специалисты безопасности советуют срочно обновить ПО в продуктах таких компаний как Pulse Secure, Microsoft, Fortinet, Atlassian, Citrix, Zoho и Adobe. Отмечается также, что большая часть уязвимостей, причем критических, приходится именно на разработки Microsoft.

Напомним, что в результате внедрения бэкдора в платформу Orion, злоумышленникам удалось взломать десятки государственных и частных учреждений. Всего зараженное обновление было установлено у 18 тыс. клиентов SolarWinds.

Подробнее

23.12.2020 16:59:56

Персональные данные владельцев криптокошельков распространяется в даркнете.

Украденная у Ledger база данных с августа продавалась на хакерских форумах, а сейчас раздается бесплатно.

В июне этого года компания Ledger стала жертвой утечки данных. Фирма предоставляет аппаратную платформу для поддержки криптокошельков, в которых пользователи могут хранить криптовалюту, и управлять своими активами. По данным ИБ-компании Cable с августа киберпреступники продавали украденные персональные данные, а сейчас они распространяются бесплатно.

В сети обнаружены сразу два файла. Первый содержит данные более миллиона подписчиков на информационный бюллетень Ledger. Второй включает имена, почтовые адреса и номера телефонов более 272 тыс. пользователей Ledger.

Как предупреждают специалисты безопасности, опубликованные данные будут использоваться для попыток мошенничества и фишинга. Более того, такие атаки уже были зарегистрированы в октябре. Пользователи площадки стали получать электронные письма с предложением загрузить новую версию ПО Ledger Live. В программе им придется ввести пароль и кодовую фразу для доступа к криптокошельку, которые попадут в руки злоумышленников. Наличие же в базе данных номеров телефонов открывает перед киберпреступниками возможности для переноса номера или замены SIM-карты пользователя криптокошелька для получения доступа к личному кабинету.

Подробнее

23.12.2020 16:43:49

Цены на услуги хакеров продолжают расти.

Наибольшим спросом пользуются доступ через RDP, DDoS-атаки и данные платежных карт.

Специалисты компании Flashpoint опубликовали данные о росте цен на услуги хакеров, предоставляемые в даркнете. Несмотря на то, что увеличение стоимости наблюдается на протяжении последних лет, пандемия COVID-19 и связанные с ней глобальные процессы оказали существенное влияние на динамику цен.

Наибольшим спросом у киберпреступников пользуется доступ к RDP – проприетарному протоколу Microsoft, который позволяет удаленно подключаться к корпоративным устройствам. Стоимость взломанного RDP на данный момент составляет порядка 35 долларов. Данные платежных карт за год подорожали на 14,64 долларов до 20,16. В среднем, стоимость дампов платежных карт в 2020 году составляет 26,50 долларов. Сервисы по предоставлению DDoS-атак также поднимают свои расценки. Если еще три года назад стоимость подобных услуг редко превышала 27 долларов, то сейчас за одну только 10 минутную атаку с мощностью в 60 Гбит/с придется отдать 45. Полностью управляемая DDoS-атака обойдется заказчику в 165 долларов.

Рост цен специалисты связывают и с улучшением систем корпоративной защиты. Успешная атака на крупную цель зачастую выходит за рамки большинства. Крупные же игроки в праве диктовать свои условия и любую стоимость желающим приобрести ту или иную услугу.

Подробнее

23.12.2020 16:30:10

В России хотят разрешить блокировку YouTube, Facebook и Twitter.

Соответствующий закон был одобрен Госдумой во втором чтении.

Государственная Дума РФ во втором чтении одобрила законопроект, предоставляющий Роскомнадзору право блокировать YouTube, Facebook и Twitter на территории страны. Помимо полной блокировки предполагается возможность замедления трафика и административные штрафы. Согласно законопроекту, ведомство сможет это сделать, если упомянутые ресурсы будут ограничивать значимую информацию на территории РФ, допускать дискриминацию материалов российских СМИ или в связи с введением иностранными государствами политических или экономических санкций в отношении России или россиян.

Вместе с тем, Госдума окончательно приняла закон, который запрещает публиковать персональные данные и сведения о работе сотрудников спецслужб, правоохранительных органов, военных и судей. Он призван обеспечивать конфиденциальность сведений и данных об имуществе сотрудников СК, ФСБ, СВР, ФСО, Министерства внутренних дел, Министерства обороны и Росгвардии.

Этот же закон запрещает разглашать сведения об осуществлении оперативно-розыскной деятельности. Такие сведения могут быть преданы гласности только с разрешения должностного органа, осуществляющего эту деятельность, если того требуют служебные интересы и только в том объеме, в каком им будет признано это допустимым.

Подробнее

23.12.2020 16:20:08

Рассказываем о крупнейших утечках данных в России за 2020 год.

В первом квартале было скомпрометировано порядка 47 млн. записей.

Россия вот уже шесть лет остается в тройке лидеров по количеству утечек разного рода информации. Из этого около 87% приходится на платёжную информацию и персональные данные. Сегодня мы бы хотели подвести итоги, какие утечки были наиболее крупными в 2020 году.

Утечка данных 5 млн. учащихся и сотрудников школы английского языка SkyEng. База содержала данные клиентов сервиса, включая телефоны, электронную почту и логин в Skype.

Утечка данных 1,36 млн. участников программы «РЖД Бонус». Включала имена клиентов даты регистрации, параметры авторизации, электронные адреса, логины, хешированные пароли и IP-адреса.

Паспортные данные 1,1 млн. проголосовавших по поправкам в Конституцию. Злоумышленник, используя номера и серии паспортов, предлагал покупателям собрать базы под их нужды, добавив данные о кредитной истории или, например, СНИЛС и ИНН.

Утечка данных 1 млн. московских автомобилистов. База содержала имена автовладельцев Москвы и Московской области, номера телефонов, марки, модели, годы выпуска, регистрационные номера, VIN и регионы регистрации автомобилей, а также серии и номера ПТС и СТС.
Утечка 100 тыс. записей о пациентах, переболевших коронавирусом. Включает имена, номера полисов ОМС, контактные телефоны и другие сведения. Судя по всему, содержит данные заболевших в период с апреля по июль этого года.

Большинство инцидентов возникало по вине сотрудников. В первой половине года они получили доступ к корпоративной информации из дома и могли копировать её быстро и бесконтрольно.

Подробнее

22.12.2020 16:28:14

Уязвимые стеки TCP/IP можно обнаружить при помощи нового инструмента.

Исследователи обнаружили еще четыре ошибки, пополнившие список Amnesia:33.

Специалисты Forescout опубликовали на GitHub инструмент с открытым исходным кодом, предназначенный для поиска сетевых устройств, затронутых уязвимостями Amnesia:33. Они связаны с TCP/IP-библиотеками, которые используются в прошивках «умных» устройств от более чем 150 поставщиков.

Исследователи также обнаружили еще четыре ошибки, пополнившие список Amnesia:33. Речь идет об уязвимостях в стеке Treck TCP/IP версии 6.0.1.67 и более старых. С их помощью злоумышленники могут читать или добавлять данные в память устройства, извлекать информацию, выводить устройство из строя или брать его под контроль.

В Forescout предупреждают, что написанный ими скрипт хотя и предназначен для обнаружения уязвимых стеков, сам по себе все еще содержит ошибки ложных срабатываний.

Подробнее

22.12.2020 16:23:31

Беспарольные методы аутентификации набирают популярность.

В 2020 году 84,7% пользователей Windows задействовали Windows Hello для входа в систему.

Парольные методы защиты, по словам представителей Microsoft, в настоящее время становится все менее популярными. Причиной тому является, в первую очередь, ненадежность таких методик. Пользователи предпочитают использовать слабые и легко угадываемые комбинации, что подтверждается ежегодными результатами исследований слитых аутентификационных данных.

В этой связи на первый план выходят беспарольные методы и средства, такие как Windows Hello. Компания Microsoft поделилась, что в 2020 году этим инструментом воспользовались 84,7% пользователей. Сканирование отпечатков пальцев или радужной оболочки глаза считается более защищенным способом аутентификации и не требует запоминания лишних комбинации.

Ежемесячно количество пользователей, которые используют беспарольные методы аутентификации, составляет порядка 150 млн. человек. В Microsoft также отметили, что 90% сотрудников корпорации не используют пароли для входа в систему.

Подробнее

22.12.2020 16:12:51

Установщик Cyberpunk 2077 может оказаться программой-вымогателем.

В Сети обнаружены замаскированные версии шифровальщика CoderWare для устройств под управлением Windows и Android.

Специалисты Лаборатории Касперского обнаружили версии вымогателя CoderWare, замаскированные под установочные файлы популярной игры Cyberpunk 2077. Они предназначены для заражения устройств под управлением Windows и Android. Во втором случае файлы распространяются через платформу, имитирующую Google Play Store.

В случае установки, CoderWare шифрует файлы жертвы при помощи алгоритма RC4. Он предполагает наличие жестко заданного ключа, что оставляет возможность для расшифровки без обращения к киберпреступникам.

Несмотря на это, напоминаем о необходимости с осторожностью относиться к файлам, скачанным из непроверенных источников. По возможности, лучше вообще этого избежать. В случае с популярными играми имеет смысл обсудить этот вопрос со своими детьми и объяснить, что цена за «бесплатное» развлечение на деле может оказаться очень высокой.

Подробнее

22.12.2020 15:56:15

Министр внутренних дел принял решение о создании киберполиции.

Подразделение будет заниматься расследованием преступлений, совершенных в интернете.

«Министром внутренних дел Колокольцевым Владимиром Александровичем принято решение о создании киберполиции», - сообщил замглавы МВД Игорь Зубов. Как объяснили в ведомстве, необходимость этого связана с возросшим количеством киберпреступлений.

Увеличенную активность интернет-мошенников, в том числе, связывают с пандемией COVID-19. У людей появилось время на то, чтобы получить знания криминального плана и опробовать их. От себя отметим, что большинство успешных кибератак в этом году было связано скорее с ненадлежащей организацией удаленной работы и использованием слабо защищенных протоколов безопасности.

Конкретные сроки создания дополнительного подразделения оговорены не были. По словам замглавы МВД, воплощение этого проекта в жизнь потребует много времени.

Подробнее

18.12.2020 16:26:57

Список пострадавших от взлома SolarWinds продолжает пополняться.

К ним присоединились кампания Microsoft и Национальное управление по ядерной безопасности США.

На этой неделе мы рассказывали об атаке на IT-провайдера SolarWinds и его клиентов. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Сейчас появляется информация, что зараженная версия программы затронула 18 тыс. клиентов компании, включая Microsoft и Национальное управление по ядерной безопасности США.

В Microsoft заявили, что им удалось обнаружить, изолировать и удалить вредоносные двоичные файлы SolarWinds. Расследование, которое все еще продолжается, не выявило, что злоумышленники использовали доступ к службам и данным клиентов компании. Вместе с тем, благодаря данным, собранным Microsoft Defender, удалось установить, что 80% всех затронутых вредоносом организаций находятся в США, а остальные находятся в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и ОАЭ.

Как указывает издание The Register, атака также затронула Национальное управление по ядерной безопасности США. В Министерстве энергетики отметили, что вредоносная программа была изолирована в бизнес-сетях и не повлияла на выполнение основных функций национальной безопасности. Отмечается также, что несмотря на широкий резонанс, киберпреступники продолжают попытки взлома новых организаций.

Подробнее

18.12.2020 16:16:09

Исследователи безопасности сообщают об увеличении количества drive-by атак.

Злоумышленники используют инструментарий SocGholish для обмана пользователей.

Сотрудники Menlo Labs зафиксировали рост количества drive-by атак с использованием инструментария SocGholish. Он выдает себя за легитимные расширения браузера, Microsoft Teams и Flash, вынуждая тем самым пользователей загружать вредоносные архивы.

Атаки drive-by используют браузер для соединения с серверами, на которых хранятся эксплойты. При таком нападении вредоносная программа автоматически загружается на компьютер без вашего ведома и согласия. Атака осуществляется в два этапа. Сначала пользователь попадает на сайт, содержащий код, который затем перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

Механизмы SocGholish не включают в себя эксплойты браузера. Вредоносные загрузки распространяются при помощи iFrame. Это добавляет убедительности распространяемым ZIP-архивам в глазах пользователей. Если расширение хранится на легитимном ресурсе, то они ошибочно предполагают его безопасность. Конечной целью SocGholish является получение доступа к конечным точкам, который затем используется для внедрения в систему таких вредоносных программ как троян Dridex и вымогатель WastedLocker.

Подробнее

17.12.2020 16:25:40

Вредоносное ПО SystemBC используется для сокрытия развертывания шифровальщиков.

Оно позволяет операторам-вымогателей управлять атаками, нацеленными на несколько жертв одновременно и осуществлять ручное развертывание с помощью встроенных инструментов Windows.

Согласно информации, собранной исследователями Sophos при расследовании недавних атак вымогателей Ryuk и Egregor, SystemBC была развернута во всех их атаках в течение последних месяцев. Это вредоносное ПО используется для сокрытия вредоносного трафика и автоматизации доставки полезной нагрузки вымогателей в сети скомпрометированных жертв.

Ryuk развертывает SystemBC на контроллере домена с помощью нескольких штаммов вредоносных программ, включая Buer Loader, BazarLoader и Zloader, в то время как операторы Egregor предпочитают использовать троян Qbot. SystemBC также используется в качестве специального инструмента сохранения и выполнения различных задач, включая развертывание программ-вымогателей на конечных точках сети после удаления украденных данных.
Злоумышленники также используют его для выполнения команд на зараженных устройствах Windows, отправленных через соединение Tor, и для доставки вредоносных сценариев, библиотек динамической компоновки (DLL) и сценариев, которые автоматически выполняются без необходимости ручного вмешательства операторов.

Несмотря на то, что некоторые антивирусные средства Windows обнаруживают и блокируют попытки развертывания SystemBC, группировки злоумышленников все равно находят способы доставки вредоносного ПО в сети своих целей. Нередко для этого используются законные учетные данные, украденные на начальных стадиях атак.

Подробнее

17.12.2020 16:09:33

Опубликован список вредоносных расширений для браузеров Chrome и Edge.

Обычно они маскируются под инструменты для загрузки изображений, видеозаписей и другого контента с площадок Facebook, Instagram, Vimeo и Spotify.

Исследователи безопасности компании Avast обнаружили 28 расширений для браузеров Chrome и Edge, которые занимаются похищением персональных данных и перенаправляют пользователей на фишинговые сайты. По данным специалистов, жертвами злоумышленников стали порядка трех миллионов человек.

Упомянутые расширения маскируются под инструменты для загрузки изображений, видеозаписей и другого контента с площадок Facebook, Instagram, Vimeo и Spotify. Плагины основаны на JavaScript, мешают нормально пользоваться интернетом, перенаправляют пользователей на незнакомые сайты и крадут конфиденциальные данные.

С полным списком вредоносных расширений можно ознакомиться на сайте Avast. Рекомендуем Вам это сделать и удалить в случае обнаружения.

Подробнее

17.12.2020 14:50:33

Взлом ИТ-провайдера привел к компрометации данных государственных органов США.

Специалисты безопасности напоминают об опасности атак на цепочки поставок.

В США активно обсуждают взлом компании SolarWinds и ее продуктов. Клиентская база ИТ-провайдера насчитывает более 300 тыс. организаций как в частном, так и в государственном секторе. В их числе Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. В результате нападения злоумышленникам удалось внедрить вредоносный в обновление для продукта SolarWinds Orion и тем самым нанести ущерб Министерству финансов и Министерству торговли США.

Нападение приписывается российский группировке APT29, она же Cozy Bear, которая якобы сотрудничает с правительством страны. Главная цель группировки – шпионаж и кража конфиденциальной информации. МИД России опроверг информацию о проведении наступательных кибератак через комментарий, опубликованный на странице посольства США в России в Facebook.

Этот случай в очередной раз подчеркнул опасность атак на цепочки поставок. Любая компания и организация, в которой используется стороннее ПО, потенциально может стать жертвой киберпреступников даже не напрямую. Как в данном случае: злоумышленники не стали пытаться взломать свою конечную цель, а переключились на того, у кого есть достаточно серьезный доступ к целевой инфраструктуре. И это то не первый случай, когда атака на цепочку поставок застает сообщество врасплох. В 2017 году хакеры взломали HandBrake, инструмент преобразования видео, чтобы распространить инструментарий удаленного доступа. В том же году хакеры, подозреваемые в связях с Китаем, внедрили вредоносное программное обеспечение в программу очистки файлов CCleaner, что в конечном итоге сделало их жертвами более чем два миллиона пользователей.

Подробнее

17.12.2020 14:42:19

Миллионы устройств критической инфраструктуры подвержены целому ряду уязвимостей.

Операционные технологии и IoT-устройства могут быть взломаны при помощи URGENT/11 и CDPwn.

Специалисты компании Armis сообщают, что 97% от всего используемого на сегодняшний день OT-оборудования и IoT-устройств подвержены риску кибератак из-за неисправленных уязвимостей. Речь идет о таких угрозах как URGENT/11 и CDPwn.

Первое – это общее название для 11 разных уязвимостей, которые затрагивают любые подключенные устройства, использующие операционную систему Wind River VxWorks. На данный момент она встроена более чем в 2 млрд. устройств, использующихся на промышленных предприятиях, производственных объектах и в медучреждениях. Обычно они используются для выполнения различных критических задач: мониторинга и управления физическими устройствами, ответственными за работу двигателей, клапанов, насосов и других механизмов. Исправления для URGENT/11 вышли еще в 2019 году.

CDPwn – это набор из пяти уязвимостей в Cisco Discovery Protocol (CDP). Он представляет собой протокол обмена данными для картирования всего оборудования Cisco в сети. С помощью этих уязвимостей злоумышленник может удаленно захватить контроль над устройствами, подключенными к сети. В их числе маршрутизаторы, IP-телефоны, камеры, коммутаторы и так далее.

Подробнее

16.12.2020 17:19:22

Количество реально используемых уязвимостей снижается.

Несмотря на рост количества выявленных ошибок, далеко не все из них эксплуатируются злоумышленниками.

Компания Kenna Security опубликовала отчет, согласно которому количество реально эксплуатируемых киберпреступниками уязвимостей снижается. Исследователи пришли к такому выводу после анализа свыше 100 тыс. ошибок, выявленных за последние 10 лет.

Согласно данным Kenna Security, даже недавно обнаруженные «критические» уязвимости редко используются киберпреступниками. Они используют лишь пятую часть потенциальных возможностей.

Самыми опасными уязвимостями за последние несколько лет признаны BlueKeep, CVE-2020-0688 в Microsoft Exchange Server и CVE-2020-5902 в межсетевом экране прикладного уровня BIG-IP ASM. Своеобразный анти-рейтинг систем, в которых регулярно выявляется наибольшее количество ошибок, разработаны компанией Microsoft.

Подробнее

15.12.2020 16:20:54

Троян PyMicropsia собирает учетные данные пользователей Windows.

Его возможности включают загрузку и выполнение полезной нагрузки, кражу данных браузера, съемку скриншотов и кейлоггинг.

Исследовательская группа Unit42 обнаружила новый троян для кражи информации, нацеленный на системы Microsoft Windows. Вредонос получил название PyMicropsia и был разработан группировкой AridViper. При этом, основываясь на анализе трояна, специалисты пришли к выводу, что несколько его разделов все еще не используются, что может говорить об активном развитии.

Возможности PyMicropsia включают загрузку файлов, загрузку и выполнение полезной нагрузки, кражу учетных данных браузера, съемку скриншотов и кейлоггинг. Кроме того, вредоносная программа может собирать информацию о списке файлов, удалять их, перезагружать машины, собирать информацию с USB-накопителя и записывать аудио. По словам исследователей, после загрузки вредоносная программа «реализует свою основную функциональность, запустив цикл, где она инициализирует различные потоки и периодически вызывает несколько задач с целью сбора информации и взаимодействия с оператором командного сервера».

В то время как PyMicropsia предназначена только для операционных систем Windows, специалисты обнаружили фрагменты кода, которые проверяют наличие других операционных систем, например, Posix или Darwin. Posix, или портативный интерфейс операционной системы – это семейство стандартов, используемых для поддержания совместимости между операционными системами, а Darwin – это открытая Unix-подобная операционная система. Это открытие может свидетельствовать о том, что злоумышленники из AridViper исследуют новые области для своей преступной деятельности.

Подробнее

15.12.2020 16:11:31

Киберпреступники тестируют новый вредоносный инструмент для рассылки спама.

Email Appender позволяет обходить меры безопасности и добавлять письма напрямую в ящик жертвы.

Специалисты компании Vade Secure сообщают о волне спама, с которой столкнулись пользователи в США, Италии, Франции и Дании. В одном из случаев на учетные записи компании всего за один день пришло порядка 300 тыс. писем. Исследователи безопасности предполагают, что киберпреступники тестируют новый вредоносный инструмент.

Речь идет о Email Appender – приложении, которое было впервые обнаружено в октябре и распространяется в даркнете по подписке. Оно позволяет обходить меры безопасности и добавлять письма напрямую в ящик жертвы. Имея в своем распоряжении список скомпрометированных учетных данных, при помощи программы можно авторизироваться на почтовом сервере, открыть нужный ящик и добавить в него вредоносное письмо. В дополнение к этому можно изменить отображаемое имя адреса отправителя и создать адрес для ответа.

Исследователи говорят, что если приложение и дальше будет пользоваться популярностью, то в следующем году оно может стать серьезной угрозой для бизнеса и потребителей. Подобные незаконные сервисы, доступные в даркнете, снижают требования к техническим навыкам злоумышленников и позволяют проводить успешные атаки программ-вымогателей даже откровенно слабым киберпреступникам.

Подробнее

15.12.2020 16:01:33

Раскрыта утечка персональных данных членов Коммунистической партии Китая.

Многие из них работают в ряде дипломатических консульств и крупных компаниях.

Австралийские СМИ занялись расследованием деятельности членов Коммунистической партии Китая после того как получили доступ к базе, содержащей их персональные данные. Утечка содержит сведения о двух миллионах представителях партии, многие из которых занимают видные посты в дипломатических консульствах и крупных мировых компаниях.

Например, стало известно, что по крайней мере в 10 иностранных дипломатических представительствах члены КПК работают в качестве старших политконсультантов и экономических советников. В их числе консульства США, Великобритании, Германии, Швейцарии, Австралии, Индии, Новой Зеландии, Италии и ЮАР. Члены КПК занимают видные посты в Boeing, Pfizer, AstraZeneca, Citibank, HSBC, ANZ, Mercedes-Benz, VolksWagen, Volvo, Jaguar Land Rover и Ikea.

Подобная практика по оценке ряда экспертов может считаться угрозой национальной безопасности и свидетельствовать о создании шпионской сети. Члены Коммунистической партии Китая задействованы во многих дипломатических процессах и могут лоббировать интересы Шанхая.

Подробнее

14.12.2020 16:45:46

Массовый сбой в работе сервисов Google. Причины устанавливаются.

Основные неполадки сосредоточены в США, Европе и России.

Сегодня 14 декабря, в 14:50 по московскому времени произошел массовый сбой в работе сервисов Google. У пользователей перестали работать YouTube, Gmail и Docs. На исправление ситуации специалистам компании потребовалось около получаса.

Судя по всему, причины сбоя связаны со службой авторизации Gaia. Указанные сервисы исправно работали, если пользователи оставались незалогинеными, просмотр страниц в режиме инкогнито также исправно работал.

По данным агрегатора Downdetector, основные неполадки были сосредоточены в Европе, однако затронуты оказались страны по всему миру, в том числе и Россия. По состоянию на 15:30, сервисы Google восстановили свою работу.

Подробнее

14.12.2020 16:37:43

Вымогатель MountLocker получил обновление.

Новая версия весит вдвое меньше, однако сохранила слабость, которая потенциально может позволить узнать случайный ключ, используемый для шифрования файлов.

Команда BlackBerry Research and Intelligence опубликовала технический анализ новой версии шифровальщика MountLocker, датированной ноябрем этого года. Судя по всему, вымогатели готовятся к налоговому сезону: разработчики добавили к списку шифруемых файлов такие, которые связаны с программным обеспечением TurboTax для подготовки документов налоговых деклараций. Также размер вредоносного ПО был уменьшен до 46КБ, что вдвое меньше предыдущей версии. Связано это с сокращением целей, которые MountLocker будет шифровать в случае попадания в систему. Самое большое изменение - это процесс удаления теневых копий томов и завершения процессов, который теперь выполняется с помощью сценария PowerShell перед шифрованием файлов.

Специалисты BlackBerry сообщают, что 70% кода в новом MountLocker осталось без изменения. На месте осталась даже небезопасная функция Windows API GetTickCount для генерации случайного ключа шифрования. Ее использование предоставляет возможность найти ключ с помощью простого перебора. Успех этого начинания зависит от знания значения счетчика временных меток во время выполнения программы-вымогателя. MountLocker шифрует файлы на зараженных компьютерах с помощью потокового шифра ChaCha20, а затем сеансовый ключ шифруется 2048-битным открытым ключом RSA, встроенным в его код.

Как и другие вымогатели, целями разработчиков MountLocker являются филиалы корпоративных сетей. Они часто получают доступ к сети жертвы через соединение удаленного рабочего стола (RDP) благодаря использованию скомпрометированных учетных данных. Новый штамм вредоноса, по мнению исследователей, расширит операции вымогателей.

Подробнее

14.12.2020 16:20:45

Компания Habana Labs взломана программой-вымогателей Pay2Key.

Украденные данные включают информацию об учетной записи домена Windows, информацию о зоне DNS для домена и список файлов из его системы проверки кода разработки Gerrit.

Израильский разработчик процессоров искусственного интеллекта Habana Labs, принадлежащий Intel, подвергся кибератаке. Ответственная за это группировка Pay2Key опубликовала данные, которые включают информацию об учетной записи домена Windows, информацию о зоне DNS для домена и список файлов из его системы проверки кода разработки Gerrit, а также бизнес-документы и изображения исходного кода.

В угрозе, размещенной на сайте утечек данных Pay2Key, злоумышленники заявили, что у Habana Labs есть 72 часа. Неизвестно, какие требования о выкупе выдвигаются. Считается, что это нападение направлено не на то, чтобы принести доход вымогателям, а скорее на то, чтобы нанести ущерб израильским интересам.

Pay2Key – это относительно новая группировка, стоящая за серией атак на израильские предприятия в ноябре 2020 года, о чем сообщили израильские ИБ-фирмы Check Point и Profero. Отслеживая биткойн-кошельки и предыдущую деятельность киберпреступников, специалисты Profero предполагают, что злоумышленники действуют в интересах Ирана.

Подробнее

14.12.2020 16:05:32

Кадровые агентства и HR-сервисы раскрыли данные нескольких десятков миллионов соискателей.

В утечках содержатся имена, номера, телефонов, адреса электронной почты, местоположение пользователей.

В 2020 году несколько крупных кадровых агентств и HR-сервисов по всему миру допустили крупные утечки персональной информации соискателей. В некоторых случаях по собственной неосторожности, а в некоторых – из-за действий хакеров и вымогателей.

Так, в ноябре была обнаружена в продаже база данных индийского сервиса IIMjobs, который используется для поиска работы топ-менеджерами и руководителями среднего звена. За 5 долларов злоумышленник был готов продать персональные данные примерно 1,4 млн соискателей: их имена, номера, телефонов, адреса электронной почты и местоположение. До этого в открытом доступе была обнаружена база данных 29 млн. пользователей, собранная, предположительно, из нескольких источников.

В начале декабря нидерландская компания Randstad, занимающаяся подбором сотрудников, стала жертвой вымогателей Egregor. А платформа RigUp и вовсе оставила конфиденциальные данные соискателей в незащищенном хранилище Amazon Web Services. Порядка 100 ГБ данных содержали контактную информацию, даты рождения, профессиональный опыт, семейное положение и сканы документов десятков тысяч человек.

Подробнее

11.12.2020 16:48:17

Новая версия Qbot использует скрытый механизм персистентности.

Она автоматически удаляет любые свои следы, когда система перезагружается или пробуждается от сна.

Qbot – это банковский троян для Windows. Он активен по крайней мере с 2009 года и используется для кражи банковских учетных данных, личной информации и финансовых данных. Вредоносная программа также использовалась для регистрации нажатий клавиш пользователя, для удаления бэкдоров на скомпрометированных компьютерах и для развертывания вымогателей.

Начиная с 24 ноября была замечена новая версия Qbot. Вредоносная программа использует новый и более скрытый механизм персистентности, который использует преимущества выключения системы. Троян добавит ключ запуска реестра на зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и попытается немедленно удалить его, как только пользователь включит или выведет компьютер из спящего режима, чтобы избежать обнаружения антивирусными решениями или исследователями безопасности.

Техника установки Qbot также была обновлена в новой версии. Она использует новую архитектуру DLL, которая сочетает в себе загрузчик вредоносных программ и бота в рамках одной библиотеки DLL. Ранее загрузчик избегал обнаружения автоматизированными системами защиты от вредоносных программ, храня весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки. Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая инъекцию кода бота во вновь созданные процессы.

Подробнее

11.12.2020 16:35:36

Вредонос Adrozek атакует пользователей популярных браузеров.

Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер модифицируются и используются в целях киберпреступников.

Специалисты компании Microsoft сообщают о распространении нового вредоноса Adrozek, модифицирующего популярные браузеры. На данный момент обнаружено более 15,3 тыс. уникальных полиморфных образцов вредоносного ПО. Зафиксированы сотни тысяч контактов с Adrozek, в основном в Европе, Южной и Юго-Восточной Азии.

Жертвами вредоносного ПО могут стать пользователи Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер на Windows-ПК. Если Adrozek сможет обойти блокировку, он модифицирует DLL атакуемого браузера и его настройки. В дальнейшем на web-страницы будет добавлена дополнительная неавторизованная реклама, которая обычно отображается поверх легитимной. В некоторых случаях вредонос также занимается поиском учетных данных пользователей, а также блокирует систему обновления браузеров.

По данным специалистов, злоумышленники получают прибыль от участия в рекламных партнерских программах. Неавторизованная реклама позволяет им увеличить объемы трафика к определенным web-страницам. В настоящее время эта реклама не ведет на сайты с вредоносным ПО, однако, по мнению специалистов, со временем это может измениться.

Подробнее

11.12.2020 16:25:55

Фишинговые письма попадают в корпоративные ящики Office 365 в обход защитных фильтров.

Ссылка злоумышленников открывает поддельную страницу входа на сервис, запрашивающую логин и пароль пользователя.

Израильская ИБ-компания Ironscales сообщает, что ее клиенты получают фишинговые письма на корпоративные ящики Office 365. Не помогают даже защитные фильтры на шлюзе безопасности электронной почты. Подделки имитируют уведомление Microsoft Outlook и якобы приходят от домена microsoft.com.

Фишинговые сообщения выглядят очень убедительно. Они сообщают о наличии писем в карантине на портале Microsoft и предлагают перейти по ссылке для просмотра и принятия решений. При нажатии на нее открывается поддельная страница авторизации. Введенные логин и пароль будут отправлены злоумышленникам.

Как выяснили специалисты, причиной такого поведения облачной защиты Microsoft является некорректная настройка ее серверов, которые не диктуют обязательное использование механизмов DMARC (Domain-based Message Authentication, Reporting and Conformance). Этот протокол помогает владельцам доменов защищать их от противоправного использования с помощью обратной связи между получателем и легальным отправителем. Если бы почтовый сервис Microsoft использовал DMARС в обязательном порядке, такие сообщения были бы заблокированы.

Подробнее

10.12.2020 16:11:02

Европейское агентство лекарственных средств подверглось кибератаке.

Хакеры получили доступ к нормативной документации по сертификации вакцины от COVID-19.

Сообщение, опубликованное на сайте Европейского агентства лекарственных средств, гласит, что организация стала жертвой кибератаки неизвестного характера. Сейчас ЕАЛС проводит необходимые проверки совместно с правоохранительными органами. Дополнительная информация не предоставляется до окончания расследования.

В то же время американская фармацевтическая компания Pfizer и немецкая биотехнологическая компания BioNTech, участвующие в разработке вакцины против COVID-19, выпустили совместное уведомление. Согласно их данным, в ходе нападения на ЕАЛС злоумышленникам удалось получить доступ к хранившейся на серверах организации нормативной документации по сертификации их вакцины.

Подробнее

10.12.2020 16:03:04

APT-группировка Molerats крадет данные политиков Среднего Востока.

Используемые киберпреступниками вредоносы созданы, чтобы взламывать Facebook, Dropbox, Google Docs, Simplenote.

Специалисты компании Cybereason зафиксировали новые фишинговые атаки APT-группировки Molerats, направленные на политиков Среднего Востока. Целью злоумышленников является кража пользовательских данных и шпионаж.

Molerats в своей новой кампании используют бэкдоры SharpStage и Dropbox, а также загрузчик MoleNet. Они позволяют киберпреступникам взламывать аккаунты Facebook, Dropbox, Google Docs и Simplenote.

Группировка ведет свою деятельность в странах Среднего Востока с 2012 года. Ранее они использовали бэкдоры Spark и Pierogi, чтобы атаковать власти Палестины. Сейчас их интересы включают отношения между Израилем, Саудовской Аравией и США.

Подробнее

10.12.2020 15:04:50

Обнаружен ряд критических уязвимостей в маршрутизаторах D-Link.

Они могут позволить злоумышленникам получить корневой доступ и завладеть устройствами.

Специалисты Digital Defense обнаружили ряд уязвимостей, которым подвержены некоторые модели VPN-маршрутизаторов D-Link. Недостатки, которые не имеют полного исправления поставщика, позволяют хакерам запускать удаленные атаки внедрения корневых команд и захватывать устройства. Пострадали маршрутизаторы моделей DSR-150, DSR-250, DSR-500 и DSR-1000AC VPN, работающие под управлением прошивок версий 3.14 и 3.17. Нападение будет успешно в случае цепной эксплуатации трех ошибок: CVE-2020-25757, CVE-2020-25759 и CVE-2020-25758.

Ключевая уязвимость может быть использована через Интернет без аутентификации с использованием как WAN, так и LAN интерфейсов. Это дает удаленному, не прошедшему проверку подлинности злоумышленнику с доступом к веб-интерфейсу маршрутизатора возможность выполнять произвольные команды. С таким доступом злоумышленник может перехватывать и/или изменять трафик, вызывать отказ в обслуживании и запускать дальнейшие атаки на другие активы.

По словам D-Link, окончательные исправления обнаруженных уязвимостей в настоящее время находятся в стадии разработки и будут выпущены к середине декабря. Пользователям рекомендуется проверить свою аппаратную модель и встроенное программное обеспечение, чтобы идентифицировать уязвимые устройства и применять временные исправления, предоставленные поставщиком, а также любые другие обновления до тех пор, пока не будет доступна официальная прошивка.

Подробнее

09.12.2020 16:34:02

Компания Foxconn атакована вымогателями DoppelPaymer.

Злоумышленники требуют выкуп в размере 34 млн. долларов.

Компания Foxconn, крупнейшая по производству электроники в мире, с зарегистрированной выручкой в размере $172 млрд в 2019 году и более чем 800 000 сотрудников по всему миру, стала жертвой вымогателей. Нападению подвергся объект компании в Северной Америке, в результате чего злоумышленникам удалось зашифровать около 1200 серверов, украсть 100 ГБ незашифрованных файлов и удалить порядка 30 ТБ резервных копий.

Ответственной за атаку является группировка DoppelPaymer. Ее члены опубликовали файлы, принадлежащие Foxconn NA, на своем сайте. Они включают в себя общие деловые документы и отчеты, но не содержат никакой финансовой информации или личных данных сотрудников.

В записке о выкупе киберпреступники требуют выплату в размере 1804.0955 биткойнов, или примерно 34 686 000 долларов по сегодняшним ценам. Foxconn подтвердила атаку и сообщила о поэтапном восстановлении своих систем. Компания работает с техническими экспертами и правоохранительными органами, а также оценивает последствия нападения.

Подробнее

09.12.2020 16:15:32

Изменения в законодательстве РФ обяжут операторов ИС ПДн взаимодействовать с системой ГосСОПКА.

В Государственной Думе рассматриваются поправки к законам, связанным с персональными данными.

Законы, связанные с защитой персональных данных, в ближайшее время могут измениться. На рассмотрение в Государственную Думу РФ внесены соответствующие поправки. Операторов информационных систем персональных данных могут обязать взаимодействовать с системой ГосСОПКА.

Изменения будут касаться нескольких законов. Среди них «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», «Об оперативно-розыскной деятельности» и «О персональных данных». Суть предложенных поправок сводится к тому, что государственные служащие, органы и их взаимодействие с операторами ИС ПДн должны быть лучше защищены, а гарантом этого станет именно ГосСОПКА.

Система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы РФ (ГосСОПКА) создавалась с целью надежной защиты критически важных объектов от масштабных хакерских угроз. Сейчас это организация, ориентированная на решение определенного набора задач по противодействию компьютерным атакам. К ним относятся: выявление уязвимостей, анализ угроз, регистрация, реагирование и расследование инцидентов, а также анализ результатов проведенных мероприятий.

Подробнее

09.12.2020 16:05:36

ИБ-фирма FireEye взломана киберпреступниками.

Им удалось украсть инструменты для поиска уязвимостей.

Известная американская ИБ-фирма FireEye стала жертвой хакеров. Компания сообщила в ФБР о взломе своих систем 8 декабря. Специалисты охарактеризовали атаку как «инновационную» и «высочайшего уровня».

Злоумышленникам удалось похитить инструменты фирмы для поиска уязвимостей. Они находились в тщательно охраняемом цифровом хранилище. Хакерам удалось скрыть свое местоположение благодаря созданию тысяч IP-адресов, ранее не замеченных в проведении нападений. Украденные инструменты могут использоваться злоумышленниками для сокрытия своего происхождения. В качестве превентивной меры FireEye опубликовала ключевые элементы своих средств, которые должны помочь специалистам обнаруживать будущие атаки.

Хотя на данный момент неизвестно кто именно стоял за нападением, издание The New York Times сообщает, что расследование было передано специалистам по России. Судя по всему, именно российские хакеры являются главными подозреваемыми. Данный инцидент является крупнейшей кражей инструментов специалистов по кибербезопасности с 2016 года. Тогда хакеры из группировки ShadowBrokers, похитили вредоносное ПО и эксплоиты из арсенала Агентства национальной безопасности США.

Подробнее

08.12.2020 16:58:35

Третий по величине производитель самолетов пострадал от атаки вымогателей.

Злоумышленники опубликовали информацию о сотрудниках, сведения о контрактах, а также исходный код компании Embraer.

Бразильский авиастроительный конгломерат Embraer стал жертвой вымогательской группировки RansomExx. На данный момент компания является третьим в мире производителем самолетов, уступая только Boeing и Airbus.

Атака произошла еще в ноябре этого года. Руководство Embraer отказалось вести переговоры с киберпреступниками. Было принято решение восстанавливать зашифрованные данные из резервных копий. За это злоумышленники опубликовали часть украденных сведений в открытом доступе. Среди них информация о сотрудниках, сведения о контрактах, а также исходный код компании Embraer.

Швейцарская вертолетостроительная компания Kopter также стала жертвой вымогателей. Группировка LockBit взломала сеть предприятия и зашифровала корпоративные данные. Как и в случае с Embraer, компания Kopter отказалась сотрудничать с киберпреступниками. Последние опубликовали на своей площадке сведения о проектах фирмы и файлы со стандартами в области аэрокосмической и оборонной промышленности.

Подробнее

08.12.2020 16:13:30

Большинство паролей не соответствуют стандартам безопасности.

Исследователи проанализировали 15,2 млрд. кодовых слов, из которых только 2,2 млрд. можно назвать уникальными.

Исследователи CyberNews Investigation проанализировали 15,2 млрд. паролей на предмет их соответствия стандартам безопасности. Выводы, к которым пришли специалисты не утешительные: только 2,2 млрд. кодовых слов можно назвать уникальными. Большинство из них состоит из менее чем 8 символов, которые к тому же легко угадываются.

Зачастую в паролях используются года. Самые популярные варьируются с 1900 по 2020. Обычно это год рождения или создания пароля. Самым часто используемым оказался 2010, затем 1987, а на третьем месте 1991 год.

Имена в паролях встречаются уже не так часто. Только в 1% из 15,2 млрд. использовалось имя. Самым популярным является Ева, затем Алекс, а на третьем месте Анна.

Подробнее

08.12.2020 15:35:57

Миллионы «умных устройств» навсегда останутся уязвимы для кибератак.

Некоторые проблемы связаны с производителями, которые обанкротились и ушли с рынка.

Специалисты компании Forescout рассказали о 33 уязвимостях, обнаруженных ими в IoT-устройствах от 150 производителей. Среди них смарт-датчики «умного» дома, сканеры штрих-кодов, промышленное сетевое оборудование и даже АСУ ТП. Исследователи полагают, что миллионы из них навсегда останутся уязвимы для кибератак.

Ошибки, получившие общее название Amnesia:33, затрагивают стеки открытых протоколов TCP/IP. Это наборы сетевых коммуникационных протоколов, устанавливающих соединение между устройствами и сетями. Они имеют открытый исходный код и были модифицированы и переизданы во множествах различных форм. Amnesia:33 включает элементарные ошибки программирования, а также уязвимости повреждения памяти. С их помощью злоумышленники могут читать или добавлять данные в память устройства, извлекать информацию, выводить устройство из строя или брать его под контроль.

Проблема кроется в том, что протоколы TCP/IP не имеют централизованного механизма рассылки обновлений. Некоторые из них используются уже около 20 лет. Часть обнаруженных исследователями уязвимостей в разных устройствах были связаны с производителями, которые обанкротились и ушли с рынка. Сторонние производители микросхем также должны были бы участвовать в процессе выпуска обновлений, однако такого механизма также на данный момент не существует.

Подробнее

07.12.2020 16:46:30

Пользователи MetaMask стали жертвой фишинговых атак.

Расширение для браузера, загруженное с мошеннических страниц, крадет ключевые фразы для доступа к криптокошелькам.

На прошлой неделе пользователи криптовалютного кошелька MetaMask подверглись фишинговым атакам. Потенциальных жертв злоумышленники заманивали через рекламу Google. На данный момент сообщество MetaMask насчитывает более миллиона человек.

Фишинговый домен киберпреступников активно продвигается с помощью поисковой рекламы Google. Пользователи сообщают, что после нажатия на мошенническое объявление их средства были украдены. На странице пользователям предлагается установить расширение для браузера, которое даст им возможность либо импортировать существующий кошелек, либо создать новый. Если они нажмут на кнопку «Создать кошелек», то попадут на реальный сайт MetaMask, так как пустые кошельки не интересуют злоумышленников. Однако, если пользователи нажмут на опцию «Импортировать кошелек», им будет предложено ввести ключевую фразу своего существующего кошелька, которая затем будет отправлена злоумышленнику.

Пользователям, заходящим на мошеннические сайты, будет трудно отличить их от реальной страницы сервиса. Даже если они проверят домен в адресной строке, есть высокий шанс попасть на уловку. Единственное отличие между ними – это надпись на кнопке для загрузки расширения. MetaMask предупредила свое сообщество о мошенничестве, рекомендовала использовать прямые ссылки на законные страницы и держаться подальше от спонсорской рекламы.

Подробнее

07.12.2020 16:37:18

Системы израильского водохранилища взломаны иранскими хакерами.

Полученный доступ позволяет манипулировать давлением воды, менять температуру и так далее.

Иранская хакерская группировка Unidentified TEAM получила доступ к автоматизированной системе управления объекта водоснабжения в Израиле и опубликовала видео процесса компрометации. Им удалось при помощи простого браузера получить контроль над человеко-машинным интерфейсом и с его помощью изменять любое значение в системе.

По словам ИБ-фирмы OTORIO, ЧМИ водохранилища был напрямую подключен к интернету без какой-либо системы аутентификации. Потенциал такой атаки исследователи оценили как высокий, однако в данном случае злоумышленники, судя по всему, не нанесли существенного ущерба объекту.

После публикации видео системы водохранилища были закрыты. В то же время, они все еще остались доступны через интернет. Исследователи полагают, что более опытные киберпреступники все еще могут воспользоваться этим в собственных целях.

Подробнее

07.12.2020 16:32:21

Хакеры предлагают услуги по защите вредоносного ПО от обнаружения.

В даркнете обнаружены сервисы, работающие по модели «обфускация как услуга».

Исследуя активность банковского Android-трояна Geost, ИБ-специалисты обнаружили в дакрнете сервисы, которые предлагают услуги обфускации кода APK вредоносного ПО. Запутывание структуры вредоноса должно защитить его от обнаружения средствами защиты. На VirusTotal обнаружено более 3 тыс. установочных файлов, прошедших данную процедуру.

Специалисты из GoSecure, Trend Micro и Stratosphere Laboratory особенно выделяют один сервис, который предлагает API, автоматическую обфускацию и более низкие цены, по сравнению с конкурентами. Так, стоимость запутывания одного APK обойдется в 20 долларов, 100 долларов за десять файлов, а за 850 долларов можно приобрести месячный абонемент.

Хотя исследователи считают, что условия данного сервиса обеспечивают ему преимущество на рынке услуг, качество последних является средним. Во многом это связано именно с автоматизацией процесса. В то время как конкуренты используют ручные методы обфускации, автоматизация по шаблонам в данном случае упрощает выявление вредоносного ПО.

Подробнее

04.12.2020 15:59:57

Группа хакеров по найму разрабатывает новый Windows-бэкдор.

PowerPepper находится в постоянном развитии, адаптируясь для новых целей.

Специалисты Лаборатории Касперского рассказали о новой вредоносной программе Windows PowerShell, разработанной группировкой DeathStalker. Вредонос, получивший название PowerPepper, был обнаружен в мае 2020 года во время исследования других атак группы на основе PowerShell. С момента своего создания программа находится в постоянном развитии.

Эта новая вредоносная программа представляет собой бэкдор на базе Windows PowerShell, который позволяет своим операторам выполнять команды оболочки, доставляемые удаленно через командный сервер злоумышленников. Его возможности включают в себя несколько тактик защиты от обнаружения, таких как фильтрация MAC-адресов клиентов, обработка приложений Excel и инвентаризация антивирусных продуктов. PowerPepper доставляется на компьютеры целей в виде вредоносных вложений электронной почты или ссылок, указывающих на документы, содержащие вредоносные макросы Visual Basic for Application (VBA). Цепочка заражения немного менялась в период с июля по ноябрь 2020 года, но логика оставалась прежней.

В списке его функций выделяется взаимодействие со своим сервером C2 с помощью Cloudflare через DNS по каналам HTTPS (DoH). PowerPepper сначала пытается использовать Microsoft Excel в качестве веб-клиента для отправки запросов DoH на сервер C2, но, если сообщения не могут пройти, он вернется к стандартному веб-клиенту PowerShell и к обычным DNS-коммуникациям. После успешного запуска бэкдора командный сервер отправляет зашифрованные команды для выполнения, встроенные в ответ DNS.

Подробнее

04.12.2020 15:37:24

Компании, задействованные в цепочке поставки вакцин от COVID-19, атакованы хакерами.

Злоумышленники отправляют избранным руководителям фишинговые письма от лица китайской Haier Biomedical.

Неизвестные киберпреступники атакуют компании, причастные к транспортировке вакцин от COVID-19 с соблюдением необходимого температурного режима. Нападения обнаружили специалисты IBM X-Force, но не смогли связать их с деятельностью конкретной группировки.

Целью злоумышленников стал широкий круг компаний и государственных организаций в Германии, Италии, Чехии, Южной Корее и на Тайване. Это и производитель солнечных панелей для транспортных холодильников, и нефтехимическая компания, производящая сухой лед, и даже Генеральный директорат Европейской комиссии по налогообложению и Таможенному союзу.

Руководители избранных организаций получают фишинговые письма якобы от лица китайской Haier Biomedical. Она является участником программы ООН «Платформа оптимизации оборудования холодовой цепи поставок» (Cold Chain Equipment Optimization Platform). Сообщения содержат вредоносные HTML-файлы, которые необходимо скачать и открыть на устройстве. Для просмотра содержимого пользователю будет необходимо ввести свои учетные данные, которые затем передаются злоумышленникам. Специалисты IBM X-Force считают, что за фишинговой кампанией может стоять группировка, финансируемая правительством.

Подробнее

04.12.2020 15:18:58

Канадское транспортное агентство TransLink стало жертвой вымогателя Egregor.

Атака злоумышленников повлияла на работу устройств, онлайн-сервисы и платежные системы.

Операция вымогателей Egregor нарушила работу канадского транспортного агентства TransLink и вызвала сбои в работе сервисов и платежных систем фирмы. О проблемах с ИТ-системами компания заявила 1 декабря. Атака повлияла на работу устройств, онлайн-сервисы и лишила клиентов возможности оплачивать тарифы с помощью банковских карт. Непосредственно транзитные службы не были затронуты.

Во время нападения принтеры агентства стали печатать записки о выкупе. Их изображение, опубликованное в Twitter-канале репортера Global BC Джордана Армстронга, не оставляет сомнений, что за атакой стояли именно операторы Egregor. Они призывают компанию как можно скорее связаться с ними для обсуждения условий сделки.

На данный момент Egregor – это единственный известный вымогатель, который использует печать записок о выкупе на доступных в атакованной сети принтерах. Схожая тактика использовалась в недавнем нападении на компанию Cencosud. Группировка начала свою активную деятельность в сентябре этого года, когда операторы Maze, другого шифровальщика, сообщили о своем закрытии. Существует мнение, что за обеими группами стоят одни и те же люди.

Подробнее

03.12.2020 16:24:08

Создатель бесплатного инструмента для взлома добавил в него бэкдор.

Symchanger незаметно использует взломанный сервер для отправки email-сообщений, получатели которых также получат к нему доступ.

Symchanger – это PHP-инструмент для взлома сайтов. Создатель раздает его бесплатно, даже прилагает видеоинструкцию по эксплуатации, однако не уточняет, что в него добавлен бэкдор, из-за которого доступ к скомпрометированному ресурсу получит не только тот, кто им воспользуется.

Специалисты компании Sucuri проанализировали вредонос и выяснили, что кроме бэкдора в нем и нет ничего нового. Скрипт Symchanger, уже используется в ряде других вредоносных программ. Несколько слоев обфускации скрывают бэкдор от обнаружения.

После массовой компрометации ресурсов, размещенных под одним и тем же хостинг-аккаунтом, оператор вредоноса получает URL страницу регистрации сайтов, для которых был создан новый аккаунт администратора. Бэкдор же незаметно использует взломанный сервер для отправки email-сообщений, содержащих URL активированного файла symchanger.php, список директорий, краденые учетные данные другую информацию. Таким образом, все получатели писем получают несанкционированный доступ к взломанным сайтам.

Подробнее

03.12.2020 15:55:13

Группировка Turla использует Dropbox для хранения украденных данных.

Вредонос Crutch может обойти некоторые уровни безопасности законной инфраструктуры, чтобы смешаться с обычным сетевым трафиком.

Исследователи компании ESET рассказали об инструменте российской киберпреступной группы Turla. Ранее неизвестный вредоносный фреймворк, названный Crutch, использовался в кампаниях, охватывающих период с 2015 до начала 2020 года. Программа Crutch была разработана для сбора и эксфильтрации конфиденциальных документов и других файлов.

Ранние версии Crutch использовали бэкдор-каналы для связи с жестко закодированным аккаунтом Dropbox через официальный HTTP API и инструменты мониторинга дисков без сетевых возможностей, которые искали и архивировали интересные документы в виде зашифрованных архивов. Обновленная же версия добавила отслеживание съемного диска с сетевыми возможностями и удалила возможности бэкдора. В то же время, он способен автоматически загружать файлы, найденные на локальных и съемных дисках, в хранилище Dropbox с помощью Windows-версии утилиты Wget. Обе версии используют захват DLL для получения постоянности на скомпрометированных устройствах в Chrome, Firefox или OneDrive.

В общей сложности в ходе своих шпионских кампаний Turla скомпрометировала тысячи систем, принадлежащих правительствам, посольствам, а также образовательным и исследовательским учреждениям из более чем 100 стран. Российская APT-группа Turla стояла за кражей информации и шпионскими кампаниями еще в 1996 году. Она является главным подозреваемым в нападениях на Пентагон и НАСА, Центральное командование США и Министерство иностранных дел Финляндии.

Подробнее

03.12.2020 15:31:58

Ошибка в процессе развертывания Microsoft Autopilot позволяет получить права администратора.

Техногигант утверждает, что проблемы и угрозы безопасности нет.

Сотрудники австрийской компании SEC Consult обнаружили уязвимость в Microsoft Autopilot. Ее успешная эксплуатация позволяет создавать локальных пользователей с правами администратора, даже несмотря на соответствующие запреты, установленные в профиле инструмента.

Физическое удаление устройства безопасности TPM вызывает ошибку развертывания устройства в корпоративной сети. Через shell-соединение с хостом атакующего создается пользователь по умолчанию с правами администратора. После подключения устройства обратно к локальной сети, установка возобновляется и проходит успешно. Пользователь по умолчанию удаляется, но не созданные им локальные пользователи с повышенными правами.

SEC Consult опубликовала подробности эксплуатации ошибки после того, как в Microsoft опровергли угрозу безопасности. Подробностей нет. В компании сначала проигнорировали сообщение исследователей и предоставленный PoC-код, а затем заявили, что проблемы нет.

Подробнее

02.12.2020 17:06:07

Новый веб-скиммер заполняет платежную форму PayPal информацией из заказа.

Злоумышленники спрятали вредоносный JavaScript внутри графического объекта.

Исследователи безопасности обнаружили новый веб-скиммер, связанный с деятельностью одной из группировок Magecart. Вредоносный JavaScript способен не только воровать платежные данные покупателей, но и заполнять поддельную платежную форму PayPal информацией из заказа, из-за чего страница выглядит более убедительно.

Код злоумышленников спрятан в графическом объекте, что помогает ему оставаться незамеченным. После добавления на сервер он начинает собирать платежные данные и передавать их киберпреступникам. Непосредственно кража платежных данных происходит, когда жертва ввела в поддельную форму PayPal все реквизиты и нажала кнопку подтверждения оплаты.

Также вредоносный скрипт способен проводить оценку вводимых данных. В случае если они непригодны для использования, JavaScript удалит свой фрейм со страницы оформления заказа. После того, как веб-скиммер украл платежные данные, он возвращает жертву на страницу интернет-магазина.

Напомним, что для обеспечения безопасности загрузка JavaScript должна быть заблокирована в браузере. Исключения могут касаться только проверенных сайтов.

Подробнее

02.12.2020 16:41:54

Криптомайнеры используются для сокрытия шпионажа.

Среди целей правительственной группировки Bismuth отмечаются государственные учреждения Вьетнама.

Специалисты из команды Microsoft 365 Defender Threat Intelligence обнаружили следы деятельности хакерской правительственной группировки Bismuth. Исследователи обратили внимание на новую технику киберпреступников. Они используют криптомайнеры, чтобы избежать обнаружения и замаскировать шпионаж.

Среди целей злоумышленников находятся как частные компании, так и государственные учреждения. В частности, исследователи обнаружили атаки на правительственные организации Вьетнама.

По словам специалистов, на анализ таких угроз как криптовалютные майнеры обращается значительно меньше внимания, поэтому они позволяют хакерам маскировать свои настоящие намерения.
Злоумышленники подгружают вредоносные DLL используя связку из социальной инженерии и законных приложений. Использование же майнеров, помимо прочего, позволяет им монетизировать зараженные сети.

Подробнее

02.12.2020 16:25:20

22-летний хакер приговорен к 8 годам лишения свободы.

Он обвиняется в DDoS-вымогательствах, ложных сообщениях об угрозе взрыва и хранении детской порнографии.

Тимоти Далтон Вон, 22-летний хакер из Северной Каролины, также известный под никами «Hacker_R_US» и «WantedbyFeds», приговорен к 8 годам тюремного заключения. Киберпреступник будет отбывать 95 месяцев за детскую порнографию и 60 месяцев за DDoS-вымогательства и ложные сообщения об угрозах взрыва компаний и школ по всему миру.

Он был членом группировки Apophis Squad, активной в 2018 году. Изначально хакеры занимались организацией DDoS-атак, информацию о которых публиковали в своих Twitter-аккаунтах. В некоторых случаях, они вымогали у своих жертв деньги, например, 20 тыс. долларов у компании Long Beach. Позже они переключились на ложные сообщения об угрозах взрыва.

В августе 2018 года был арестован лидер Apophis Squad - 19-летний Джордж Дюк-Коэн. Он был приговорен к 3 годам лишения свободы. После этого группировка прекратила активную деятельность.

Подробнее

01.12.2020 16:23:18

Пользователи Zoom получают поддельные приглашения на видеоконференцию.

Переход по ссылке открывает фишинговую страницу регистрации Microsoft.

Злоумышленники рассылают поддельные приглашения на участие в видеоконференции Zoom. Сообщение, якобы от лица сервиса, содержит ссылку, которая переводит пользователя на страницу регистрации Microsoft. Там жертву просят ввести пароль от учетной записи, который вместе с другими идентификаторами попадают в руки киберпреступников.

Исследователи отмечают создание нескольких тысяч фишинговых страниц в преддверии праздников. По состоянию на 26 ноября было украдено уже более 3,6 тыс. логинов и паролей.

Напоминаем, что ссылки в подлинных приглашениях Zoom открывают соответствующее приложение, а не стороннюю страницу. При открытии последней рекомендуется немедленно ее закрыть, а также проинформировать ИТ-службу компании об инциденте.

Подробнее

01.12.2020 16:20:27

Коды ПО для банков и фондовых бирж опубликованы в открытом доступе.

Разработкой компании CMA пользуются более 20 организаций по всему миру.

Twitter-канал Bank Security, который специализируется на киберугрозах в банковской сфере, сообщает об утечке в открытый доступ кодов ПО, используемого национальными центробанками нескольких стран. То, как произошла утечка и где именно опубликованы коды – не уточняется.

Речь идет о коде депозитарного решения DEPO/X от компании CMA. Оно призвано исключить финансовые и операционные риски, а также повысить эффективность инфраструктуры рынков капитала. На данный момент им пользуются более 20 центральных банков и фондовых бирж по всему миру. Согласно сообщению Bank Security, через DEPO/X ежедневно проходит более 100 млрд. долларов.

Подробнее

01.12.2020 15:52:57

Кибератаки могут использоваться для создания опасных веществ и вирусов.

Уязвимости в системах ученых для работы с ДНК позволяют обходить протоколы безопасности.

Ученые из израильского университета имени Давида Бен-Гуриона описали кибератаку, которая может привести к непреднамеренному созданию опасных токсинов и вирусов. Злоумышленнику достаточно подменить цепочки для секвенирования ДНК на устройстве ученого с помощтю вредоносного ПО. Например, уязвимости, обнаруженные в системах «Руководство по скринингу для поставщиков синтетической двухцепочечной ДНК» и «Согласованный протокол скрининга 2.0» позволяют обходить протоколы с помощью общей процедуры обфускации.

На данный момент существуют определенные инструкции при работе с ДНК, которые обязывают ученых выявлять потенциально опасные последовательности генов. Киберпреступники, не связанные подобными инструкциями могут внедрить в работу ничего не подозревающих ученых произвольные цепочки, что и приведет к созданию опасных веществ.

Специалисты университета для демонстрации такой атаки использовали вредоносное ПО и обошли протоколы безопасности с помощью обфускации. В результате этого 16 из 50 обфусцированных образов ДНК не были обнаружены с помощью ДНК-скрининга на лучшее соответствие. В частности, они смогли процитировать остаток белка Cas9 и преобразовать эту последовательность в активные патогены.

Подробнее

30.11.2020 15:39:36

ИБ-фирма Sophos сообщает об утечке данных клиентов.

Неизвестные получили доступ к системе для регистрации обращений в службу поддержки.

Британская компания Sophos, специализирующаяся на поставке решений для кибербезопасности, сообщает об инциденте безопасности. 24 ноября фирме стало известно о проблеме с правами доступа к инструменту, используемому для хранения информации о клиентах, которые обратились в их службу поддержки. В результате утечки пострадали имена, фамилии, адреса электронной почты и номера телефонов.

По словам представителей Sophos, инцидент затронул лишь несколько групп клиентов. На данный момент уязвимость устранена.

ИБ-компании интересуют киберпреступников не меньше, чем любые другие. Ранее в этом году хакеры обнаружили уязвимость в одном из продуктов Sophos и использовали ее для распространения трояна Asnarok. Компания Fortinet пострадала из-за слива в сеть учетных данных от 50 тыс. уязвимых VPN-устройств. А база данных клиентов фирмы CloudFlare, которая предоставляет различные услуги в сфере кибербезопаности, была обнаружена в открытом доступе.

Подробнее

30.11.2020 15:33:25

64% пользователей не знают об угрозах скимминга банковских карт.

Исследователи безопасности предупреждают потребителей остерегаться мошенничества, фишинговых атак и других угроз кибербезопасности во время онлайн-шопинга.

ИБ-фирма RiskIQ опубликовала отчет, согласно которому более половины респондентов не знают об угрозах скимминга банковских карт, создаваемых группой Magecart. Специалисты RiskIQ установили, что средняя продолжительность заражения Magecart составляет 22 дня. Это означает, что, если вы совершите покупку на скомпрометированном сайте в течение такого периода, вы, скорее всего, станете жертвой кражи банковских данных.

Magecart - это обобщающий термин, охватывающий несколько различных опасных групп, которые используют схожую методику. Они компрометируют сайты электронной коммерции и внедряют на них скрипты, передающие платежные данные пользователя злоумышленникам. Исследователи недавно сообщили, что они видели всплеск числа сайтов, которые подвергаются атакам Magecart и связанных с ними групп.

Лучший способ избежать компрометации данных банковской карты – это, как ни странно, просто нигде их не вводить. Вместо этого исследователи безопасности советуют использовать сторонние платежные платформы, такие как Amazon Pay и PayPal. Покупатели также должны обращать более пристальное внимание на сайт, чтобы он не оказался двойником. Как самый простой пример – злоумышленники могут использовать домен .org, когда реальный сайт использует .com. К веб-приложениям для покупок также рекомендуется относиться с настороженностью и всегда проверять разработчика.

Подробнее

30.11.2020 15:20:16

На русскоязычном форуме продаются учетные данные руководителей сотен компаний.

Исследователи безопасности, которые получили в свои руки образцы украденных данных, подтверждают их подлинность.

Комбинации логинов и паролей пользователей Office 365 и Microsoft обнаружены в продаже на закрытом русскоязычном киберпреступном форуме Exploit.in. Учетные данные принадлежат президентам компаний по всему миру, их помощникам и заместителям, а также другим ответственным сотрудникам. Стоимость данных варьируется от 100 до 1500 долларов за одну учетную запись, а зависит от размера компании и должности пользователя.

Исследователи безопасности, которые получили в свои руки образцы украденных данных, подтверждают их подлинность. Сам продавец в качестве доказательства опубликовал на форуме логины и пароли гендиректора британского консалтингового агентства, а также президента американского производителя одежды и аксессуаров.

Судя по всему, логины и пароли были получены злоумышленником в результате анализа логов инфостилера AzorUlt. Как правило, в них содержатся учетные данные, извлеченные из браузеров на зараженных хостах. Злоумышленнику необходимо только систематизировать и отфильтровать массив данных, который затем можно выставить на продажу. Специалисты ИБ-фирмы KELA сообщают, что ранее этот продавец как раз интересовался покупкой логов.

Подробнее

27.11.2020 15:29:40

Специалисты Sopra Steria оценили ущерб от атаки вымогателя в 50 млн. евро.

В эту сумму вошли упущенная выгода из-за простоя сервисов, а также стоимость работ по ликвидации последствий и восстановлению функционирования систем.

Компания Sopra Steria подверглась атаке новой версии вымогателя Ryuk 20 октября. Сотрудникам служб ИБ и ИТ удалось пресечь распространение шифровальщика в системе через несколько дней, однако он успел нанести ущерб инфраструктуре провайдера. Специалисты компании подсчитали сумму этого ущерба. Она составила порядка 50 млн. евро, куда вошли упущенная выгода из-за простоя сервисов, а также стоимость работ по ликвидации последствий и восстановлению функционирования систем.

На данный момент в компании почти закончились восстановительные работы. Сотрудники получили доступ к рабочим станциям, серверам, инструментальным средствам и приложениям. На это у специалистов Sopra Steria ушел месяц.

Sopra Steria – это крупный французский ИТ-провайдер. В компании работает 46 тыс. содрудников в 25 странах мира. В числе услуг фирмы: консалтинг, системная интеграция, разработка программного обеспечения.

Подробнее

27.11.2020 15:11:12

Canon подтверждает утечку данных.

Она была вызвана атакой вымогательского ПО Maze.

Canon публично подтвердила факт кибератаки и кражи данных с серверов компании. 5 августа Canon USA разослала уведомление, информирующее сотрудников об обширных системных проблемах, которые сделали недоступными несколько приложений, команд и электронную почту. В издание BleepingComputer тогда попал частичный скриншот записки о выкупе, который показал, что сбой был вызван вымогательским ПО Maze.

Расследование инцидента обнаружило доказательства несанкционированной деятельности в сети компании в период с 20 июля по 6 августа. Киберпреступники получили доступ к файловым серверам, на которых также размещена информация о нынешних и бывших сотрудниках с 2005 по 2020 год, их бенефициарах и иждивенцах. В Canon подтвердили, что данные, к которым получили доступ злоумышленники, включали имена сотрудников, номера социального страхования, даты рождения, номера водительских прав или государственных удостоверений личности, номера банковских счетов для прямых депозитов от Canon и их электронные подписи.

Сами операторы Maze сообщили журналистам, что они украли 10 ТБ данных, прежде чем зашифровали системы компании 5 августа. Интересно, что 1 ноября группировка объявила о прекращении своей деятельности. До этого она была крупнейшим представителем среди вымогательских групп, и именно ей принадлежит создание схемы, при которой злоумышленники крадут конфиденциальную информацию перед шифрованием систем.

Подробнее

27.11.2020 14:39:52

Защитный сервис Google в 2020 году выявил более 2 млн. фишинговых сайтов.

В среднем количество фишинговых ресурсов увеличивается на 13% ежегодно на протяжении последних пяти лет.

Согласно статистике Google, в период с января по октябрь текущего года было обнаружено 2,02 млн. фишинговых сайтов, которые были занесены в базу сервиса «Безопасный просмотр». Еженедельно в нее добавляется порядка 46 тыс. ресурсов. Наиболее высокие значения наблюдались в феврале и начале мая.

Уже сейчас количество обнаруженных фишинговых сайтов превышают показатели предыдущего года на 20%. При этом за последние пять лет этот показатель рос примерно на 13%. Аналитики связывают этот скачок с увеличением количества потенциальных жертв, вызванного массовым переводом сотрудников на удаленную работу. Общие панические настроения общества, а также популярность темы COVID-19 тоже повысила шансы злоумышленников на успех.

Аналитики отмечают, что в большинстве случаев фишинговые и вредоносные страницы создаются на основе взломанных доменов. Злоумышленники не утруждают себя регистрацией новых. Также мошенники часто маскируют свои сайты под веб-сервисы Google и даже могут вывести их в топ поисковых систем при помощи SEO-манипуляций.

Подробнее

26.11.2020 16:12:24

Трое киберпреступников скомпрометировали государственные и частные компании в более чем 150 странах.

Они разработали фишинговые ссылки и домены, а затем проводили массовые BEC-атаки.

В Лагосе арестованы трое мужчин, подозреваемых в участии в массовом мошенничестве с деловой электронной почтой (BEC). Совместное расследование Интерпола, нигерийской полиции и исследователей безопасности привело к аресту граждан Нигерии, которые, как полагают, несут ответственность за распространение вредоносных программ, проведение фишинговых кампаний и масштабные мошеннические операции по всему миру.

Подозреваемые, как утверждается, разработали фишинговые ссылки и домены, а затем проводили массовые кампании по компрометации деловой переписки. После успешных атак с применением техник социальной инженерии они распространили 26 различных вариантов вредоносных программ, включая шпионские программы и трояны удаленного доступа. Согласно правоохранительным органам, образцы включали в себя AgentTesla, Loki, Azorult, Spartan и Remcos. Хотя расследование все еще продолжается, к настоящему времени было выявлено около 50 тыс. целевых жертв. С 2017 года злоумышленники скомпрометировали государственные и частные компании в более чем 150 странах.

В BEC-атаке мошенник выдает себя за руководителя компании или другую доверенную сторону и пытается обмануть сотрудника, ответственного за платежи или другие финансовые операции, чтобы перевести деньги на поддельный счет. Злоумышленники обычно проводят изрядный объем разведывательной работы, изучая руководство и любую информацию, которая может помочь организовать убедительную атаку. По данным Anti-Phishing Working Group (APWG), убыток от BEC-атак продолжает расти: во втором квартале 2020 года средний показатель составил порядка 80 тыс. долларов, по сравнению с 54 тыс. в первом квартале.

Подробнее

26.11.2020 15:42:41

Исследователи взломали Amazon Alexa с помощью лазера.

Ученые научились запускать неслышимые команды и взламывать различные популярные голосовые помощники на расстоянии более 100 метров.

Команда американских ученых продолжает исследование того, почему цифровые домашние помощники и другие сенсорные системы, использующие звуковые команды для выполнения функций, могут быть взломаны светом. В прошлом году эта же группа провела атаку на ряд интеллектуальных динамиков с помощью лазерной указки. Уже тогда исследователи заявили, что они в состоянии запускать неслышимые команды с помощью светящихся лазеров на микрофонах различных популярных голосовых помощников, включая Amazon Alexa, Apple Siri, Facebook Portal и Google Assistant.

«Модулируя электрический сигнал в интенсивности светового луча, злоумышленники могут обмануть микрофоны, как будто они получают подлинное аудио», - отметили ученые. Они расширили свои исследования, чтобы показать, как свет может быть использован для управления более широким спектром цифровых помощников и сенсорных системам, найденным в медицинских устройствах, автономных транспортных средствах, промышленных и даже космических системах. По их словам, использование цифрового помощника в качестве шлюза может позволить злоумышленникам взять под контроль многие устройства в доме. Аутентификация пользователей на них часто отсутствует, что позволяет киберпреступникам использовать световые голосовые команды для разблокировки защищенных smartlock дверей объекта, открытия гаражных ворот, совершения покупок на сайтах электронной коммерции или даже разблокировки и запуска различных транспортных средств, подключенных к аккаунту Google объекта, например, Tesla и Ford.

Команда предлагает некоторые меры по смягчению этих атак как с программной, так и с аппаратной точек зрения. Что касается программного обеспечения, то пользователи могут добавить дополнительный уровень аутентификации на устройствах, хотя удобство использования может пострадать. Исследователи отметили, что до сих пор не уверены, почему атака на основе света вообще работает. Они планируют представить обновленные результаты своих исследований в рамках конференции Black Hat Europe 10 декабря.

Подробнее

26.11.2020 15:35:29

Исследователь безопасности призвал специалистов не игнорировать локальные инциденты.

Он обнаружил вредоносные ссылки и код, предназначенные для атак на участников Карабахского конфликта.

Джо Словик (Joe Slowik), исследователь безопасности из компании DomainTools, призвал своих коллег не игнорировать инциденты, выходящие за пределы интересов США, Китая, России, Ирана и Северной Кореи. По его мнению, специалисты безопасности по большей части сосредоточены на угрозах, затрагивающих эти страны. В результате этого они упускают из виду большой пласт новых техник и тактик, которые в будущем могут быть применены против «большой пятерки».

Так, Словик обнаружил документы с вредоносными ссылками и кодом, которые были подготовлены для атак на Армению и Азербайджан. Исследователь выявил сети связанных доменов и адресов электронной почты, предназначенные для киберопераций, нацеленных на различные группы в данных странах. Более того, он подчеркнул, что найденные им документы не обнаруживаются многими сканерами вредоносных программ.

Подробнее

25.11.2020 16:19:05

Обнаружен новый бэкдор Blackrota, нацеленный на ошибку безопасности в Docker.

Исследователи отмечают использование обширных методов защиты от обнаружения, что делает вредоносное ПО чрезвычайно трудным для анализа.

Специалисты безопаности обнаружили новый бэкдор, написанный на языке программирования Go (Golang). Вредонос, названный Blackrota, был впервые обнаружен исследователями, пытающимся использовать уязвимость несанкционированного доступа в Docker Remote API. По их словам, данный бэкдор отличает использование обширных методов защиты от обнаружения, что делает вредоносное ПО чрезвычайно трудным для анализа. «Blackrota является самой запутанной вредоносной программой, написанной на Go в формате ELF, которую мы нашли на сегодняшний день», - сообщили исследователи из 360 Netlab.

Вредонос в настоящее время доступен только для Linux и поддерживает обе архитектуры процессоров. ELF – это общий стандартный формат файлов для исполняемых файлов. Blackrota сконфигурирован на основе «geacon», используемого для связи с сервером C2, запрашивания инструкций или эксфильтрации собранных данных. Он также реализует ключевые функции для бэкдора: позволяет ему выполнять команды оболочки, загружать и просматривать файлы, устанавливать время задержки сна и изменять каталоги.

Трудность анализа Blackrota обусловлена несколькими факторами. Во-первых, вредоносная программа использует gobfuscate, инструмент с открытым исходным кодом для Go, чтобы запутать исходный код перед компиляцией. Он скрывает различные элементы исходного кода со случайными заменами символов – включая имена пакетов, имена глобальных переменных, имена функций, имена типов и имена методов. Еще одним препятствием для анализа является то, что язык Go использует полностью статические ссылки для построения двоичных файлов – это означает, что все коды, используемые в стандартных и сторонних библиотеках, упаковываются в двоичные файлы, что приводит к их большому объему. Исследователи предупредили, что подобные типы вредоносных программ создадут серьезную проблему для защитников безопасности, когда дело доходит до анализа и обнаружения.

Подробнее

25.11.2020 15:32:17

Двухфакторная аутентификация в cPanel уязвима к брутфорс-атакам.

Для эксплуатации ошибки злоумышленникам потребуется несколько минут.

Популярная панель управления веб-хостингом cPanel содержит уязвимость, позволяющую обойти двухфакторную аутентификацию. Об этом сообщили специалисты из ИБ-фирмы Digital Defense. Эксплуатация уязвимости позволяет захватить веб-ресурс жертвы.

Реализация 2FA у cPanel уязвима к брутфорс-атакам. Злоумышленники могут вычислить URL-параметры и обойти меры защиты, настроенные для доступа к аккаунту. Все же для успешной реализации атаки злоумышленникам потребуются учетные данные жертвы. Однако, если они будут получены, например, с помощью фишинга, то 2FA не защитит веб-ресурсы.

Разработчики cPanel выпустили патч, исправляющий уязвимость, после сообщения исследователей. Как сообщает компания, их панель используется сотнями организаций и задействована в более чем в 70 млн. доменов по всему миру.

Подробнее

25.11.2020 15:25:27

Файлы, отправленные через приложение Go SMS Pro, могут быть просмотрены третьими лицами.

Разработчики не исправили уязвимость даже спустя 90 дней после сообщения исследователей безопасности.

Популярное Android-приложения для обмена файлами и сообщениями Go SMS Pro компрометирует данные пользователей. Исследователи из Trustwave обнаружили уязвимость в августе, однако не получили ответа от разработчиков.

При отправке файла пользователю, у которого не установлено приложение, он загружается на сервер Go SMS Pro, а получателю приходит ссылка для просмотра содержимого. Проблема в том, что URL-адреса формируются последовательно, что позволяет генерировать подобные ссылки и получать доступ к чужим документам. Просмотреть файлы конкретного пользователя нельзя, однако загружать данные случайных людей – пожалуйста. Журналисты из TechCrunch проверили данную уязвимость и получили доступ к номеру телефона, скриншоту с данными о банковском переводе, подтверждению заказа с домашним адресом, досье арестов из полиции, а также откровенным фотографиям.

Приложение было скачано в магазине Google Play более 100 млн. раз. Ни исследователи безопасности, ни журналисты на данный момент не получили ответа от китайской компании-разработчика.

Подробнее

24.11.2020 17:03:53

Взломанные WordPress-сайты перенаправляют пользователей на онлайн-магазины мошенников.

Вредоносный код играет роль прокси для переадресации всего входящего трафика на подконтрольный киберпреступникам сервер.

Специалист ИБ-компании Akamai Ларри Кэшдоллар (Larry Cashdollar) обнаружил новую вредоносную кампанию. С помощью брутфорс-атак киберпреступники получают доступ к учетным записям администраторов WordPress-сайтов, после чего добавляют на страницы вредоносный код. Последний играет роль прокси для переадресации всего входящего трафика на подконтрольный злоумышленникам сервер.

В данном случае, пользователи перенаправляются на мошеннические онлайн-магазины. Попытка перейти на тот или иной WordPress-сайт переадресовывается на командный сервер злоумышленников. Если запрос соответствует определенным критериям, то вместо требуемого ресурса открывается HTML-страница киберпреступников.

Исследователи говорят, что подобные наложения мошеннических страниц на легитимные негативно сказываются рейтинге страниц в результатах поисковых систем. Это связано с тем, что добавление вредоносного кода на страницу смешивает ключевые слова с несвязными записями. Злоумышленники могут даже потребовать выкуп от компании, которая заинтересована в лучшем рейтинге и устранении последствий снижения популярности ресурса. На момент написания известно о 7 тыс. взломанных WordPress-сайтов.

Подробнее

24.11.2020 16:22:56

Разработчики GitHub устранили уязвимость инъекции команд.

Специалисты Google обнародовали информацию о ней за две недели до этого.

Разработчики GitHub устранили ошибку в функции Actions, которая была уязвима для инъекции команд. Ранее о ней сообщали специалисты из Google Project Zero. Несмотря на высокую степень опасности разработчикам потребовалось более 104 дней.

Команда Project Zero информирует ресурсы о найденных уязвимостях и дает на их устранение 90 дней. После этого специалисты публикуют сведения об уязвимостях в открытом доступе. Также случилось и c GitHub, разработчики которого были уведомлены об ошибке, однако не торопились с ее устранением.

После публикации подробностей ошибки пользователям GitHub пришлось еще две недели ждать устранения уязвимости. Фактически, разработчикам требовалось только отключить команды «set-env» и «add-path» в инструменте автоматизации рабочего процесса.

Подробнее

24.11.2020 16:07:41

Компания E-Land стала жертвой вымогательского ПО.

Компании пришлось отключить часть своих сетей и временно закрыть 23 розничных магазина.

Южнокорейская фирма E-Land подвергалась атаке с использованием вымогательского ПО. Компании принадлежит 60 торговых брендов, в основном, одежды, а также ряд отелей и ресторанов в Южной Корее.

Из-за атаки компании пришлось отключить часть своих IT-сетей и временно закрыть 23 из 50 розничных магазинов NC Department Store и NewCore Outlet. Президент E-Land Чан Хен Сок подтвердил факт кибератаки, произошедшей в воскресенье, 22 ноября. Вымогательское ПО было развернуто в главных офисах торгового гиганта.

На данный момент ничего не известно о типе вымогателя и требуемом выкупе. По словам президента E-Land, конфиденциальная информация клиентов в атаке не пострадала, так как хранится на отдельных серверах в зашифрованном виде.

Подробнее

24.11.2020 15:49:30

Атака на Spotify затронула порядка 350 тыс. пользователей.

Злоумышленники используют открытую базу данных, содержащую имена и пароли клиентов сервиса.

Специалисты vpnMentor обнаружили открытую базу данных Elasticsearch, в которой содержится более 380 млн. записей пользователей Spotify. Злоумышленники используют учетные данные, находящиеся в ней, для атак на клиентов сервиса. Помимо имен и паролей в базе содержатся электронные адреса и страны проживания пользователей. Размер БД составляет 72 ГБ.

В данный момент она используется для атак с подстановкой учетных данных. По словам администрации Spotify, были затронуты порядка 350 тыс. пользователей. Компания приняла решение начать процедуру сброса паролей. Метод получения подобной базы данных остается неизвестным.

Так как обнаруженная БД находится в открытом доступе, ей может воспользоваться неограниченное число киберпреступников. Специалисты говорят о том, что представленные сведения могут быть использованы в том числе для финансового мошенничества. Пользователям рекомендуется изменить свои пароли на Spotify и других сервисах, использующих те же учетные данные.

Подробнее

23.11.2020 16:10:16

Киберпреступники используют обход песочниц в целях шпионажа.

Вредоносы, нацеленные на непосредственную финансовую выгоду, используются в 31% случаев.

За кибератаками, в которых используются вредоносы для обхода песочниц, стоят злоумышленники, целью которых является промышленный шпионаж и дальнейшая перепродажа доступа к инфраструктуре. К такому выводу пришли ИБ специалисты, проанализировав 36 семейств вредоносных программ.

Из них 69% были заточены именно под шпионаж и кражу документов, составляющих коммерческую тайну. Такие вредоносы в большинстве своем представляют злоумышленникам удаленный доступ к целевой системе. Операторы шифровальщиков и банковских троянов использовали методы обхода песочницы только в 11% случаев.

За распространением соответствующего вредоносного ПО стоит 23 группировки киберпреступников. Из них 25% стали активны в последние два года. По мнению исследователей, это говорит о смещении фокуса злоумышленников на кражу конфиденциальных данных.

Подробнее

23.11.2020 16:04:56

В сети опубликованы эксплойты для кражи учетных данных почти с 50 тыс. устройств Fortinet VPN.

В списке уязвимых объектов присутствуют домены, принадлежащие правительственным организациям со всего мира.

Хакер опубликовал список однострочных эксплойтов для кражи учетных данных VPN почти с 49 577 устройств Fortinet VPN. Уязвимость CVE-2018-13379 влияет на непропатченные устройства FortiOS SSL VPN. Используя эту ошибку, неавторизованные злоумышленники могут получить доступ к системным файлам с помощью специально созданных HTTP-запросов.

Эксплойт, опубликованный хакером, позволяет злоумышленникам получить доступ к файлам sslvpn_websession из VPN Fortinet, чтобы украсть учетные данные для входа. Затем они могут быть использованы для компрометации сети и развертывания программ-вымогателей. Хотя данная ошибка была публично раскрыта более года назад, в сети все еще присутствует порядка 50 тыс. уязвимых устройств.

После анализа списка было установлено, что уязвимыми объектами являются государственные, банковские, и финансовые домены со всего мира. В прошлом месяце именно CVE-2018-13379 была использована для взлома систем поддержки выборов в правительство США.

Подробнее

23.11.2020 15:51:34

86% пользователей Google Chrome работают с устаревшими версиями.

ИБ специалисты предсказывают увеличение количества атак, эксплуатирующих недавно раскрытые уязвимости.

Директор по исследованиям безопасности Menlo Security Винай Пидатхала (Vinay Pidathala) сообщил, что большинство пользователей браузера Google Chrome (86%) работают с устаревшими версиями. По его мнению, в ближайшее время можно ожидать увеличение количества атак, эксплуатирующих недавно раскрытые и исправленные уязвимости нулевого дня.

Целенаправленные нападения для похищения интеллектуальной собственности или ради финансовой выгоды угрожают всем версиям браузера, кроме актуальной. Причиной отсрочки своевременных обновлений обычно связывают с использованием устаревших приложений, работающих только со старыми версиями Chrome.

В течение последних нескольких месяцев специалисты Google исправили пять серьезных уязвимостей нулевого дня, предоставляющих атакующему доступ к браузеру жертвы. В последствии эти ошибки позволяют выполнять вредоносный код на устройстве и получить доступ к внутренним файлам.

Подробнее

20.11.2020 16:41:16

Ущерб от взлома портала государственных услуг составил 7 млн. долларов.

Злоумышленники украли 738 ГБ данных, относящихся к 186 тыс. клиентов австралийского ресурса.

Портал государственных услуг Нового Южного Уэльса Service NSW оценил ущерб, нанесенный хакерской атакой в апреле этого года. Правительство Австралийского Союза обнародовало данные о том, что несмотря на продолжение расследования, урон уже оценивается на сумму не менее 7 млн. австралийских долларов (порядка 5,1 млн. долларов США).

Атака произошла весной 2020 года. Неизвестные злоумышленники скомпрометировали учетные записи 47 сотрудников Service NSW и украли 738 ГБ данных относящихся к 186 тыс. клиентов австралийского ресурса. В руки киберпреступников попали заметки, анкеты, различные отсканированные файлы, а также сведения о транзакциях пользователей портала.

Инцидент побудил правительство Австралийского Союза выделить 5 млн. австралийских долларов на обеспечение кибербезопасности государственных систем. Также в Новом Южном Уэльсе должна появиться система уведомлений пользователей об атаках.

Подробнее

20.11.2020 16:27:27

Робот-пылесос можно использовать для прослушки разговоров, даже если в нем нет микрофона.

Ученые из Университета Мэриленда смогли перепрофилировать навигационные системы устройства.

Исследователи из Университета Мэриленда описали способ использования робота-пылесоса в шпионских целях. Они использовали лазерную навигационную систему устройства и методы обработки сигналов для восстановления звука в комнате. Вибрации, созданные звуковыми волнами, отслеживаются лидаром робота, а затем восстанавливаются в изначальную речь. Следует учитывать, что такие девайсы могут быть взломаны удаленно.

«Мы наглядно показали: несмотря на то, что у роботов-пылесосов нет микрофонов, можно перепрофилировать системы, которые они используют для навигации, чтобы шпионить за пользователями и потенциально раскрывать личную информацию», - отметил Нирупам Рой, доцент факультета компьютерных наук Университета Мэриленда.

Подробнее

20.11.2020 15:56:16

Данные более 226 млн. аккаунтов оказались в открытом доступе.

В базе содержатся логины и пароли для более чем 23 тыс. сайтов.

Трой Хант, известный исследователь безопасности и основатель ресурса Have I Been Pwned, проанализировал слитую в сеть базу данных, содержащую логины и пароли для более чем 226 млн. аккаунтов на различных сайтах. Он проверил актуальность учетных данных на одной из площадок и подтвердил их подлинность.

Исследователь выложил содержимое файлов, которые в сжатом состоянии весили 13 ГБ, на GitHub. Крупнейший из .txt файлов, к примеру, содержал 1,5 млн. строк, в которых находятся логины и хэшированные MD5 пароли.

Так как оперативно проверить такой объем информации не представляется возможным, Хант оценил актуальность данных на форуме для гитаристов chordie.com. Оказалось, что указанный адрес электронной почты действительно есть в базе сайта. На основании этого исследователь заключил, что слитые сведения являются подлинными. Всего в базе насчитывается 226 883 414 логинов и паролей.

Подробнее

19.11.2020 16:55:28

Киберпреступники стали чаще воровать доменные имена.

Взломанные ресурсы используются для фишинговых атак, заражения вредоносным ПО и мошенничества.

Исследователи безопасности сообщают об увеличении случаев кражи доменных имен. Причем злоумышленников интересуют ресурсы в зонах .RU, .SU и .РФ. Как правило, речь идет либо о заброшенных, либо о недавно приобретенных доменах, не привязанных к хостинг-аккаунту.

На данный момент, подобные атаки угрожают более 30 тыс. доменов. Взломанные ресурсы затем используются для фишинговых атак, заражения вредоносным ПО и мошенничества. В одном из случаев исследователи обнаружили сайт, на котором рекламировалась акция о выплате денежной суммы за участие в опросе. После ответа на несколько вопросов пользователям предлагали прислать реквизиты банковской карты для выплаты.

По словам исследователей, на «угон» домена киберпреступникам требуется от 30 минут до нескольких часов. Специалисты провели эксперимент: зарегистрировали собственное доменное имя, соответствующее интересам злоумышленников. Последние обнаружили ресурс через несколько дней и успешно его взломали.

Подробнее

19.11.2020 16:43:03

Обнаружен новый вариант скиммера Grelos.

Заимствования в коде усложняют отслеживание конкретных хакерских группировок.

Новый вариант скиммера Grelos выявил сложности, связанные с отслеживанием групп, участвующих в атаках в стиле Magecart. Под последним обычно подразумевают кампании и группировки, специализирующиеся на краже данных платежных карт с веб-сайтов электронной коммерции.

Grelos представляет собой скиммер на основе WebSocket, который использует обфускацию base64 для скрытия своей деятельности. Новый штамм имеет аналогичную стадию загрузчика, но содержит только один слой кодировки, повторяющиеся теги скриптов, орфографические ошибки и включает словарь под названием «translate», который содержит фразы, используемые поддельными платежными формами, созданными вредоносной программой. Веб-сокеты по-прежнему используются для эксфильтрации данных.

Исследователи из фирмы RiskIQ отметили, что новый скиммер демонстрирует то, как перемешалась инфраструктура, вредоносы и группы, участвующие в Magecart атаках. Это усложняет процесс отслеживания конкретных злоумышленников. Так, специалисты расследовали атаку группы Fullz House, которая загрузила вредоносный JavaScript на провайдера мобильной сети, чтобы очистить данные клиентов. Однако вместо того, чтобы найти скиммер принадлежащий группировке, исследователи обнаружили новый вариант Grelos. Последний даже использует часть той же инфраструктуры, например, IP-адреса и хостинг-провайдеров для размещения.

Подробнее

19.11.2020 16:03:56

Определены самые популярные пароли 2020 года.

Большинство из них оказались на столько простыми, что на их подбор злоумышленниками уйдет меньше секунды.

Специалисты NordPass опубликовали данные о наиболее популярных паролях в 2020 году. Они изучили более 275 млн. слитых паролей и составили свой топ.

Несмотря на то, что пароли в стиле «123456» и «password» считаются анекдотичными, они лидируют в подобных рейтингах уже на протяжении пяти лет. Так, на первом месте оказался «123456», а на втором – «123456789». Пользователи видимо решили, что это как-то усложнит взлом. Специалисты смогли выделить разве что пароль «picture1», который стоит на третьем месте. На его взлом злоумышленникам бы потребовалось три часа.

В остальных случаях, киберпреступники бы потратили меньше секунды на взлом при помощи простого перебора. Большинство слитых в 2020 году паролей, оказались невероятно простыми. Специалисты NordPass назвали уникальными только 44%.

Подробнее

19.11.2020 16:02:19

Граждане России смогут требовать удаления персональных данных из общего доступа.

В Государственную Думу РФ внесен соответствующий законопроект.

Комитет Государственной Думы РФ по информационной политике разработал и внес на голосование законопроект, который запретит использовать общедоступные персональные данные граждан без их согласия. В дополнение к этому, они смогут требовать от операторов удаления сведений о себе.

Законопроект предполагает штраф за нарушение правил обработки персональных данных для тех ресурсов, которые откажутся выполнить требования граждан. Пользователи получат возможность самостоятельно определить информацию, которая может быть общедоступной. Без ведома владельца публиковать личные данные будет запрещено.

По мнению Антона Горелкина, который внес законопроект на рассмотрение, это позволит пользователям самостоятельно решать, какую информацию о себе он готов предоставить интернет-ресурсам и на каких условиях.

Подробнее

18.11.2020 16:47:22

Китайская APT-группировка атакует правительства Юго-Восточной Азии.

Основной целью FunnyDream является правительственный и промышленный шпионаж.

ИБ-фирма Bitdefender опубликовала доклад о деятельности новой киберпреступной APT-группы FunnyDream. За последние два года хакерам удалось заразить более 200 систем в странах Юго-Восточной Азии.

Атаки поддерживаемой китайским правительством группировки нацелены на Вьетнам, Малайзию, Тайвань и Филиппины. FunnyDream специализируется на кибершпионаже. Злоумышленников интересуют конфиденциальные данные в правительственных и промышленных сферах.

Подробнее

18.11.2020 16:27:40

Фармацевтические компании подвергаются мобильному фишингу.

Вместо кражи учетных данных, злоумышленники теперь стараются доставить вредоносное ПО на устройства жертв.

Фармацевтические компании все чаще становятся целью киберпреступников. Группировки, которые занимаются фишингом мобильных устройств, меняют свою тактику в надежде получить данные об исследованиях вакцины от COVID-19. В третьем квартале 2020 года в 77% случаев они стараются доставить вредоносные программы на устройства своих жертв, хотя раньше киберпреступников интересовали учетные данные.

Национальный центр кибербезопасности в Великобритании, а также Агентство по кибербезопасности и инфраструктурной безопасности в США выпустили рекомендации организациям, участвующим в изучении COVID-19. Поскольку тема пандемии остается актуальной, фармацевтические компании являются приоритетной целью шпионских группировок. Любая информация о вакцине сейчас очень востребована как для получения прибыли на черном рынке, так и для правительств.

Сдвиг на доставку вредоносного ПО, по мнению исследователей, продиктован несколькими факторами. Успешная доставка шпионских программ или средств наблюдения на устройство может привести к долгосрочному успеху для злоумышленника. Кроме того, злоумышленники хотят иметь возможность наблюдать за всем, что делает пользователь, и заглядывать в файлы, к которым обращается устройство. Более того, в период повсеместной удаленной работы, мобильные девайсы могут стать шлюзом к корпоративной инфраструктуре.

Подробнее

18.11.2020 16:01:27

Личные данные более 3,2 млн. подписчиков Pluto TV выложены в открытый доступ.

База данных содержит имена, адреса электронной почты, хэшированные пароли, даты рождения и IP-адреса.

На одном из хакерских форумов обнаружена база данных клиентов американской службы интернет-телевидения Pluto TV. Слитые сведения включают имена, адреса электронной почты, хэшированные пароли, даты рождения и IP-адреса более 3,2 млн. подписчиков сервиса. Последняя запись датирована 2018 годом. Это может говорить о том, что хакеры два года использовали украденные данные с целью заработка.

Базу данных разместили члены группировки ShinyHunters. Они также ответственны за взлом Animal Jam, 123RF, Geekie, Athletico, Wongnai и RedMart. Как сообщает издание BleepingComputer, они проверили несколько адресов электронной почты и установили, что те действительно принадлежат подписчикам Pluto TV. В компании факт утечки не подтвердили, однако их клиентам все равно рекомендуется сменить пароли.

Pluto TV – это сервис, который позволяет бесплатно просматривать различные телепередачи. На данный момент канал насчитывает более 28 млн. подписчиков. Официальное приложение сервиса было загружено около 10 млн. раз.

Подробнее

18.11.2020 15:48:26

Киберпреступность нанесла российской экономике ущерб в 44 млрд. долларов.

В будущем году прогнозируется двукратное падение экономики.

Представители Сбербанка заявили о серьезном ущербе, который российской экономике нанесла киберпреступность в 2020 году. По оценкам специалистов, к концу года эта сумма составит 44 млрд. долларов.

В качестве причин отмечается переход на безналичные способы оплаты и низкая осведомленность населения в вопросах информационной безопасности. Многие, даже в целом известные мошеннические схемы все еще приносят прибыль злоумышленникам. По данным МВД России, в 2020 году количество киберпреступлений, связанных с банковскими карточками, выросло на 500%.

Подробнее

17.11.2020 16:33:44

Операторов связи могут обязать блокировать мошеннические номера.

Согласно задумке, абоненты смогут жаловаться на нежелательные звонки и сообщения.

Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило законопроект, который обяжет операторов связи блокировать номера, используемые для телефонного мошенничества. Ведомство обсуждает проект документа с МВД, ФСБ, Роскомнадзором, Банком России и операторами связи.

Согласно задумке, у абонентов будет возможность подать жалобу на конкретный номер, который после проверки должен быть заблокирован оператором на уровне сети. Для этого должны быть установлены системы противодействия фроду, под которым станут понимать все вызовы, осуществляющиеся при помощи подменных номеров, а также специального софта и технических средств, в результате чего нарушаются права и безопасность третьих лиц.

На данном этапе отмечаются две проблемы законопроекта. Во-первых, внедрение подобных мер может привести к блокировке нормальных номеров. Во-вторых, помимо новых обязанностей на операторов возложат дополнительные расходы. Не известно, как это отразится на стоимости услуг для конечных пользователей.

Подробнее

17.11.2020 16:09:32

Правительственные и финансовые сайты в Южной Корее атакованы группировкой Lazarus.

Конечная цель злоумышленников – доставка трояна удаленного доступа на компьютеры посетителей зараженных ресурсов.

Киберпреступная группа Lazarus использует новую цепочку атак на посетителей веб-сайтов, управляемых южнокорейским правительством и финансовыми фирмами. Злоумышленники стремятся доставить вредоносное ПО, которое в конечном итоге устанавливает троян удаленного доступа на компьютер жертвы. Эти атаки используют украденные цифровые сертификаты от двух охранных фирм, которые позволяют операторам Lazarus повредить плагин браузера, предназначенный для защиты пользователей от взлома.

По данным ESET, два незаконно полученных сертификата подписи кода принадлежат охранным фирмам Alexis Security Group и Dream Security USA. Последняя является американским филиалом Wizvera. Первая стадия атаки заключается в том, чтобы операторы Lazarus повредили сайт, на котором работает программное обеспечение Wizvera. Исследователи полагают, что это достигается с помощью фишинговых атак, которые обманывают администраторов. Как только злоумышленники закрепляются на целевом сервере, вредоносные двоичные файлы, которые кажутся законными и используют украденные цифровые сертификаты, помещаются на скомпрометированный веб-сайт и автоматически передаются ничего не подозревающим посетителям.

Когда жертва посещает затронутый сайт, подключаемый модуль браузера запрашивает загрузку JavaScript и конфигурационного файла WIZVERA. После загрузки они проверяются с помощью сильного криптографического алгоритма (RSA), поэтому злоумышленники не могут легко изменить содержимое этих файлов. Однако они могут заменить программное обеспечение, которое будет доставлено пользователям Wizver VeraPort, с законного, но скомпрометированного веб-сайта.

Подробнее

17.11.2020 15:54:40

Уязвимости BlueKeep и SMBGhost все еще угрожают Windows-системам по всему миру.

Microsoft уже давно выпустила соответствующие патчи, однако сотни тысяч администраторов не спешат обновлять свое ПО.

Критические уязвимости, позволяющие злоумышленнику удаленно получить доступ к Windows-системам, даже после выпуска патчей угрожают компьютерам по всему миру. Так, BlueKeep подвержено более 245 тыс. устройств. Обновление вышло уже полтора года назад. SMBGhost угрожает 103 тыс. компьютеров, несмотря на то, что соответствующий патч вышел в марте этого года.

Ни рекомендации правоохранительных органов, ни спецслужб не мотивируют администраторов устранить критические уязвимости в своих системах. Конкретно об этих ошибках речь заходит чаще всего, так как они считаются одними из наиболее опасных.

Однако, только ими не ограничиваются проблемы с исправлением известных уязвимостей. Другие дыры также остаются без внимания. Например, уязвимости CVE-2019-0211 в Apache, которая позволяет перехватить контроль над сервером, подвержены более 3,3 млн. устройств.

Подробнее

17.11.2020 15:45:27

Более двух десятков RaaS-группировок активно ищут партнеров.

Злоумышленники готовы разделять прибыль от атак, сдавая свои вредоносы в аренду.

ИБ специалисты компании Intel 471 рассказали о текущих тенденциях среди хакерских группировок, действующих по схеме «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). На текущий момент эксперты выделяют более двух десятков групп, которые готовы предоставлять свои вредоносные программы сторонним хакерам и разделять прибыль от выкупа. Сейчас такие группировки активно ищут новых партнеров.

Исследователи разделили вымогателей на три группы: от наиболее известных до совершенно новых. В первую категорию вошли Ryuk, DoppelPaymer, Egregor, Netwalker и REvil. Атаки с использованием этих шифровальщиков регулярно попадают в СМИ из-за многомиллионных ущербов, нанесенных известным компаниям по всему миру. Во второй оказались SunCrypt, Conti, Clop, Ragnar Locker, Pysa/Mespinoza, Avaddon и DarkSide, которые приобрели определенную популярность в 2020 году, в том числе, на волне проблем с массовым переходом на удаленный режим работы. В третью вошли Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog и Exorcist, информации о которых пока недостаточно для полноценного анализа.

Сдача своего вымогательского ПО в аренду приносит разработчикам серьезные прибыли, учитывая, что им не нужно самостоятельно заниматься взломом. Злоумышленники поставляют вредоносные программы для шифрования файлов аффилированным лицам, которые осуществляют непосредственную атаку и получают большую часть прибыли. Разработчики вымогательского ПО при этом берут 20-30% от выкупа. Они же устанавливают сумму выкупа и ведут переговоры с жертвой.

Подробнее

16.11.2020 16:20:59

Email Appender доставляет поддельные письма в обход защитных фильтров.

Инструмент поддерживает полную смену отправителя, которая останется незамеченной для получателя.

Email Appender – новая программа для таргетированных атак, активно рекламируемая на русскоязычных теневых форумах. Главная ее особенность – доставка мошеннических писем адресату в обход защитных фильтров. Формально, инструмент даже не доставляет письма, а внедряет их непосредственно в почтовый ящик жертвы, после прохождения авторизации на сервере. Поскольку сообщение не проходит весь путь доставки, смена отправителя останется незамеченной.

Программа предполагает наличие списка скомпрометированных учетных записей. Email Appender перебирает имеющиеся логины и пароли, а затем добавляет мошенническое письмо в ящик. Специалисты ИБ полагают, что такой инструмент повысит эффективность целевого фишинга и BEC-атак, а также упростит доставку сообщений, содержащих вредоносные вложения.

В качестве противодействия Email Appender рекомендуется использовать средства многофакторной аутентификации, а также включить оповещения о входе в ящик с необычного IP-адреса. Даже если взлом произойдет, пользователь узнает об инциденте, обратит внимание, сможет внимательнее относиться к полученным сообщениям и увидит необходимость в смене учетных данных.

Подробнее

16.11.2020 15:40:30

Операторы Egregor атаковали чилийскую компанию Cencosud.

Вредонос зашифровал устройства практически во всех магазинах розничной сети.

Один из крупнейших ретейлеров в Южной Америке, чья прибыль в прошлом году превысила 15 млн. долларов, стал жертвой шифровальщика Egregor. Вредонос зашифровал устройства практически во всех магазинах Cencosud. Розничная сеть сейчас работает с ограничениями, например, временно не принимаются карты Cencosud Card, возвраты, и не выдаются интернет-заказы.

Атака произошла на прошедших выходных. Многие принтеры, подключенные к общей сети, начали распечатывать записки с требованием выкупа. В них злоумышленники уточнили, что перед шифрованием устройств им удалось похитить конфиденциальные сведения компании. Если представители Cencosud не свяжутся с киберпреступниками в течение трех дней, то они начнут публиковать украденные сведения.

Использование взломанной техники для печати своих требований – известная функция Egregor. Вредонос стал активен в сентябре этого года и уже успел атаковать сети таких компаний как Ubisoft, Crytek и Barnes & Noble. Исследователи полагают, что за нападениями Egregor стоят те же люди, что отвечали за вредоносные кампании шифровальщика Maze. Последние как раз в сентябре сообщили, что сворачивают свои операции.

Подробнее

16.11.2020 15:28:53

Компания Ticketmaster оштрафована 1,25 млн. фунтов стерлингов.

Сайт фирмы был заражен вредоносным ПО, которое выкрало данные более чем 11 млн. покупателей.

Британская компания по продаже и распространению билетов оштрафована на 1,25 млн. фунтов стерлингов за утечку данных, произошедшую в 2018 году. Сайт компании Ticketmaster был заражен вредоносным ПО, которому удалось выкрасть имена, почтовые и электронные адреса, телефонные номера, номера платежных карт, даты истечения, CCV-коды и детали регистрации более чем 11 млн. покупателей.

Утечка началась в феврале 2018 года, однако обнаружена была только в июне. Клиенты Monzo Bank обнаружили и сообщили о мошеннических операциях, проводимых с их счетов. Банку пришлось заменить данные 6 тыс. платежных карт.

Как выяснило расследование, компания Ticketmaster не обеспечила адекватные меры безопасности на своем сайте. Даже после появления сообщений о возможных атаках, фирма инициировала анализ своего сетевого трафика только через 9 недель. Таким образом, компания нарушила Общий регламент защиты персональных данных, за что и была оштрафована Офисом Комиссара по информации Великобритании.

Подробнее

13.11.2020 16:54:08

Хакерская группировка атакует южноазиатские организации.

Некоторые из целей CostaRicto также были расположены в Африке, Америке, Австралии и Европе.

BlackBerry опубликовали отчет о деятельности новой хакерской группировки, получившей название CostaRicto. Цели злоумышленников расположены в более чем дюжине стран по всему миру. Приоритетным направлением группировки остаются организации в Южной Азии, особенно в Индии, Бангладеш и Сингапуре. Некоторые из целей CostaRicto также были расположены в Африке, Америке, Австралии и Европе.

Несопоставимые таргетинг и характеристики набора инструментов группировки, по словам исследователей, предполагают, что она работает по найму. CostaRicto нацеливается на жертв с помощью специального бэкдора, который появился в октябре прошлого года, но редко используется в атаках. То, как настроен их пользовательский бэкдор, получивший название SombRAT, намекает на то, что он предназначен для обновления и адаптации к различным потребностям. Исследователи пишут, что хорошо структурированный код, позволяющий легко расширять функциональность, указывает на то, что этот набор инструментов является частью долгосрочного проекта, а не одноразовой кампанией.

Как и многие другие хакерские операции по найму, эта, судя по данным BlackBerry, действовала по меньшей мере много месяцев. Исследователи считают, что операция CostaRicto является частью растущей тенденции взломов «под заказ».

Подробнее

13.11.2020 16:43:38

Данные пользователей 123RF продаются в даркнете.

Украденная база данных содержит полные имена, адреса электронной почты, хешированные пароли, имена организаций, физические адреса, привязанную к PayPal почту и IP-адреса.

Популярный сервис стоковых фотографий 123RF стал жертвой утечки данных. Ресурс принимает более 26 млн. пользователей каждый месяц. На площадке можно приобрести изображения, иллюстрации, видео- и аудиофайлы для дальнейшего использования.

На хакерском форуме была обнаружена база данных, содержащая 8,3 млн. записей пользователей сервиса. Среди них н�

Новости в мире ИБ